AI Platform Prediction verwendet die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM), um den Zugriff auf Ressourcen zu verwalten. Wenn Sie Zugriff auf eine Ressource gewähren möchten, weisen Sie einem Nutzer, einer Gruppe oder einem Dienstkonto mindestens eine Rolle zu.
In AI Platform Prediction können drei Arten von IAM-Rollen verwendet werden:
Einfache Rollen (Inhaber, Betrachter und Bearbeiter) gibt es für alle Google Cloud-Dienste.
Vordefinierte AI Platform Prediction-Rollen ermöglichen Ihnen auf Projekt- und Modellebene eine differenzierte Steuerung des Zugriffs auf Ihre AI Platform Prediction-Ressourcen.
Benutzerdefinierte Rollen ermöglichen es Ihnen, einen bestimmten Satz von Berechtigungen auszuwählen, eine eigene Rolle mit diesen Berechtigungen zu erstellen und Nutzern in Ihrer Organisation diese Rolle zuzuweisen.
In dieser Anleitung geht es insbesondere um vordefinierte AI Platform Prediction-Rollen, deren typische Verwendung und die zugehörigen Berechtigungen.
Der Leitfaden konzentriert sich auf Rollen und Berechtigungen, die Sie für den Zugriff auf AI Platform Prediction-Ressourcen benötigen. Weitere Informationen zu den Berechtigungen, die diese Ressourcen selbst für den Zugriff auf andere Google Cloud-Ressourcen benötigen, finden Sie unter Von Google verwaltetes Dienstkonto und benutzerdefinierte Dienstkonten in AI Platform.
Einfache Rollen
Die älteren IAM-Rollen von AI Platform Prediction basieren auf den einfachen Rollen, die alle GCP-Dienste verwenden: Inhaber, Betrachter und Bearbeiter.
Die Legacy-Projektrolle Bearbeiter entspricht der Rolle AI Platform Prediction-Administrator.
Die Legacy-Projektrolle Betrachter gewährt die gleichen Berechtigungen wie die Rolle AI Platform Prediction-Betrachter. Darüber hinaus gewährt sie Zugriff auf das Senden von Anfragen für Onlinevorhersagen. Der Vorteil der Rolle "AI Platform Prediction-Betrachter" besteht darin, dass der Nutzer Lesezugriff auf AI Platform Prediction-Ressourcen erhält.
Vordefinierte Rollen
Mit vordefinierten Rollen gewähren Sie bestimmte zusammengehörige Berechtigungen. AI Platform Prediction bietet vordefinierte Rollen für Ihr Projekt und auch für individuelle Modelle, Jobs und Vorgänge.
Klicken Sie auf den Namen der Rolle, um eine vollständige Liste der Berechtigungen für jede Rolle zu sehen.
Projektrollen
Die Rollen "AI Platform Prediction-Administrator", "AI Platform Prediction-Entwickler" und "AI Platform Prediction-Betrachter" gewähren auf Projektebene unterschiedliche Zugriffsrechte auf Ressourcen.
Informationen zum Hinzufügen, Aktualisieren oder Entfernen dieser Rollen in Ihrem AI Platform Prediction-Projekt finden Sie in der Dokumentation zum Erteilen, Ändern und Widerrufen des Zugriffs.
| Rollentitel | Rollenname | Leistungsspektrum |
|---|---|---|
| AI Platform Prediction-Administrator |
Vollständige Kontrolle über das AI Platform Prediction-Projekt und die zugehörigen Jobs, Vorgänge, Modelle und Versionen. Hinweis: Die einfache Projektrolle Bearbeiter entspricht |
|
| AI Platform Prediction-Entwickler |
Erstellen von Trainings- und Vorhersagejobs, -modellen und -versionen und senden von Onlinevorhersageanfragen. |
|
| AI Platform Prediction-Betrachter |
Lesezugriff auf AI Platform Prediction-Ressourcen. |
Modellrollen
Die Rollen für AI Platform Prediction-Modellinhaber und -Modellnutzer gewähren einer bestimmten Modellressource unterschiedliche Berechtigungen.
