O AI Platform Prediction usa o gerenciamento de identidade e acesso (IAM) para gerenciar o acesso aos recursos. Para conceder acesso a um recurso, atribua um ou mais papéis a um usuário, um grupo ou uma conta de serviço.
Há três tipos de papéis de IAM que podem ser usados no AI Platform Prediction:
Os papéis básicos (proprietário, leitor e editor) são comuns a todos os serviços do Google Cloud.
Os papéis predefinidos do AI Platform Prediction fornecem um controle de acesso refinado para os recursos dessa plataforma nos níveis de modelo e projeto.
Os papéis personalizados permitem escolher um conjunto específico de permissões, criar seu próprio papel com elas e concedê-lo aos usuários da organização.
Neste guia, abordamos os papéis predefinidos do AI Platform Prediction, seu uso típico e as permissões associadas.
Neste guia, você verá os papéis e as permissões necessários para acessar os recursos do AI Platform Prediction. Para saber mais sobre as permissões que esses recursos em si para acessar outros recursos do Google Cloud, ler sobre o agente de serviço do AI Platform contas de serviço.
Papéis básicos
Os papéis legados do IAM do AI Platform Prediction são baseados nos papéis básicos comuns a todos os serviços do GCP: proprietário, leitor e editor.
O papel Editor do projeto legado é equivalente ao papel Administrador do AI Platform Prediction.
O papel Leitor do projeto legado concede as mesmas permissões que o papel Leitor do AI Platform Prediction, além do acesso ao envio de solicitações de previsão on-line. A vantagem de usar o papel Leitor do AI Platform Prediction é que o usuário tem acesso somente leitura aos recursos do AI Platform Prediction.
Papéis predefinidos
Os papéis predefinidos concedem um grupo de permissões relacionadas. O AI Platform Prediction oferece papéis predefinidos não só para o projeto, mas também para modelos, jobs e operações individuais.
Para ver a lista de permissões completa, clique no nome do papel.
Papéis do projeto
Os papéis Administrador, Desenvolvedor e Leitor do AI Platform Prediction concedem níveis variados de acesso aos recursos no nível do projeto.
Para adicionar, atualizar ou remover esses papéis do seu projeto do AI Platform Prediction, consulte a documentação sobre como conceder, alterar e revogar acesso.
| Título do papel | Nome do papel | Recursos |
|---|---|---|
| Administrador do AI Platform Prediction |
Controle total do projeto do AI Platform Prediction e respectivos jobs, operações, modelos e versões. Observação: o papel básico Editor do projeto equivale a
|
|
| Desenvolvedor do AI Platform Prediction |
Acesso para criar jobs de treinamento e predição, modelos e versões e para enviar solicitações de predição on-line. |
|
| Leitor do AI Platform Prediction |
Acesso somente leitura aos recursos do AI Platform Prediction. |
Papéis do modelo
Os papéis Proprietário do modelo e Usuário do modelo do AI Platform Prediction concedem permissões variáveis a um recurso de modelo específico.
Compartilhe modelos com indivíduos ou serviços concedendo a eles o papel de usuário do modelo.
| Título do papel | Nome do papel | Recursos |
|---|---|---|
| Proprietário do modelo do AI Platform Prediction |
Acesso total ao modelo e às respectivas versões. Este papel é concedido automaticamente ao usuário que cria o modelo. |
|
| Usuário do modelo do AI Platform Prediction |
Permissões para ler o modelo e as respectivas versões e usá-los para predição. A concessão deste papel facilita o compartilhamento de modelos específicos. |
Papéis de job e de operação
Assim como o papel de proprietário do modelo, há papéis de proprietário no nível de recursos de job e de operação que são atribuídos automaticamente ao usuário que cria o job ou a operação. Com esses papéis, os usuários têm o controle total sobre qualquer job ou operação que criarem. Para mais informações, consulte as permissões dos papéis relacionados a jobs e operações.
Permissões e papéis
Consulte esta seção para ver uma lista completa de permissões concedidas com cada papel predefinido do AI Platform Prediction. Se esses papéis predefinidos não atenderem às suas necessidades, use esta seção como referência para criar seus próprios papéis personalizados.
