Zugriffssteuerung

AI Platform Prediction verwendet die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM), um den Zugriff auf Ressourcen zu verwalten. Wenn Sie Zugriff auf eine Ressource gewähren möchten, weisen Sie einem Nutzer, einer Gruppe oder einem Dienstkonto mindestens eine Rolle zu.

In AI Platform Prediction können drei Arten von IAM-Rollen verwendet werden:

  • Einfache Rollen (Inhaber, Betrachter und Bearbeiter) gibt es für alle Google Cloud-Dienste.

  • Vordefinierte AI Platform Prediction-Rollen ermöglichen Ihnen auf Projekt- und Modellebene eine differenzierte Steuerung des Zugriffs auf Ihre AI Platform Prediction-Ressourcen.

  • Benutzerdefinierte Rollen ermöglichen es Ihnen, einen bestimmten Satz von Berechtigungen auszuwählen, eine eigene Rolle mit diesen Berechtigungen zu erstellen und Nutzern in Ihrer Organisation diese Rolle zuzuweisen.

In dieser Anleitung geht es insbesondere um vordefinierte AI Platform Prediction-Rollen, deren typische Verwendung und die zugehörigen Berechtigungen.

Der Leitfaden konzentriert sich auf Rollen und Berechtigungen, die Sie für den Zugriff auf AI Platform Prediction-Ressourcen benötigen. Weitere Informationen zu den Berechtigungen, die diese Ressourcen selbst für den Zugriff auf andere Google Cloud-Ressourcen benötigen, finden Sie unter Von Google verwaltetes Dienstkonto und benutzerdefinierte Dienstkonten in AI Platform.

Einfache Rollen

Die älteren IAM-Rollen von AI Platform Prediction basieren auf den einfachen Rollen, die alle GCP-Dienste verwenden: Inhaber, Betrachter und Bearbeiter.

Die Legacy-Projektrolle Bearbeiter entspricht der Rolle AI Platform Prediction-Administrator.

Die Legacy-Projektrolle Betrachter gewährt die gleichen Berechtigungen wie die Rolle AI Platform Prediction-Betrachter. Darüber hinaus gewährt sie Zugriff auf das Senden von Anfragen für Onlinevorhersagen. Der Vorteil der Rolle "AI Platform Prediction-Betrachter" besteht darin, dass der Nutzer Lesezugriff auf AI Platform Prediction-Ressourcen erhält.

Vordefinierte Rollen

Mit vordefinierten Rollen gewähren Sie bestimmte zusammengehörige Berechtigungen. AI Platform Prediction bietet vordefinierte Rollen für Ihr Projekt und auch für individuelle Modelle, Jobs und Vorgänge.

Klicken Sie auf den Namen der Rolle, um eine vollständige Liste der Berechtigungen für jede Rolle zu sehen.

Projektrollen

Die Rollen "AI Platform Prediction-Administrator", "AI Platform Prediction-Entwickler" und "AI Platform Prediction-Betrachter" gewähren auf Projektebene unterschiedliche Zugriffsrechte auf Ressourcen.

Informationen zum Hinzufügen, Aktualisieren oder Entfernen dieser Rollen in Ihrem AI Platform Prediction-Projekt finden Sie in der Dokumentation zum Erteilen, Ändern und Widerrufen des Zugriffs für Teammitglieder.

Rollentitel Rollenname Leistungsspektrum
AI Platform Prediction-Administrator

roles/ml.admin

Vollständige Kontrolle des AI Platform Prediction-Projekts und der dazugehörigen Jobs, Vorgänge, Modelle und Versionen.

Hinweis: Die einfache Projektrolle Bearbeiter entspricht roles/ml.admin.

AI Platform Prediction-Entwickler

roles/ml.developer

Erstellen von Trainings- und Vorhersagejobs, -modellen und -versionen und senden von Onlinevorhersageanfragen.

AI Platform Prediction-Betrachter

roles/ml.viewer

Lesezugriff auf AI Platform Prediction-Ressourcen.

Modellrollen

Die Rollen für AI Platform Prediction-Modellinhaber und -Modellnutzer gewähren einer bestimmten Modellressource unterschiedliche Berechtigungen.

Sie können Modelle für Einzelpersonen oder Dienste freigeben, indem Sie ihnen die Modellnutzerrolle zuweisen.

