AI Platform Pipelines dipende dai ruoli Identity and Access Management (IAM) per autorizzare utenti, gruppi e servizi durante le pipeline di machine learning (ML) per accedere alle risorse Google Cloud.
Questo documento descrive i ruoli richiesti per:
- Configurare AI Platform Pipelines.
- Esegui AI Platform Pipelines con un account di servizio gestito dall'utente.
- Accedere ad AI Platform Pipelines come utente.
Scopri di più sui concetti IAM e su come IAM funziona.
Ruoli necessari per configurare AI Platform Pipelines
Per eseguire il deployment di AI Platform Pipelines, devi disporre del ruolo Visualizzatore (roles/viewer
)
e Amministratore di Kubernetes Engine (roles/container.admin
).
Il ruolo Visualizzatore fornisce l'accesso in lettura a tutte le risorse all'interno di un progetto. La
Il ruolo Amministratore di Kubernetes Engine fornisce l'accesso completo ai cluster Kubernetes e
oggetti API di Kubernetes.
Per seguire il principio del privilegio minimo, configura AI Platform Pipelines
per l'utilizzo di un accesso granulare. Per configurare
con accesso granulare, ti deve essere concesso anche l'account di servizio
Ruolo Amministratore (roles/iam.serviceAccountAdmin
) per il progetto. Il Servizio
Il ruolo Amministratore account fornisce l'accesso per creare e configurare IAM
account di servizio.
Scopri di più su come concedere l'accesso ai ruoli IAM.
Ruolo | Autorizzazioni |
---|---|
Visualizzatore (roles/viewer ) |
Autorizzazioni per azioni di sola lettura che non influiscono sullo stato, come visualizzare (ma non modificare) risorse o dati esistenti al suo interno di un progetto. |
Kubernetes Engine Admin( Fornisce l'accesso alla gestione completa dei cluster e dei rispettivi oggetti API di Kubernetes.
Per impostare un account di servizio sui nodi, devi disporre anche del ruolo Utente account di servizio
( Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Amministratore account di servizio( Crea e gestisce gli account di servizio. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Ruoli necessari per eseguire AI Platform Pipelines con un account di servizio gestito dall'utente
Pod su un cluster Google Kubernetes Engine (GKE)
per l'autenticazione in Google Cloud utilizzando
l'account di servizio. Per semplificare la configurazione e l'uso di AI Platform Pipelines,
I cluster GKE creati da AI Platform Pipelines utilizzano il valore predefinito
l'account di servizio Compute Engine
https://www.googleapis.com/auth/cloud-platform
ambito di accesso. Questo accesso
fornisce l'accesso completo alle risorse e alle API Google Cloud che
abilitato nel tuo progetto, che potrebbe fornire i carichi di lavoro sul tuo cluster
un accesso eccessivo a Google Cloud.
Per assegnare autorizzazioni granulari ai carichi di lavoro in esecuzione sul tuo AI Platform Pipelines, crea un account di servizio per il cluster e concedi questo account di servizio accede ai seguenti ruoli nel progetto:
- Visualizzatore Monitoring: il visualizzatore Monitoring (
roles/monitoring.viewer
) fornisce accesso in lettura ai dati e alle configurazioni di monitoraggio. - Writer metriche Monitoring: Writer metriche Monitoring
Il ruolo (
roles/monitoring.metricWriter
) fornisce l'accesso in scrittura in modo che il tuo in un cluster può scrivere metriche. - Writer log: il ruolo Writer log (
roles/logging.logWriter
) consente agli utenti del cluster e scrivere le voci di log. - Visualizzatore oggetti Storage: se prevedi di creare immagini container personalizzate
per le tue pipeline archiviate in Container Registry, concedi
Accesso dei cluster AI Platform Pipelines al visualizzatore oggetti Storage
(
roles/storage.objectViewer
) per il progetto.
Devi inoltre concedere al tuo account di servizio l'accesso a qualsiasi account Google Cloud risorse o API utilizzate dalle tue pipeline ML.
