Kontrol akses dengan IAM

AI Platform Prediction menggunakan Identity and Access Management (IAM) untuk mengelola akses ke resource. Untuk memberikan akses ke resource, tetapkan satu atau beberapa peran ke pengguna, grup, atau akun layanan.

Ada tiga jenis peran IAM yang dapat digunakan dalam AI Platform Prediction:

  • Peran dasar (Pemilik, Pelihat, dan Editor) bersifat umum untuk semua layanan Google Cloud.

  • Peran AI Platform Prediction yang telah ditentukan memberi Anda kontrol akses yang mendetail ke resource Prediction AI Platform pada level project dan model.

  • Peran khusus memungkinkan Anda memilih sekumpulan izin tertentu, membuat peran Anda sendiri dengan izin tersebut, dan memberikan peran tersebut kepada pengguna di organisasi Anda.

Panduan ini berfokus pada peran AI Platform Prediction yang telah ditentukan sebelumnya, penggunaan umumnya, dan izin terkait.

Panduan ini berfokus pada peran dan izin yang Anda perlukan untuk mengakses resource AI Platform Prediction. Untuk mempelajari lebih lanjut izin yang dimiliki resource ini untuk mengakses resource Google Cloud lainnya, baca tentang Akun layanan yang dikelola Google dan akun layanan kustom AI Platform.

Peran dasar

Peran IAM AI Platform Prediction lama didasarkan pada peran dasar yang berlaku untuk semua layanan GCP: Pemilik, Viewer, dan Editor.

Peran Editor project lama setara dengan peran AI Platform Prediction Admin.

Peran Viewer project lama memberikan izin yang sama seperti peran AI Platform Prediction Viewer, plus akses untuk mengirim permintaan prediksi online. Keuntungan menggunakan peran AI Platform Prediction Viewer adalah pengguna mendapatkan akses hanya baca ke resource AI Platform Prediction.

Peran yang telah ditetapkan

Peran yang telah ditetapkan memberikan sekumpulan izin terkait. AI Platform Prediction menawarkan peran yang telah ditetapkan untuk project Anda, juga untuk model, tugas, dan operasi individual.

Untuk melihat daftar lengkap izin untuk setiap peran, klik nama peran tersebut.

Peran project

Peran Admin, Developer, dan Viewer AI Platform Prediction memberikan berbagai tingkat akses ke resource di level project.

Untuk menambahkan, memperbarui, atau menghapus peran ini dalam project AI Platform Prediction, baca dokumentasi tentang memberikan, mengubah, dan mencabut akses.

Nama Peran Nama Peran Kapabilitas
Admin Prediksi AI Platform

roles/ml.admin

Kontrol penuh atas project AI Platform Prediction, beserta tugas, operasi, model, dan versinya.

Catatan: Peran Editor project dasar setara dengan roles/ml.admin.

Developer Prediksi AI Platform

roles/ml.developer

Buat tugas pelatihan dan prediksi, model dan versi, serta kirim permintaan prediksi online.

Penampil Prediksi AI Platform

roles/ml.viewer

Akses baca saja ke resource AI Platform Prediction.

Peran model

Peran Pemilik Model Prediksi AI Platform dan Pengguna Model memberikan berbagai izin ke resource model tertentu.

Anda dapat berbagi model dengan individu atau layanan dengan memberi mereka peran Pengguna Model.

Nama Peran Nama Peran Kapabilitas
Pemilik Model Prediksi AI Platform

roles/ml.modelOwner

Akses penuh ke model dan versinya. Peran ini otomatis diberikan kepada pengguna yang membuat model.

Pengguna Model Prediksi AI Platform

roles/ml.modelUser

Izin untuk membaca model dan versinya, serta menggunakannya untuk prediksi. Memberikan peran ini akan memudahkan Anda membagikan model tertentu.

Peran tugas dan operasi

Serupa dengan peran Pemilik Model, ada peran pemilik di tingkat resource operasi dan tugas yang ditetapkan secara otomatis kepada pengguna yang membuat tugas atau operasi. Peran ini memungkinkan pengguna mengontrol sepenuhnya tugas atau operasi yang mereka buat. Untuk mengetahui informasi selengkapnya, lihat izin untuk peran tugas dan operasi.

Izin dan peran

Lihat bagian ini untuk mengetahui daftar lengkap izin yang diberikan dengan setiap peran AI Platform Prediction yang telah ditentukan. Jika peran yang telah ditetapkan ini tidak memenuhi kebutuhan Anda, gunakan bagian ini sebagai referensi untuk membuat peran khusus Anda sendiri.

Peran admin

Nama Peran Deskripsi Izin
roles/ml.admin Admin Prediksi AI Platform

Akses penuh ke project AI Platform Prediction Anda, beserta tugas, operasi, model, dan versinya.

Catatan: Migrasi ke peran ini dari peran Editor project dasar cukup mudah. Jika sebelumnya Anda menggunakan peran Editor dasar yang ditetapkan pada level project, Anda dapat menggunakan peran roles/ml.admin ini untuk memberikan serangkaian izin yang sama persis kepada pengguna.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.setIamPolicy
  • ml.jobs.cancel
  • ml.operations.list
  • ml.operations.get
  • ml.operations.cancel
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.setIamPolicy
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.models.delete
  • ml.models.update
  • ml.versions.create
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict
  • ml.versions.delete

Peran developer

Nama Peran Deskripsi Izin
roles/ml.developer

Akses untuk membuat pelatihan dan tugas prediksi, model dan versi, serta mengirim permintaan prediksi online.