Sie können Modelle für Einzelpersonen oder Dienste freigeben, indem Sie ihnen die Modellnutzerrolle zuweisen.
| Rollentitel | Rollenname | Leistungsspektrum |
|---|---|---|
| AI Platform Prediction-Modellinhaber |
Voller Zugriff auf das Modell und seine Versionen. Diese Rolle wird dem Nutzer, der das Modell erstellt, automatisch zugewiesen. |
|
| AI Platform Prediction-Modellnutzer |
Berechtigungen zum Lesen des Modells und seiner Versionen und deren Nutzung für Vorhersagen. Die Erteilung dieser Rolle macht es einfach, bestimmte Modelle zu teilen. |
Job- und Vorgangsrollen
Ähnlich wie die Rolle Modellinhaber gibt es Inhaberrollen auf den Job- und Vorgangsressourcenebenen, die automatisch demjenigen Nutzer zugewiesen werden, der den Job oder den Vorgang erstellt. Mit diesen Rollen erhält der Nutzer volle Kontrolle über jeden von ihm erstellten Job oder Vorgang. Weitere Informationen finden Sie unter Berechtigungen für Job- und Vorgangsrollen.
Berechtigungen und Rollen
In diesem Abschnitt finden Sie eine vollständige Liste der Berechtigungen, die mit jeder vordefinierten Rolle von AI Platform Prediction gewährt werden. Wenn diese vordefinierten Rollen Ihre Anforderungen nicht erfüllen, nutzen Sie diesen Abschnitt als Referenz für die Erstellung Ihrer eigenen benutzerdefinierten Rollen.
Admin-Rolle
| Rollenname | Beschreibung | Berechtigungen |
|---|---|---|
roles/ml.admin
|
AI Platform Prediction-Administrator
Vollständiger Zugriff auf Ihr AI Platform Prediction-Projekt und die dazugehörigen Jobs, Vorgänge, Modelle und Versionen. Hinweis: Das Migrieren zu dieser Rolle aus der einfachen Projektrolle Bearbeiter ist relativ einfach. Wenn Sie zuvor die auf Projektebene zugewiesene einfache Rolle Bearbeiter verwendet haben, können Sie dem Nutzer mit der Rolle |
|
Entwicklerrolle
| Rollenname | Beschreibung | Berechtigungen |
|---|---|---|
roles/ml.developer
|
Kann Trainings- und Vorhersagejobs, Modelle und Versionen erstellen und Onlinevorhersageanfragen senden. Hinweis: Ein Entwickler erhält für alle von ihm erstellten Jobs die Berechtigungen Empfehlung:Gewähren Sie dem Entwickler für die Fehlerbehebung Lesezugriff auf die AI Platform Prediction-Logs. |
|
Betrachterrolle
| Rollenname | Beschreibung | Berechtigungen |
|---|---|---|
roles/ml.viewer
|
Lesezugriff auf AI Platform Prediction-Ressourcen in einem bestimmten Projekt. Hinweis: Die Legacy-Projektrolle Betrachter gewährt Nutzern die gleichen Berechtigungen wie die Rolle |
|
Modellinhaberrolle
| Rollenname | Beschreibung | Berechtigungen |
|---|---|---|
roles/ml.modelOwner
|
Voller Zugriff auf das Modell und seine Versionen. Diese Rolle wird dem Nutzer, der das Modell erstellt, automatisch zugewiesen. |
|
Modellnutzerrolle
| Rollenname | Beschreibung | Berechtigungen |
|---|---|---|
roles/ml.modelUser
|
Berechtigung, das Modell und seine Versionen zu lesen und sie für die Vorhersage zu verwenden. |
|
Jobinhaberrolle
| Rollenname | Beschreibung | Berechtigungen |
|---|---|---|
roles/ml.jobOwner
|
Voller Zugriff auf alle Berechtigungen für eine bestimmte Jobressource. Die Jobinhaberrolle wird automatisch dem Nutzer zugewiesen, der diesen Job erstellt. Beispielsweise kann ein Nutzer, der die Rolle "AI Platform Prediction-Entwickler" in einem Projekt hat, Jobs erstellen, alle Jobs auflisten und auf alle Jobs in einem bestimmten Projekt zugreifen. Der Entwickler kann nur die von ihm erstellten Jobs abbrechen. |
