IAM によるアクセス制御

AI Platform Vizier は、Identity and Access Management(IAM)を使用してリソースへのアクセスを管理します。リソースへのアクセス権を付与するには、ユーザー、グループ、またはサービス アカウントに 1 つ以上のロールを割り当てます。

AI Platform Vizier で使用できる IAM ロールは次の 3 種類です。

  • 基本ロール(オーナー、閲覧者、編集者)。すべての Google Cloud サービスに共通のロールです。

  • AI Platform Vizier の事前定義ロール。AI Platform Vizier のリソースに対するアクセス権をプロジェクト レベルまたはモデルレベルできめ細かく設定できます。

  • カスタムロールを使用すると、特定の権限セットを選択し、それらの権限を持つ独自のロールを作成して、組織内のユーザーに付与できます。

このガイドでは、AI Platform Vizier の事前定義ロールを中心に説明します。ロールの一般的な使い方や関連する権限について解説します。

基本ロール

従来の AI Platform Vizier の IAM ロールは、すべての GCP サービスに共通の基本ロール(オーナー、閲覧者、編集者)に基づいています。

従来のプロジェクト編集者のロールは、AI Platform Vizier 管理者のロールと同等です。

従来のプロジェクト閲覧者のロールには、AI Platform Vizier 閲覧者のロールと同じ権限だけでなく、オンライン予測リクエストの送信権限も割り当てられています。AI Platform Vizier 閲覧者のロールを使用する利点は、AI Platform Vizier リソースに対する読み取り専用権限をユーザーが取得できることです。

事前定義ロール

事前定義ロールには、関連する権限セットが割り当てられています。AI Platform Vizier の事前定義ロールを使用すると、プロジェクト、個々のモデル、ジョブ、オペレーションに対する権限を付与できます。

各ロールのすべての権限の一覧を表示するには、ロールの名前をクリックします。

プロジェクトのロール

AI Platform Vizier 管理者、デベロッパー、閲覧者のロールを使用すると、リソースに対するさまざまなレベルの権限をプロジェクト レベルで付与します。

AI Platform Vizier のプロジェクトで、これらのロールを追加、更新または削除する方法については、アクセス権の付与、変更、取り消しに関するドキュメントをご覧ください。

ロールのタイトル ロール名 機能
AI Platform Vizier 管理者

roles/ml.admin

AI Platform Vizier プロジェクトとそのジョブ、オペレーション、モデル、バージョン、スタディ、トライアルに対する完全アクセス権が付与されます。

注: 基本のプロジェクト編集者のロールは roles/ml.admin と同等です。

AI Platform Vizier デベロッパー

roles/ml.developer

スタディとトライアルを作成します。トレーニング ジョブと予測ジョブ、モデル、バージョンを作成します。オンライン予測リクエストを送信します。

AI Platform Vizier 閲覧者

roles/ml.viewer

AI Platform Vizier リソースに対する読み取り専用権限。

権限とロール

このセクションでは、AI Platform Vizier の事前定義ロールで付与される権限について説明します。これらの事前定義ロールがニーズを満たしていない場合は、このセクションの情報を参考にして、独自のカスタムロールを作成してください。

管理者のロール

ロール名 説明 権限
roles/ml.admin AI Platform Vizier 管理者

AI Platform Vizier プロジェクトとそのジョブ、オペレーション、モデル、バージョン、スタディ、トライアルに対する完全アクセス権。

注: 基本のプロジェクト編集者のロールからこのロールへの移行は非常に簡単です。以前にプロジェクト レベルで割り当てられた基本の編集者ロールを使用していた場合は、この roles/ml.admin ロールを使用して、まったく同じ権限セットをユーザーに付与できます。

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.studies.create
  • ml.studies.delete
  • ml.studies.get
  • ml.studies.list
  • ml.trials.create
  • ml.trials.update
  • ml.trials.delete
  • ml.trials.get
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.setIamPolicy
  • ml.jobs.cancel
  • ml.operations.list
  • ml.operations.get
  • ml.operations.cancel
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.setIamPolicy
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.models.delete
  • ml.models.update
  • ml.versions.create
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict
  • ml.versions.delete

デベロッパーのロール

ロール名 説明 権限
roles/ml.developer

スタディとトライアルを作成するためのアクセス権。トレーニング ジョブと予測ジョブ、モデル、バージョンを作成し、オンライン予測リクエストを送信します。

注: ジョブを作成すると、作成したデベロッパーに AI Platform Vizier ジョブオーナーのロールが自動的に付与されます。このため、デベロッパーには自分が作成したすべてのジョブに対する ml.jobs.cancel 権限と ml.jobs.update 権限が付与されます。

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.studies.create
  • ml.studies.delete
  • ml.studies.get
  • ml.studies.list
  • ml.trials.create
  • ml.trials.update
  • ml.trials.delete
  • ml.trials.get
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.operations.list
  • ml.operations.get
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict

閲覧者のロール

ロール名 説明 権限
roles/ml.viewer

特定のプロジェクトの AI Platform Vizier のリソースに対する読み取り専用アクセス権。

注: 従来のプロジェクト閲覧者のロールを使用すると、roles/ml.viewer のロールと同じ権限に加えて、オンライン予測リクエストを送信する権限をユーザーに付与できます。

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.studies.get
  • ml.studies.list
  • ml.trials.get
  • ml.jobs.list
  • ml.jobs.get
  • ml.operations.list
  • ml.operations.get
  • ml.models.list
  • ml.models.get
  • ml.versions.list
  • ml.versions.get

AI Platform Vizier へのアクセスを制限する

AI Platform Vizier のロールを使用すると、AI Platform Vizier に加えて、AI Platform Training と AI Platform Prediction に対するアクセス権が付与されます。AI Platform Vizier リソースのみへのアクセス権を付与するには、必要な権限を持つカスタムロールを作成します。

AI Platform Vizier のメソッドとそれぞれの権限は次のとおりです。

リソース API メソッド 権限
スタディ projects.locations.studies.create ml.studies.create
projects.locations.studies.delete ml.studies.delete
projects.locations.studies.get ml.studies.get
projects.locations.studies.list ml.studies.list
試用 projects.locations.studies.trials.suggest ml.trials.update
projects.locations.studies.trials.create ml.trials.create
projects.locations.studies.trials.delete ml.trials.delete
projects.locations.studies.trials.addMeasurement ml.trials.update
projects.locations.studies.trials.stop ml.trials.update
projects.locations.studies.trials.complete ml.trials.update
projects.locations.studies.trials.get ml.trials.get
projects.locations.studies.trials.checkEarlyStoppingState ml.trials.get
projects.locations.studies.trials.list ml.trials.get

次のステップ