Contrôle des accès avec IAM

AI Platform Vizier gère les accès aux ressources à l'aide d'Identity and Access Management (IAM). Pour accorder l'accès à une ressource, attribuez un ou plusieurs rôles à un utilisateur, un groupe ou un compte de service.

Trois types de rôles IAM peuvent être utilisés dans AI Platform Vizier :

  • Les rôles de base (Propriétaire, Lecteur et Éditeur) sont communs à tous les services Google Cloud.

  • Les rôles AI Platform Vizier prédéfinis vous permettent de contrôler avec précision les accès à vos ressources AI Platform Vizier au niveau du projet et du modèle.

  • Les rôles personnalisés vous permettent de choisir un ensemble d'autorisations spécifique, de créer un rôle disposant de ces autorisations et d'attribuer ce dernier à des utilisateurs de votre organisation.

Ce guide se concentre sur les rôles AI Platform Vizier prédéfinis, leur utilisation typique et les autorisations associées.

Rôles de base

Les anciens rôles IAM AI Platform Vizier sont basés sur les rôles de base communs à tous les services GCP : Propriétaire, Lecteur et Éditeur.

L'ancien rôle Éditeur de projet est l'équivalent du rôle Administrateur AI Platform Vizier.

L'ancien rôle Lecteur de projet accorde les mêmes autorisations que le rôle Lecteur AI Platform Vizier, ainsi que l'autorisation d'envoyer des requêtes de prédiction en ligne. L'avantage du rôle Lecteur AI Platform Vizier est que l'utilisateur obtient un accès en lecture seule aux ressources AI Platform Vizier.

Rôles prédéfinis

Les rôles prédéfinis accordent un ensemble d'autorisations associées. AI Platform Vizier propose des rôles prédéfinis pour votre projet, ainsi que pour des tâches, des opérations et des modèles individuels.

Cliquez sur le nom d'un rôle afin d'afficher la liste complète des autorisations associées.

Rôles au niveau du projet

Les rôles Administrateur, Développeur et Lecteur d'AI Platform Vizier accordent différents niveaux d'accès aux ressources du projet.

Pour ajouter, mettre à jour ou supprimer ces rôles dans votre projet AI Platform Vizier, consultez la page Accorder, modifier et révoquer les accès.

Nom du rôle Nom du rôle Fonctions
Administrateur AI Platform Vizier

roles/ml.admin

Contrôle complet du projet AI Platform Vizier, ainsi que des tâches, des opérations, des modèles, des versions, des études et des essais associés.

Remarque : Le rôle de base Éditeur de projet est l'équivalent du rôle roles/ml.admin.

Développeur AI Platform Vizier

roles/ml.developer

Créer des études et des essais. Créer des tâches d'entraînement et de prédiction, des modèles et des versions. Envoyer des requêtes de prédiction en ligne.

Lecteur AI Platform Vizier

roles/ml.viewer

Accès en lecture seule aux ressources AI Platform Vizier.

Autorisations et rôles

Vous trouverez ci-dessous la liste complète des autorisations accordées à chaque rôle prédéfini d'AI Platform Vizier. Si aucun de ces rôles prédéfinis ne répond à vos besoins, utilisez cette section comme référence pour créer vos propres rôles personnalisés.

Rôle Administrateur

Nom du rôle Description Autorisations
roles/ml.admin Administrateur AI Platform Vizier

Accès complet à votre projet AI Platform Vizier, ainsi qu'à ses tâches, opérations, modèles, versions, études et essais.

Remarque : La migration vers ce rôle depuis le rôle de base Éditeur de projet est relativement simple. Si vous avez déjà utilisé le rôle de base Éditeur attribué au niveau du projet, vous pouvez vous servir de ce rôle roles/ml.admin pour accorder exactement le même ensemble d'autorisations à l'utilisateur.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.studies.create
  • ml.studies.delete
  • ml.studies.get
  • ml.studies.list
  • ml.trials.create
  • ml.trials.update
  • ml.trials.delete
  • ml.trials.get
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.setIamPolicy
  • ml.jobs.cancel
  • ml.operations.list
  • ml.operations.get
  • ml.operations.cancel
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.setIamPolicy
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.models.delete
  • ml.models.update
  • ml.versions.create
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict
  • ml.versions.delete

Rôle Développeur

Nom du rôle Description Autorisations
roles/ml.developer

Accès permettant de créer des études et des essais, des tâches d'entraînement et de prédiction, des modèles et des versions, ainsi que d'envoyer des requêtes de prédiction en ligne

Remarque : Un développeur reçoit les autorisations ml.jobs.cancel et ml.jobs.update sur toutes les tâches qu'il crée, car la création d'une tâche lui attribue automatiquement le rôle Propriétaire de tâche AI Platform Vizier.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.studies.create
  • ml.studies.delete
  • ml.studies.get
  • ml.studies.list
  • ml.trials.create
  • ml.trials.update
  • ml.trials.delete
  • ml.trials.get
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.operations.list
  • ml.operations.get
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict

Rôle Lecteur

Nom du rôle Description Autorisations
roles/ml.viewer

Accès en lecture seule aux ressources AI Platform Vizier sur un projet particulier.

Remarque : L'ancien rôle Lecteur de projet accorde les mêmes autorisations que le rôle roles/ml.viewer, ainsi que l'autorisation d'envoyer des requêtes de prédiction en ligne.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.studies.get
  • ml.studies.list
  • ml.trials.get
  • ml.jobs.list
  • ml.jobs.get
  • ml.operations.list
  • ml.operations.get
  • ml.models.list
  • ml.models.get
  • ml.versions.list
  • ml.versions.get

Limiter l'accès à AI Platform Vizier

Les rôles AI Platform Vizier accordent l'accès à AI Platform Training et à AI Platform Prediction, en plus d'AI Platform Vizier. Pour n'accorder l'accès qu'aux ressources AI Platform Vizier, créez un rôle personnalisé avec les autorisations souhaitées.

Les méthodes et leurs autorisations respectives pour AI Platform Vizier sont les suivantes :

Ressource Méthode API Permission
Étude projects.locations.studies.create ml.studies.create
projects.locations.studies.delete ml.studies.delete
projects.locations.studies.get ml.studies.get
projects.locations.studies.list ml.studies.list
Essai projects.locations.studies.trials.suggest ml.trials.update
projects.locations.studies.trials.create ml.trials.create
projects.locations.studies.trials.delete ml.trials.delete
projects.locations.studies.trials.addMeasurement ml.trials.update
projects.locations.studies.trials.stop ml.trials.update
projects.locations.studies.trials.complete ml.trials.update
projects.locations.studies.trials.get ml.trials.get
projects.locations.studies.trials.checkEarlyStoppingState ml.trials.get
projects.locations.studies.trials.list ml.trials.get

Étape suivante