|
Vorgangsinhaberrolle
| Rollenname | Beschreibung | Berechtigungen |
|---|---|---|
roles/ml.operationOwner
|
Vollzugriff auf alle Berechtigungen für eine bestimmte Betriebsressource. Die Vorganginhaberrolle wird automatisch dem Nutzer für alle Vorgänge erteilt, die der Nutzer indirekt beim Erstellen einer Version oder eines Modells erstellt, damit der Nutzer immer auf seine eigenen Vorgänge zugreifen oder sie abbrechen kann. |
|
Erforderliche Berechtigungen für Vorhersagen
Der Einfachheit halber werden in dieser Tabelle die Berechtigungen zusammengefasst, die speziell für Training und Vorhersage erforderlich sind:
| Aufgabe | Erforderliche Berechtigungen |
|---|---|
| Batchvorhersage |
Hinweis: Sie können einen Batchvorhersagejob ohne eine bereitgestellte Version erstellen. Dazu geben Sie den Cloud Storage-Speicherort an, in dem ein Modell gespeichert ist. Für diese Art von Batchvorhersagejob ist nur die Berechtigung Zum Erstellen eines Batchvorhersagejobs, der eine bereitgestellte Version verwendet, benötigen Sie darüber hinaus die Berechtigung |
| Onlinevorhersage |
|
Für Methoden erforderliche Berechtigungen
Zur Vereinfachung sind in diesem Abschnitt die erforderlichen Berechtigungen aufgelistet, um jede Methode in AI Platform Prediction aufzurufen:
| Methode | Erforderliche Berechtigungen |
|---|---|
| projects.getConfig | ml.projects.getConfig |
| projects.jobs.cancel | ml.jobs.cancel |
| projects.jobs.create | ml.jobs.create
Hinweis: Zum Erstellen eines Batchvorhersagejobs, der eine bereitgestellte Version verwendet, benötigen Sie außerdem die Berechtigung |
| projects.jobs.get | ml.jobs.get |
| projects.jobs.list | ml.jobs.list |
| projects.models.create | ml.models.create |
| projects.models.delete | ml.models.delete |
| projects.models.get | ml.models.get |
| projects.models.list | ml.models.list |
| projects.models.versions.create | ml.versions.create |
| projects.models.versions.delete | ml.versions.delete |
| projects.models.versions.get | ml.versions.get |
| projects.models.versions.list | ml.versions.list |
| projects.models.versions.setDefault | ml.models.update |
| projects.operations.cancel | ml.operations.cancel |
| projects.operations.get | ml.operations.get |
| projects.operations.list | ml.operations.list |
Erforderliche Berechtigungen für die Speicherung
Wenn Sie das trainierte Modell zum Abrufen von Vorhersagen in AI Platform Prediction bereitstellen, laden Sie Ihre gespeicherten Modelldateien in Cloud Storage hoch. Innerhalb des Cloud Storage-Buckets sind die Modelldateien Objekte. Sie müssen dafür sorgen, dass Ihr AI Platform Prediction-Dienstkonto auf die Dateien für Ihr trainiertes Modell in Ihrem Cloud Storage-Bucket zugreifen kann.
Gewähren Sie Ihrem AI Platform Prediction-Dienstkonto eine Cloud Storage-IAM-Rolle, die mindestens folgende Berechtigungen enthält:
| Erforderliche Berechtigungen | Erklärung |
|---|---|
storage.buckets.list
|
Ermöglicht dem AI Platform Prediction-Projekt, Modelldateien im Cloud Storage-Bucket zu finden. |
storage.objects.get
|
Ermöglicht Ihrem AI Platform Prediction-Projekt das Lesen der Modelldateien in Ihrem Cloud Storage-Bucket. |
Weitere Informationen zum Konfigurieren von Cloud Storage-Berechtigungen für AI Platform Prediction