Control de acceso con IAM

AI Platform Vizier usa la administración de identidades y accesos (IAM) para administrar el acceso a los recursos. Para otorgar acceso a un recurso, asigna una o más funciones a un usuario, un grupo o una cuenta de servicio.

Existen tres tipos de funciones de IAM que se pueden usar en AI Platform Vizier:

  • Las funciones básicas (propietario, visualizador y editor) se usan en todos los servicios de Google Cloud.

  • Las funciones predefinidas de AI Platform Vizier te brindan un control de acceso detallado a los recursos de AI Platform Vizier a nivel de proyecto y modelo.

  • Las funciones personalizadas te permiten elegir un conjunto de permisos específico, crear tu propia función con esos permisos y otorgarla a los usuarios en tu organización.

En esta guía, se describen las funciones predefinidas de AI Platform Vizier, su uso habitual y los permisos asociados.

Funciones básicas

Las funciones heredadas de IAM de AI Platform Vizier se basan en las funciones básicas que son comunes a todos los servicios de GCP: propietario, visualizador y editor.

La función heredada de editor de proyecto es equivalente a la función de administrador de AI Platform Vizier.

La función heredada de visualizador del proyecto otorga los mismos permisos que la función de visualizador de AI Platform Vizier, además de acceso para enviar solicitudes de predicción en línea. La ventaja de usar la función de visualizador de AI Platform Vizier es que el usuario obtiene acceso de solo lectura a los recursos de AI Platform Vizier.

Funciones predefinidas

Las funciones predefinidas otorgan un conjunto de permisos relacionados. AI Platform Vizier ofrece funciones predefinidas para el proyecto y, también, trabajos, operaciones y modelos individuales.

Si deseas ver una lista completa de los permisos de cada función, haz clic en el nombre de la función.

Funciones de proyecto

Las funciones de visualizador, desarrollador y administrador de AI Platform Vizier otorgan diferentes niveles de acceso a los recursos a nivel de proyecto.

Para agregar, actualizar o quitar estas funciones en el proyecto de AI Platform Vizier, consulta la documentación sobre cómo otorgar, cambiar y revocar el acceso.

Título de la función Nombre de la función Funciones
Administrador de AI Platform Vizier

roles/ml.admin

Control total del proyecto de AI Platform Vizier y sus trabajos, operaciones, modelos, versiones, estudios y pruebas.

Nota: La función básica de editor del proyecto es equivalente a roles/ml.admin.

Desarrollador de AI Platform Vizier

roles/ml.developer

Crea estudios y pruebas. Crea modelos, versiones y trabajos de entrenamiento y predicción. Envía solicitudes de predicción en línea.

Visualizador de AI Platform Vizier

roles/ml.viewer

Acceso de solo lectura a los recursos de AI Platform Vizier.

Permisos y funciones

Consulta esta sección para obtener una lista completa de los permisos que se otorgan con cada función predefinida de AI Platform Vizier. Si estas funciones predefinidas no satisfacen tus necesidades, usa esta sección como referencia para crear tus propias funciones personalizadas.

Función de administrador

Nombre de la función Descripción Permisos
roles/ml.admin Administrador de AI Platform Vizier

Acceso total al proyecto de AI Platform Vizier y a sus trabajos, operaciones, modelos, versiones, estudios y pruebas.

Nota: Migrar a esta función desde la función básica de editor del proyecto es bastante simple. Si antes usabas la función básica de editor asignada a nivel de proyecto, puedes usar esta función roles/ml.admin para otorgar el mismo conjunto de permisos al usuario.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.studies.create
  • ml.studies.delete
  • ml.studies.get
  • ml.studies.list
  • ml.trials.create
  • ml.trials.update
  • ml.trials.delete
  • ml.trials.get
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.setIamPolicy
  • ml.jobs.cancel
  • ml.operations.list
  • ml.operations.get
  • ml.operations.cancel
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.setIamPolicy
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.models.delete
  • ml.models.update
  • ml.versions.create
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict
  • ml.versions.delete

Función de desarrollador

Nombre de la función Descripción Permisos
roles/ml.developer

Acceso para crear estudios y pruebas, modelos, versiones y trabajos de predicción y entrenamiento; y enviar solicitudes de predicción en línea.

Nota: Un desarrollador recibe los permisos ml.jobs.cancel y ml.jobs.update en todos los trabajos que crea, porque la creación de un trabajo le otorga de forma automática la función de propietario del trabajo de AI Platform Vizier.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.studies.create
  • ml.studies.delete
  • ml.studies.get
  • ml.studies.list
  • ml.trials.create
  • ml.trials.update
  • ml.trials.delete
  • ml.trials.get
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.operations.list
  • ml.operations.get
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict

Función de visualizador

Nombre de la función Descripción Permisos
roles/ml.viewer

Acceso de solo lectura a los recursos de AI Platform Vizier en un proyecto específico.

Nota: La función heredada de visualizador del proyecto otorga al usuario los mismos permisos que la función roles/ml.viewer, además de acceso para enviar solicitudes de predicción en línea.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.studies.get
  • ml.studies.list
  • ml.trials.get
  • ml.jobs.list
  • ml.jobs.get
  • ml.operations.list
  • ml.operations.get
  • ml.models.list
  • ml.models.get
  • ml.versions.list
  • ml.versions.get

Limita el acceso a AI Platform Vizier

Las funciones de AI Platform Vizier otorgan acceso a AI Platform Training y AI Platform Prediction, además de AI Platform Vizier. Para otorgar acceso solo a los recursos de AI Platform Vizier, crea una función personalizada con los permisos que deseas.

Los métodos y sus respectivos permisos para AI Platform Vizier son los siguientes:

Recurso Método de la API Permiso
Estudio projects.locations.studies.create ml.studies.create
projects.locations.studies.delete ml.studies.delete
projects.locations.studies.get ml.studies.get
projects.locations.studies.list ml.studies.list
Prueba projects.locations.studies.trials.suggest ml.trials.update
projects.locations.studies.trials.create ml.trials.create
projects.locations.studies.trials.delete ml.trials.delete
projects.locations.studies.trials.addMeasurement ml.trials.update
projects.locations.studies.trials.stop ml.trials.update
projects.locations.studies.trials.complete ml.trials.update
projects.locations.studies.trials.get ml.trials.get
projects.locations.studies.trials.checkEarlyStoppingState ml.trials.get
projects.locations.studies.trials.list ml.trials.get

¿Qué sigue?