Zugriffssteuerung mit IAM

AI Platform Vizier verwendet Cloud Identity and Access Management (IAM) zur Verwaltung des Zugriffs auf Ressourcen. Wenn Sie Zugriff auf eine Ressource gewähren möchten, weisen Sie einem Nutzer, einer Gruppe oder einem Dienstkonto mindestens eine Rolle zu.

In AI Platform Vizier können drei Arten von IAM-Rollen verwendet werden:

  • Einfache Rollen (Inhaber, Betrachter und Bearbeiter) gibt es für alle Google Cloud-Dienste.

  • Vordefinierte AI Platform Vizier-Rollen ermöglichen Ihnen auf Projekt- und Modellebene eine differenzierte Steuerung des Zugriffs auf Ihre AI Platform Vizier-Ressourcen.

  • Benutzerdefinierte Rollen ermöglichen es Ihnen, einen bestimmten Satz von Berechtigungen auszuwählen, eine eigene Rolle mit diesen Berechtigungen zu erstellen und Nutzern in Ihrer Organisation diese Rolle zuzuweisen.

In dieser Anleitung geht es insbesondere um vordefinierte AI Platform Vizier-Rollen, deren typische Verwendung und die zugehörigen Berechtigungen.

Einfache Rollen

Die älteren IAM-Rollen von AI Platform Vizier basieren auf den einfachen Rollen, die alle GCP-Dienste verwenden: Inhaber, Betrachter und Bearbeiter.

Die Legacy-Projektrolle Bearbeiter entspricht der Rolle AI Platform Vizier-Administrator.

Die Legacy-Projektrolle Betrachter gewährt die gleichen Berechtigungen wie die Rolle AI Platform Vizier-Betrachter. Außerdem gewährt sie Zugriff auf das Senden von Anfragen für Onlinevorhersagen. Der Vorteil der Rolle "AI Platform Vizier-Betrachter" besteht darin, dass der Nutzer nur Lesezugriff auf AI Platform Vizier erhält.

Vordefinierte Rollen

Mit vordefinierten Rollen gewähren Sie bestimmte zusammengehörige Berechtigungen. AI Platform Vizier bietet vordefinierte Rollen für Ihr Projekt und auch für individuelle Modelle, Jobs und Vorgänge.

Klicken Sie auf den Namen der Rolle, um eine vollständige Liste der Berechtigungen für jede Rolle zu sehen.

Projektrollen

Die AI Platform Vizier-Rollen Administrator, Entwickler und Betrachter gewähren auf Projektebene unterschiedliche Zugriffsrechte auf Ressourcen.

Informationen zum Hinzufügen, Aktualisieren oder Entfernen dieser Rollen in Ihrem AI Platform Vizier-Projekt finden Sie in der Dokumentation Zugriff auf Ressourcen erteilen, ändern und entziehen.

Rollentitel Rollenname Leistungsspektrum
AI Platform Vizier-Administrator

roles/ml.admin

Vollständige Kontrolle über das AI Platform Vizier-Projekt und die zugehörigen Jobs, Vorgänge, Modelle, Versionen, Studien und Tests.

Hinweis: Die einfache Projektrolle Bearbeiter entspricht roles/ml.admin.

AI Platform Vizier-Entwickler

roles/ml.developer

Erstellen von Studien und Tests. Erstellen von Trainings- und Vorhersagejobs, Modellen und Versionen. Senden von Anfragen für Onlinevorhersagen.
AI Platform Vizier-Betrachter

roles/ml.viewer

Lesezugriff auf AI Platform Vizier-Ressourcen.

Berechtigungen und Rollen

In diesem Abschnitt finden Sie eine vollständige Liste der Berechtigungen, die mit jeder vordefinierten Rolle von AI Platform Vizier gewährt werden. Wenn diese vordefinierten Rollen Ihre Anforderungen nicht erfüllen, nutzen Sie diesen Abschnitt als Referenz für die Erstellung Ihrer eigenen benutzerdefinierten Rollen.

