Controllo dell'accesso con IAM

AI Platform Training utilizza Identity and Access Management (IAM) per gestire l'accesso alle risorse. Per concedere l'accesso a una risorsa, assegna uno o più ruoli a un utente, a un gruppo o a un account di servizio.

In AI Platform Training sono disponibili tre tipi di ruoli IAM che possono essere utilizzati:

  • I ruoli di base (Proprietario, Visualizzatore ed Editor) sono comuni a tutti i servizi Google Cloud.

  • I ruoli predefiniti di AI Platform Training offrono un controllo granulare degli accessi alle risorse di AI Platform Training a livello di progetto e modello.

  • I ruoli personalizzati consentono di scegliere un insieme specifico di autorizzazioni, creare il proprio ruolo con tali autorizzazioni e concedere il ruolo agli utenti della tua organizzazione.

Questa guida si concentra sui ruoli predefiniti di AI Platform Training, sul loro utilizzo tipico e sulle autorizzazioni associate.

La guida si concentra sui ruoli e sulle autorizzazioni necessarie per accedere alle risorse di AI Platform Training. Per saperne di più sulle autorizzazioni di cui queste risorse dispongono per accedere ad altre risorse Google Cloud, scopri di più sull'agente di servizio AI Platform e sugli account di servizio personalizzati.

Ruoli di base

I ruoli IAM legacy di AI Platform Training si basano sui ruoli di base comuni a tutti i servizi Google Cloud: Proprietario, Visualizzatore ed Editor.

Il ruolo legacy Editor del progetto equivale al ruolo Amministratore Formazione AI Platform.

Il ruolo legacy Visualizzatore del progetto concede le stesse autorizzazioni del ruolo Visualizzatore AI Platform Training, oltre all'accesso per inviare richieste di previsione online. Il vantaggio di utilizzare il ruolo Visualizzatore AI Platform Training è che l'utente ottiene l'accesso di sola lettura alle risorse di AI Platform Training.

Ruoli predefiniti

I ruoli predefiniti concedono un insieme di autorizzazioni correlate. AI Platform Training offre ruoli predefiniti per il tuo progetto e anche per singoli modelli, job e operazioni.

Per visualizzare un elenco completo delle autorizzazioni di ciascun ruolo, fai clic sul nome del ruolo.

Ruoli progetto

I ruoli Amministratore, Sviluppatore e Visualizzatore di AI Platform Training concedono diversi livelli di accesso alle risorse a livello di progetto.

Per aggiungere, aggiornare o rimuovere questi ruoli nel progetto AI Platform Training, consulta la documentazione su come concedere, modificare e revocare l'accesso.

Titolo del ruolo Nome ruolo Funzionalità
Amministratore AI Platform Training

roles/ml.admin

Controllo completo del progetto AI Platform Training e dei relativi job, operazioni, modelli e versioni.

Nota: il ruolo di base Editor del progetto equivale a roles/ml.admin.

Sviluppatore AI Platform Training

roles/ml.developer

Crea job, modelli e versioni di addestramento e previsione e invia richieste di previsione online.
Visualizzatore AI Platform Training

roles/ml.viewer

Accesso in sola lettura alle risorse di AI Platform Training.

Ruoli operativi e job

Analogamente al ruolo Proprietario del modello, esistono ruoli di proprietario a livello di job e risorsa dell'operazione che vengono assegnati automaticamente all'utente che crea il job o l'operazione. Questi ruoli consentono all'utente di avere il controllo completo su qualsiasi job o operazione che crea. Per ulteriori informazioni, consulta le autorizzazioni per i ruoli operativi e job.

Autorizzazioni e ruoli

Consulta questa sezione per un elenco completo delle autorizzazioni concesse con ciascun ruolo predefinito di AI Platform Training. Se questi ruoli predefiniti non soddisfano le tue esigenze, utilizza questa sezione come riferimento per la creazione dei tuoi ruoli personalizzati.

Ruolo amministratore

Nome del ruolo Descrizione Autorizzazioni
roles/ml.admin Amministratore AI Platform Training

Accesso completo al progetto AI Platform Training e ai relativi job, operazioni, modelli e versioni.

Nota:la migrazione a questo ruolo dal ruolo di base Editor del progetto è abbastanza semplice. Se in precedenza hai utilizzato il ruolo Editor di base assegnato a livello di progetto, puoi utilizzare questo ruolo roles/ml.admin per concedere esattamente lo stesso insieme di autorizzazioni all'utente.
  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.setIamPolicy
  • ml.jobs.cancel
  • ml.operations.list
  • ml.operations.get
  • ml.operations.cancel
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.setIamPolicy
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.models.delete
  • ml.models.update
  • ml.versions.create
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict
  • ml.versions.delete

Ruolo di sviluppatore

Nome del ruolo Descrizione Autorizzazioni
roles/ml.developer

Accesso per creare job, modelli e versioni di addestramento e previsione e per inviare richieste di previsione online.

Nota: uno sviluppatore riceve le autorizzazioni ml.jobs.cancel e ml.jobs.update per tutti i job che crea, poiché la creazione di un job gli concede automaticamente il ruolo Proprietario job AI Platform Training.

Suggerimento: concedi allo sviluppatore l'accesso di sola lettura ai log di AI Platform Training per la risoluzione dei problemi.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.operations.list
  • ml.operations.get
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict

Ruolo Visualizzatore

Nome del ruolo Descrizione Autorizzazioni
roles/ml.viewer

Accesso in sola lettura alle risorse di AI Platform Training in un particolare progetto.

Nota: il ruolo legacy Visualizzatore del progetto concede a un utente le stesse autorizzazioni del ruolo roles/ml.viewer, oltre all'accesso per inviare richieste di previsione online.
  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.list
  • ml.jobs.get
  • ml.operations.list
  • ml.operations.get
  • ml.models.list
  • ml.models.get
  • ml.versions.list
  • ml.versions.get

Ruolo Proprietario job

Nome del ruolo Descrizione Autorizzazioni
roles/ml.jobOwner

Accesso completo a tutte le autorizzazioni per una determinata risorsa job. Il ruolo Proprietario del job viene concesso automaticamente all'utente che crea il job.

Ad esempio, un utente con il ruolo Sviluppatore addestramento AI Platform per un progetto può creare job, elencare tutti i job e ottenere tutti i job di un determinato progetto. Lo sviluppatore può accedere solo per annullare solo i job che ha creato.

  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.cancel

Ruolo Proprietario operazione

Nome del ruolo Descrizione Autorizzazioni
roles/ml.operationOwner

Accesso completo a tutte le autorizzazioni per una determinata risorsa dell'operazione. Il ruolo Proprietario dell'operazione viene concesso all'utente automaticamente su qualsiasi operazione creata indirettamente durante la creazione di una versione o di un modello, in modo che l'utente possa sempre recuperare e annullare le proprie operazioni.

  • ml.operations.get
  • ml.operations.cancel

Autorizzazioni richieste per i metodi

Per praticità, questa sezione elenca le autorizzazioni necessarie per chiamare ciascun metodo in AI Platform Training:

Metodo Autorizzazioni richieste
projects.getConfig ml.projects.getConfig
projects.jobs.cancel ml.jobs.cancel
projects.jobs.create ml.jobs.create
projects.jobs.get ml.jobs.get
projects.jobs.list ml.jobs.list
projects.operations.cancel ml.operations.cancel
projects.operations.get ml.operations.get
projects.operations.list ml.operations.list

Passaggi successivi