Controle de acesso com o IAM

O AI Platform Vizier usa o gerenciamento de identidade e acesso (IAM) para gerenciar o acesso a recursos. Para conceder acesso a um recurso, atribua um ou mais papéis a um usuário, um grupo ou uma conta de serviço.

Há três tipos de papéis do IAM que podem ser usados no AI Platform Vizier:

  • Os papéis básicos (proprietário, leitor e editor) são comuns a todos os serviços do Google Cloud.

  • Os papéis predefinidos do AI Platform Vizier oferecem controle de acesso detalhado aos recursos do AI Platform Vizier nos níveis do projeto e do modelo.

  • Os papéis personalizados permitem escolher um conjunto específico de permissões, criar seu próprio papel com elas e concedê-lo aos usuários da organização.

O foco deste guia são os papéis predefinidos do AI Platform Vizier, o uso comum deles e as permissões associadas.

Papéis básicos

Os papéis legados do IAM do AI Platform Vizier são baseados nos papéis básicos comuns a todos os serviços do GCP: proprietário, leitor e editor.

O papel Editor legado do projeto equivale ao papel Administrador do AI Platform Vizier.

O papel Leitor legado do projeto concede as mesmas permissões que o papel Leitor do AI Platform Vizier e mais o acesso para enviar solicitações de previsão on-line. A vantagem de usar o papel Leitor do AI Platform Vizier é que o usuário tem acesso somente leitura aos recursos do AI Platform Vizier.

Papéis predefinidos

Os papéis predefinidos concedem um grupo de permissões relacionadas. O AI Platform Vizier oferece papéis predefinidos para o projeto e também para modelos, jobs e operações individuais.

Para ver a lista de permissões completa, clique no nome do papel.

Papéis do projeto

Os papéis Administrador, Desenvolvedor e Leitor do AI Platform Vizier concedem níveis variados de acesso aos recursos no nível do projeto.

Para adicionar, atualizar ou remover esses papéis do seu projeto do AI Platform Vizier, consulte a documentação sobre como conceder, alterar e revogar acesso.

Título do papel Nome do papel Recursos
Administrador do AI Platform Vizier

roles/ml.admin

Controle total do projeto do AI Platform Vizier e dos respectivos jobs, operações, modelos, versões, estudos e testes.

Observação: o papel básico Editor do projeto equivale a roles/ml.admin.

Desenvolvedor do AI Platform Vizier

roles/ml.developer

Criar estudos e testes. Criar jobs de treinamento e de previsão, modelos e versões. Enviar solicitações de previsão on-line.

Leitor do AI Platform Vizier

roles/ml.viewer

Acesso somente leitura aos recursos do AI Platform Vizier.

Permissões e papéis

Consulte esta seção para ver uma lista completa de permissões concedidas com cada papel predefinido do AI Platform Vizier. Se esses papéis predefinidos não atenderem às suas necessidades, use esta seção como referência para criar seus próprios papéis personalizados.

Papel de administrador

Nome do papel Descrição Permissões
roles/ml.admin Administrador do AI Platform Vizier

Acesso total ao projeto do AI Platform Vizier e aos respectivos jobs, operações, modelos, versões, estudos e testes.

Observação: é bem simples migrar para este papel a partir do papel básico Editor do projeto. Se você já usou o papel básico Editor atribuído no nível do projeto, é possível utilizar o papel roles/ml.admin para conceder exatamente o mesmo conjunto de permissões ao usuário.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.studies.create
  • ml.studies.delete
  • ml.studies.get
  • ml.studies.list
  • ml.trials.create
  • ml.trials.update
  • ml.trials.delete
  • ml.trials.get
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.setIamPolicy
  • ml.jobs.cancel
  • ml.operations.list
  • ml.operations.get
  • ml.operations.cancel
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.setIamPolicy
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.models.delete
  • ml.models.update
  • ml.versions.create
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict
  • ml.versions.delete

Papel de desenvolvedor

Nome do papel Descrição Permissões
roles/ml.developer

Acesso para criar estudos e testes, criar jobs de treinamento e de previsão, modelos e versões e enviar solicitações de previsão on-line.

Observação: um desenvolvedor recebe as permissões ml.jobs.cancel e ml.jobs.update em todos os jobs que cria, porque a criação de um job concede automaticamente o papel de proprietário do job do AI Platform Vizier.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.studies.create
  • ml.studies.delete
  • ml.studies.get
  • ml.studies.list
  • ml.trials.create
  • ml.trials.update
  • ml.trials.delete
  • ml.trials.get
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.operations.list
  • ml.operations.get
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict

Papel de leitor

Nome do papel Descrição Permissões
roles/ml.viewer

Acesso somente leitura aos recursos do AI Platform Optimizer em um projeto específico.

Observação: o papel legado de Leitor do projeto concede ao usuário as mesmas permissões que o papel roles/ml.viewer, além do acesso para enviar solicitações de previsão on-line.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.studies.get
  • ml.studies.list
  • ml.trials.get
  • ml.jobs.list
  • ml.jobs.get
  • ml.operations.list
  • ml.operations.get
  • ml.models.list
  • ml.models.get
  • ml.versions.list
  • ml.versions.get

Como limitar o acesso ao AI Platform Vizier

Os papéis do AI Platform Vizier também concedem acesso ao AI Platform Training e ao AI Platform Prediction. Para conceder acesso apenas aos recursos do AI Platform Vizier, crie um papel personalizado com as permissões que você quer.

Veja a seguir os métodos e as respectivas permissões para o AI Platform Vizier:

Recurso Método de API Permissão
Estudo projects.locations.studies.create ml.studies.create
projects.locations.studies.delete ml.studies.delete
projects.locations.studies.get ml.studies.get
projects.locations.studies.list ml.studies.list
Teste projects.locations.studies.trials.suggest ml.trials.update
projects.locations.studies.trials.create ml.trials.create
projects.locations.studies.trials.delete ml.trials.delete
projects.locations.studies.trials.addMeasurement ml.trials.update
projects.locations.studies.trials.stop ml.trials.update
projects.locations.studies.trials.complete ml.trials.update
projects.locations.studies.trials.get ml.trials.get
projects.locations.studies.trials.checkEarlyStoppingState ml.trials.get
projects.locations.studies.trials.list ml.trials.get

A seguir