Catatan: Developer menerima izin ml.jobs.cancel dan ml.jobs.update pada semua tugas yang mereka buat, karena membuat tugas akan otomatis memberi mereka peran Pemilik Lowongan AI Platform Prediction.

Rekomendasi: Beri developer akses hanya baca ke log Prediksi AI Platform untuk tujuan pemecahan masalah.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.operations.list
  • ml.operations.get
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict

Peran Pengakses Lihat-Saja

Nama Peran Deskripsi Izin
roles/ml.viewer

Akses baca saja ke resource AI Platform Prediction pada project tertentu.

Catatan: Peran Viewer project yang lama memberi pengguna izin yang sama seperti peran roles/ml.viewer, plus akses untuk mengirim permintaan prediksi online.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.list
  • ml.jobs.get
  • ml.operations.list
  • ml.operations.get
  • ml.models.list
  • ml.models.get
  • ml.versions.list
  • ml.versions.get

Peran Pemilik Model

Nama Peran Deskripsi Izin
roles/ml.modelOwner Akses penuh ke model dan versinya. Peran ini otomatis diberikan kepada pengguna yang membuat model.
  • ml.models.get
  • ml.models.setIamPolicy
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.models.delete
  • ml.models.update
  • ml.versions.create
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict
  • ml.versions.delete

Peran Pengguna Model

Nama Peran Deskripsi Izin
roles/ml.modelUser Izin untuk membaca model dan versinya, serta menggunakannya untuk prediksi.
  • ml.models.get
  • ml.models.predict
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict

Peran Pemilik Pekerjaan

Nama Peran Deskripsi Izin
roles/ml.jobOwner

Akses penuh ke semua izin untuk resource tugas tertentu. Peran Job Owner diberikan secara otomatis kepada pengguna yang membuat tugas tersebut.

Misalnya, pengguna yang memiliki peran AI Platform Prediction Developer pada sebuah project dapat membuat tugas, mencantumkan semua tugas, dan mendapatkan semua tugas dalam project tertentu. Developer memiliki akses untuk membatalkan tugas yang telah dibuat saja.

  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.cancel

Peran Pemilik Operasi

Nama Peran Deskripsi Izin
roles/ml.operationOwner

Akses penuh ke semua izin untuk resource operasi tertentu. Peran Pemilik Operasi diberikan kepada pengguna secara otomatis pada setiap operasi yang dibuat oleh pengguna secara tidak langsung saat membuat versi atau model, sehingga pengguna selalu bisa mendapatkan dan membatalkan operasinya sendiri.

  • ml.operations.get
  • ml.operations.cancel

Izin diperlukan untuk prediksi

Untuk memudahkan, tabel ini merangkum izin yang secara khusus diperlukan untuk pelatihan dan prediksi:

Tugas Izin yang Diperlukan
Prediksi batch
  • ml.jobs.create
  • ml.models.predict*
  • ml.versions.predict*

Catatan: Anda dapat membuat tugas prediksi batch tanpa versi yang di-deploy dengan menentukan lokasi model yang disimpan di Cloud Storage. Jenis tugas prediksi batch ini hanya memerlukan izin ml.jobs.create.

Untuk membuat tugas prediksi batch yang menggunakan versi yang di-deploy, Anda juga memerlukan ml.models.predict atau ml.versions.predict, tetapi tidak keduanya.

Prediksi online
  • ml.models.predict
  • ml.versions.predict

Izin yang diperlukan untuk metode

Untuk memudahkan, bagian ini mencantumkan izin yang diperlukan untuk memanggil setiap metode di AI Platform Prediction:

Metode Izin yang Diperlukan
projects.getConfig ml.projects.getConfig
projects.jobs.cancel ml.jobs.cancel
projects.jobs.create ml.jobs.create

Catatan: Untuk membuat tugas prediksi batch yang menggunakan versi yang di-deploy, Anda juga memerlukan ml.models.predict atau ml.versions.predict, tetapi tidak keduanya.

projects.jobs.get ml.jobs.get
projects.jobs.list ml.jobs.list
projects.models.create ml.models.create
projects.models.delete ml.models.delete
projects.models.get ml.models.get
projects.models.list ml.models.list
projects.models.versions.create ml.versions.create
projects.models.versions.delete ml.versions.delete
projects.models.versions.get ml.versions.get
projects.models.versions.list ml.versions.list
projects.models.versions.setDefault ml.models.update
projects.operations.cancel ml.operations.cancel
projects.operations.get ml.operations.get
projects.operations.list ml.operations.list

Izin yang diperlukan untuk penyimpanan

Ketika Anda men-deploy model terlatih pada AI Platform Prediction untuk mendapatkan prediksi, Anda mengupload file model yang tersimpan ke Cloud Storage. Dalam bucket Cloud Storage, file model Anda adalah objek. Anda harus memastikan bahwa akun layanan AI Platform Prediction Anda dapat mengakses file untuk model terlatih Anda di bucket Cloud Storage.

Beri akun layanan AI Platform Prediction Anda peran IAM Cloud Storage yang setidaknya menyertakan izin berikut:

Izin yang Diperlukan Penjelasan
storage.buckets.list Memungkinkan project AI Platform Prediction Anda menemukan file model di bucket Cloud Storage.
storage.objects.get Mengizinkan project AI Platform Prediction Anda untuk membaca file model dalam bucket Cloud Storage.

Lihat cara mengonfigurasi izin Cloud Storage untuk AI Platform Prediction.

Langkah selanjutnya