Rollentitel Rollenname Leistungsspektrum
AI Platform Prediction-Modellinhaber

roles/ml.modelOwner

Voller Zugriff auf das Modell und seine Versionen. Diese Rolle wird dem Nutzer, der das Modell erstellt, automatisch zugewiesen.

AI Platform Prediction-Modellnutzer

roles/ml.modelUser

Berechtigungen zum Lesen des Modells und seiner Versionen und deren Nutzung für Vorhersagen. Die Erteilung dieser Rolle macht es einfach, bestimmte Modelle zu teilen.

Job- und Vorgangsrollen

Ähnlich wie die Rolle Modellinhaber gibt es Inhaberrollen auf den Job- und Vorgangsressourcenebenen, die automatisch demjenigen Nutzer zugewiesen werden, der den Job oder den Vorgang erstellt. Mit diesen Rollen erhält der Nutzer volle Kontrolle über jeden von ihm erstellten Job oder Vorgang. Weitere Informationen finden Sie unter Berechtigungen für Job- und Vorgangsrollen.

Berechtigungen und Rollen

In diesem Abschnitt finden Sie eine vollständige Liste der Berechtigungen, die mit jeder vordefinierten Rolle von AI Platform Prediction gewährt werden. Wenn diese vordefinierten Rollen Ihre Anforderungen nicht erfüllen, nutzen Sie diesen Abschnitt als Referenz für die Erstellung Ihrer eigenen benutzerdefinierten Rollen.

Admin-Rolle

Rollenname Beschreibung Berechtigungen
roles/ml.admin AI Platform Prediction-Administrator

Vollständiger Zugriff auf Ihr AI Platform Prediction-Projekt und die dazugehörigen Jobs, Vorgänge, Modelle und Versionen.

Hinweis: Das Migrieren zu dieser Rolle aus der einfachen Projektrolle Bearbeiter ist relativ einfach. Wenn Sie zuvor die auf Projektebene zugewiesene einfache Rolle Bearbeiter verwendet haben, können Sie dem Nutzer mit der Rolle roles/ml.admin genau die gleichen Berechtigungen erteilen.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.setIamPolicy
  • ml.jobs.cancel
  • ml.operations.list
  • ml.operations.get
  • ml.operations.cancel
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.setIamPolicy
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.models.delete
  • ml.models.update
  • ml.versions.create
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict
  • ml.versions.delete

Entwicklerrolle

Rollenname Beschreibung Berechtigungen
roles/ml.developer

Kann Trainings- und Vorhersagejobs, Modelle und Versionen erstellen und Onlinevorhersageanfragen senden.

Hinweis: Ein Entwickler erhält für alle von ihm erstellten Jobs die Berechtigungen ml.jobs.cancel und ml.jobs.update, da durch das Erstellen eines Jobs automatisch die Rolle AI Platform Prediction-Jobinhaber zugewiesen wird.

Empfehlung: Gewähren Sie dem Entwickler zur Fehlerbehebung Lesezugriff auf die AI Platform Prediction-Logs.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.operations.list
  • ml.operations.get
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict

Betrachterrolle

Rollenname Beschreibung Berechtigungen
roles/ml.viewer

Lesezugriff auf AI Platform Prediction-Ressourcen in einem bestimmten Projekt.

Hinweis: Die Legacy-Projektrolle Betrachter gewährt Nutzern die gleichen Berechtigungen wie die Rolle roles/ml.viewer. Außerdem ermöglicht sie das Senden von Anfragen für Onlinevorhersagen.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.list
  • ml.jobs.get
  • ml.operations.list
  • ml.operations.get
  • ml.models.list
  • ml.models.get
  • ml.versions.list
  • ml.versions.get

Modellinhaberrolle

Rollenname Beschreibung Berechtigungen
roles/ml.modelOwner Voller Zugriff auf das Modell und seine Versionen. Diese Rolle wird dem Nutzer, der das Modell erstellt, automatisch zugewiesen.
  • ml.models.get
  • ml.models.setIamPolicy
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.models.delete
  • ml.models.update
  • ml.versions.create
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict
  • ml.versions.delete

Modellnutzerrolle

Rollenname Beschreibung Berechtigungen
roles/ml.modelUser Berechtigung, das Modell und seine Versionen zu lesen und sie für die Vorhersage zu verwenden.
  • ml.models.get
  • ml.models.predict
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict

Jobinhaberrolle

Rollenname Beschreibung Berechtigungen
roles/ml.jobOwner

Voller Zugriff auf alle Berechtigungen für eine bestimmte Jobressource. Die Jobinhaberrolle wird automatisch dem Nutzer zugewiesen, der diesen Job erstellt.