- Configura il tuo cluster GKE in modo da utilizzare un cluster gestito dall'utente dell'account di servizio.
- Scopri di più sui ruoli IAM e sulla gestione del servizio .
Ruolo | Titolo | Descrizione | Autorizzazioni |
---|---|---|---|
Monitoring Viewer( Fornisce l'accesso di sola lettura per ottenere ed elencare le informazioni su tutto il monitoraggio e configurazioni. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
||
Monitoring Metric Writer( Fornisce l'accesso di sola scrittura alle metriche. che fornisce esattamente le autorizzazioni richiesti dall'agente Cloud Monitoring e da altri sistemi che inviano metriche. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
||
Logs Writer( Fornisce le autorizzazioni per scrivere voci di log. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
||
Storage Object Viewer( Concede l'accesso per visualizzare gli oggetti e i relativi metadati, esclusi gli ACL. Lattina per elencare gli oggetti in un bucket. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Ruoli necessari per accedere ad AI Platform Pipelines come utente
Per accedere a un cluster AI Platform Pipelines, a ogni utente deve essere concesso
il ruolo Visualizzatore cluster Kubernetes Engine (roles/container.clusterViewer
) e
il ruolo Utente account di servizio per
Account di servizio del cluster Google Kubernetes Engine.
Ruolo | Titolo | Descrizione | Autorizzazioni |
---|---|---|---|
Kubernetes Engine Cluster Viewer( Fornisce l'accesso per recuperare ed elencare i cluster GKE. |
|
Passa alla sezione successiva per scoprire come concedere agli utenti l'accesso al il ruolo Visualizzatore cluster Kubernetes Engine e il ruolo Utente account di servizio.
Concedere a un utente l'accesso ad AI Platform Pipelines
Segui le istruzioni riportate di seguito per concedere a un account utente l'accesso al tuo del cluster AI Platform Pipelines.
Apri AI Platform Pipelines nella console Google Cloud.
Trova il tuo cluster AI Platform Pipelines. Prendi nota il cluster e la zona da utilizzare nei passaggi successivi.
Apri una sessione di Cloud Shell.
Cloud Shell si apre in un frame nella parte inferiore della console Google Cloud. Utilizza le funzionalità di Cloud Shell per completare il resto della procedura.
Esegui questo comando per impostare il progetto Google Cloud predefinito sessione di Cloud Shell.
gcloud config set project PROJECT_ID
Sostituisci PROJECT_ID con l'ID del tuo progetto Google Cloud.
Esegui questo comando per trovare l'account di servizio dei cluster GKE.
gcloud container clusters describe CLUSTER_NAME --zone ZONE \ --format="flattened(nodePools[].config.serviceAccount)"
Sostituisci quanto segue:
- CLUSTER_NAME: il nome del tuo cluster GKE in un cluster Kubernetes.
- ZONE: la zona in cui è stato creato il cluster.
La risposta potrebbe indicare che il cluster utilizza un account di servizio denominato
default
. Questo valore si riferisce all'account di servizio predefinito per in Compute Engine. Esegui questo comando per trovare il nome completo l'account di servizio.gcloud iam service-accounts list \ --filter "compute@developer.gserviceaccount.com"
Scopri di più sull'account di servizio predefinito di Compute Engine.
Concedi al tuo account utente il ruolo Utente account di servizio nella tua l'account di servizio del cluster GKE.
gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME \ --member=user:USERNAME \ --role=roles/iam.serviceAccountUser
Sostituisci quanto segue:
- SERVICE_ACCOUNT_NAME: il nome del tuo dell'account di servizio del cluster GKE, che hai trovato nel passaggio precedente. I nomi degli account di servizio hanno il seguente formato: *@*.gserviceaccount.com.
- USERNAME: il tuo nome utente su Google Cloud.
Concedi al tuo account utente l'accesso al cluster GKE Visualizzatore per il progetto.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member user:USERNAME --role roles/container.clusterViewer
Sostituisci quanto segue:
- PROJECT_ID: l'ID del tuo progetto Google Cloud.
- USERNAME: il tuo nome utente su Google Cloud.