Admin-Rolle

Rollenname Beschreibung Berechtigungen
roles/ml.admin AI Platform Vizier-Administrator

Vollständiger Zugriff auf das AI Platform Vizier-Projekt und die zugehörigen Jobs, Vorgänge, Modelle, Versionen, Studien und Tests.

Hinweis: Das Migrieren zu dieser Rolle aus der einfachen Projektrolle Bearbeiter ist relativ einfach. Wenn Sie zuvor die auf Projektebene zugewiesene einfache Rolle Bearbeiter verwendet haben, können Sie dem Nutzer mit der Rolle roles/ml.admin genau die gleichen Berechtigungen erteilen.
  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.studies.create
  • ml.studies.delete
  • ml.studies.get
  • ml.studies.list
  • ml.trials.create
  • ml.trials.update
  • ml.trials.delete
  • ml.trials.get
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.setIamPolicy
  • ml.jobs.cancel
  • ml.operations.list
  • ml.operations.get
  • ml.operations.cancel
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.setIamPolicy
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.models.delete
  • ml.models.update
  • ml.versions.create
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict
  • ml.versions.delete

Entwicklerrolle

Rollenname Beschreibung Berechtigungen
roles/ml.developer

Zugriff auf Studien und Tests; Erstellen von Trainings- und Vorhersagejobs, Modellen und Versionen; Senden von Anfragen für Onlinevorhersagen.

Hinweis: Ein Entwickler erhält für alle von ihm erstellten Jobs die Berechtigungen ml.jobs.cancel und ml.jobs.update, da durch das Erstellen eines Jobs automatisch die Rolle AI Platform Vizier-Jobinhaber zugewiesen wird.
  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.studies.create
  • ml.studies.delete
  • ml.studies.get
  • ml.studies.list
  • ml.trials.create
  • ml.trials.update
  • ml.trials.delete
  • ml.trials.get
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.operations.list
  • ml.operations.get
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict

Betrachterrolle

Rollenname Beschreibung Berechtigungen
roles/ml.viewer

Lesezugriff auf AI Platform Vizier-Ressourcen in einem bestimmten Projekt.

Hinweis: Die Legacy-Projektrolle Betrachter gewährt Nutzern die gleichen Berechtigungen wie die Rolle roles/ml.viewer. Außerdem ermöglicht sie das Senden von Anfragen für Onlinevorhersagen.
  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.studies.get
  • ml.studies.list
  • ml.trials.get
  • ml.jobs.list
  • ml.jobs.get
  • ml.operations.list
  • ml.operations.get
  • ml.models.list
  • ml.models.get
  • ml.versions.list
  • ml.versions.get

Zugriff auf AI Platform Vizier beschränken

Die Rollen von AI Platform Vizier gewähren zusätzlich auch Zugriff auf AI Platform Training und AI Platform Prediction. Wenn Sie nur Zugriff auf AI Platform Vizier-Ressourcen gewähren möchten, erstellen Sie eine benutzerdefinierte Rolle mit den gewünschten Berechtigungen.

Dies sind die Methoden und ihre jeweiligen Berechtigungen für AI Platform Vizier:

Ressource API-Methode Berechtigung
Studie projects.locations.studies.create ml.studies.create
projects.locations.studies.delete ml.studies.delete
projects.locations.studies.get ml.studies.get
projects.locations.studies.list ml.studies.list
Testversion projects.locations.studies.trials.suggest ml.trials.update
projects.locations.studies.trials.create ml.trials.create
projects.locations.studies.trials.delete ml.trials.delete
projects.locations.studies.trials.addMeasurement ml.trials.update
projects.locations.studies.trials.stop ml.trials.update
projects.locations.studies.trials.complete ml.trials.update
projects.locations.studies.trials.get ml.trials.get
projects.locations.studies.trials.checkEarlyStoppingState ml.trials.get
projects.locations.studies.trials.list ml.trials.get

Nächste Schritte