Beispielsweise kann ein Nutzer, der die Rolle "AI Platform Prediction-Entwickler" in einem Projekt hat, Jobs erstellen, alle Jobs auflisten und auf alle Jobs in einem bestimmten Projekt zugreifen. Der Entwickler kann nur die von ihm erstellten Jobs abbrechen.

  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.cancel

Vorgangsinhaberrolle

Rollenname Beschreibung Berechtigungen
roles/ml.operationOwner

Vollzugriff auf alle Berechtigungen für eine bestimmte Betriebsressource. Die Vorganginhaberrolle wird automatisch dem Nutzer für alle Vorgänge erteilt, die der Nutzer indirekt beim Erstellen einer Version oder eines Modells erstellt, damit der Nutzer immer auf seine eigenen Vorgänge zugreifen oder sie abbrechen kann.

  • ml.operations.get
  • ml.operations.cancel

Erforderliche Berechtigungen für Vorhersagen

Der Einfachheit halber werden in dieser Tabelle die Berechtigungen zusammengefasst, die speziell für Training und Vorhersage erforderlich sind:

Aufgabe Erforderliche Berechtigungen
Batchvorhersage
  • ml.jobs.create
  • ml.models.predict*
  • ml.versions.predict*

Hinweis: Sie können einen Batchvorhersagejob ohne eine bereitgestellte Version erstellen. Dazu geben Sie den Cloud Storage-Speicherort an, in dem ein Modell gespeichert ist. Für diese Art von Batchvorhersagejob ist nur die Berechtigung ml.jobs.create erforderlich.

Zum Erstellen eines Batchvorhersagejobs, der eine bereitgestellte Version verwendet, benötigen Sie darüber hinaus die Berechtigung ml.models.predict oder ml.versions.predict, aber nicht beide.

Onlinevorhersage
  • ml.models.predict
  • ml.versions.predict

Für Methoden erforderliche Berechtigungen

Zur Vereinfachung sind in diesem Abschnitt die erforderlichen Berechtigungen aufgelistet, um jede Methode in AI Platform Prediction aufzurufen:

Methode Erforderliche Berechtigungen
projects.getConfig ml.projects.getConfig
projects.jobs.cancel ml.jobs.cancel
projects.jobs.create ml.jobs.create

Hinweis: Zum Erstellen eines Batchvorhersagejobs, der eine bereitgestellte Version verwendet, benötigen Sie darüber hinaus die Berechtigung ml.models.predict oder ml.versions.predict, aber nicht beide.

projects.jobs.get ml.jobs.get
projects.jobs.list ml.jobs.list
projects.models.create ml.models.create
projects.models.delete ml.models.delete
projects.models.get ml.models.get
projects.models.list ml.models.list
projects.models.versions.create ml.versions.create
projects.models.versions.delete ml.versions.delete
projects.models.versions.get ml.versions.get
projects.models.versions.list ml.versions.list
projects.models.versions.setDefault ml.models.update
projects.operations.cancel ml.operations.cancel
projects.operations.get ml.operations.get
projects.operations.list ml.operations.list

Erforderliche Berechtigungen für die Speicherung

Wenn Sie das trainierte Modell zum Abrufen von Vorhersagen in AI Platform Prediction bereitstellen, laden Sie Ihre gespeicherten Modelldateien in Cloud Storage hoch. Innerhalb des Cloud Storage-Buckets sind die Modelldateien Objekte. Sie müssen dafür sorgen, dass Ihr AI Platform Prediction-Dienstkonto auf die Dateien für Ihr trainiertes Modell in Ihrem Cloud Storage-Bucket zugreifen kann.

Gewähren Sie Ihrem AI Platform Prediction-Dienstkonto eine Cloud Storage-IAM-Rolle, die mindestens folgende Berechtigungen enthält:

Erforderliche Berechtigungen Erklärung
storage.buckets.list Ermöglicht es Ihrem AI Platform Prediction-Projekt, Modelldateien in Ihrem Cloud Storage-Bucket zu finden.
storage.objects.get Ermöglicht es Ihrem AI Platform Prediction-Projekt, die Modelldateien in Ihrem Cloud Storage-Bucket zu lesen.

Hier erfahren Sie mehr darüber, wie Sie Cloud Storage-Berechtigungen für AI Platform Prediction konfigurieren.

Nächste Schritte