Papel de administrador
| Nome do papel | Descrição | Permissões |
|---|---|---|
roles/ml.admin
|
Administrador do AI Platform Prediction
Acesso total ao projeto do AI Platform Prediction e respectivos jobs, operações, modelos e versões. Observação: é bem simples migrar para este papel a partir do papel básico
Editor do projeto. Se você já usou o papel
básico Editor atribuído no nível do projeto, é possível
utilizar o papel |
|
Papel de desenvolvedor
| Nome do papel | Descrição | Permissões |
|---|---|---|
roles/ml.developer
|
Acesso que permite criar jobs de treinamento e predição, modelos e versões e enviar solicitações de predição on-line. Observação: um desenvolvedor recebe as permissões Recomendação: conceda ao desenvolvedor acesso somente leitura aos registros do AI Platform Prediction para fins de solução de problemas. |
|
Papel de Leitor
| Nome do papel | Descrição | Permissões |
|---|---|---|
roles/ml.viewer
|
Acesso somente leitura aos recursos do AI Platform Prediction em um projeto específico. Observação: o papel legado de Leitor do projeto concede ao usuário as mesmas permissões que o papel |
|
Papel de Proprietário do modelo
| Nome do papel | Descrição | Permissões |
|---|---|---|
roles/ml.modelOwner
|
Acesso total ao modelo e às versões dele. Este papel é concedido automaticamente ao usuário que cria o modelo. |
|
Papel de usuário do modelo
| Nome do papel | Descrição | Permissões |
|---|---|---|
roles/ml.modelUser
|
Permissões para ler o modelo e as respectivas versões e usá-los para predição. |
|
Papel de proprietário do job
| Nome do papel | Descrição | Permissões |
|---|---|---|
roles/ml.jobOwner
|
Acesso total a todas as permissões para um determinado recurso de job. Esse papel é concedido automaticamente ao usuário que cria o job. Por exemplo, um usuário que tem o papel Desenvolvedor do AI Platform Prediction em um projeto pode criar jobs, listar todos os jobs e acessar todos eles em um determinado projeto. Ele tem permissão para cancelar apenas os jobs criados por ele. |
|
Papel de proprietário de operação
| Nome do papel | Descrição | Permissões |
|---|---|---|
roles/ml.operationOwner
|
Acesso total a todas as permissões para um determinado recurso de operação. Este papel é concedido ao usuário automaticamente em todas as operações que ele criar indiretamente durante a criação de uma versão ou um modelo, para que o usuário possa sempre ver e cancelar as próprias operações. |
|
Permissões necessárias para previsão
Para facilitar, esta tabela resume as permissões que são necessárias especificamente para treinamento e previsão:
| Tarefa | Permissão exigida |
|---|---|
| Previsão em lote |
Observação: para criar um job de previsão em lote sem uma versão implantada, especifique o local de um modelo salvo no Cloud Storage. Esse tipo de job de previsão em lote requer apenas a permissão Para criar um job de previsão em lote que use uma versão implantada, você também precisará de |
| Previsão on-line |
|
Permissões necessárias para cada método
Para facilitar, nesta seção, há uma lista das permissões necessárias para chamar cada método no AI Platform Prediction:
| Método | Permissões necessárias |
|---|---|
| projects.getConfig | ml.projects.getConfig |
| projects.jobs.cancel | ml.jobs.cancel |
| projects.jobs.create | ml.jobs.create
Observação: para criar um job de previsão em lote que use um
você também vai precisar das tags |
| projects.jobs.get | ml.jobs.get |
| projects.jobs.list | ml.jobs.list |
| projects.models.create | ml.models.create |
| projects.models.delete | ml.models.delete |
| projects.models.get | ml.models.get |
| projects.models.list | ml.models.list |
| projects.models.versions.create | ml.versions.create |
| projects.models.versions.delete | ml.versions.delete |
| projects.models.versions.get | ml.versions.get |
| projects.models.versions.list | ml.versions.list |
| projects.models.versions.setDefault | ml.models.update |
| projects.operations.cancel | ml.operations.cancel |
| projects.operations.get | ml.operations.get |
| projects.operations.list | ml.operations.list |
Permissões exigidas para armazenamento
Ao implantar seu modelo treinado no AI Platform Prediction para fazer previsões, você faz upload dos arquivos de modelo salvos no Cloud Storage. Dentro do bucket do Cloud Storage, os arquivos de modelo são objetos. Certifique-se de que sua conta de serviço do AI Platform Prediction possa acessar os arquivos de seu modelo treinado no bucket do Cloud Storage.
Conceda à conta de serviço do AI Platform Prediction um papel de IAM do Cloud Storage que inclua pelo menos as seguintes permissões:
| Permissão exigida | Explicação |
|---|---|
storage.buckets.list
|
Permite que seu projeto do AI Platform Prediction encontre arquivos de modelo em seu bucket do Cloud Storage. |
storage.objects.get
|
Permite que o projeto do AI Platform Prediction leia os arquivos de modelo no bucket do Cloud Storage. |
Veja como configurar as permissões do Cloud Storage para o AI Platform Prediction.