Control de acceso con IAM

AI Platform Training usa Identity and Access Management (IAM) para administrar el acceso a los recursos. Para otorgar acceso a un recurso, asigna una o más funciones a un usuario, un grupo o una cuenta de servicio.

Existen tres tipos de funciones de IAM que se pueden usar en AI Platform Training:

  • Las funciones básicas (propietario, visualizador y editor) se usan en todos los servicios de Google Cloud.

  • Las funciones predefinidas de AI Platform Training te brindan un control de acceso detallado en los recursos de AI Platform Training a nivel de proyecto y de modelo.

  • Las funciones personalizadas te permiten elegir un conjunto de permisos específico, crear tu propia función con esos permisos y otorgarla a los usuarios en tu organización.

En esta guía, nos enfocamos en las funciones predefinidas de AI Platform Training, su uso habitual y los permisos asociados.

Esta guía se centra en las funciones y los permisos que necesitas para acceder a los recursos de AI Platform Training. A fin de obtener más información sobre los permisos que estos recursos tienen para acceder a otros recursos de Google Cloud, lee sobre las cuentas de servicio de AI Platform que administra Google y las cuentas de servicio personalizadas.

Funciones básicas

Las funciones heredadas de IAM de AI Platform Training se basan en las funciones básicas que son comunes a todos los servicios de GCP: propietario, visualizador y editor.

La función heredada de editor del proyecto es equivalente a la función de administrador de AI Platform Training.

La función heredada de visualizador del proyecto otorga los mismos permisos que la función de visualizador de AI Platform Training, además de acceso para enviar solicitudes de predicción en línea. La ventaja de usar la función de visualizador de AI Platform Training es que el usuario obtiene acceso de solo lectura a los recursos de AI Platform Training.

Funciones predefinidas

Las funciones predefinidas otorgan un conjunto de permisos relacionados. AI Platform Training ofrece funciones predefinidas para los proyectos, modelos individuales, trabajos y operaciones.

Si deseas ver una lista completa de los permisos de cada función, haz clic en el nombre de la función.

Funciones de proyecto

Las funciones de administrador, desarrollador y visualizador de AI Platform Training otorgan distintos niveles de acceso a los recursos a nivel de proyecto.

Para agregar, actualizar o quitar estas funciones en tu proyecto de AI Platform Training, consulta la documentación sobre cómo otorgar, cambiar y revocar el acceso a los recursos.

Título de la función Nombre de la función Capacidades
Administrador de AI Platform Training

roles/ml.admin

Control total del proyecto de AI Platform Training y de sus trabajos, operaciones, modelos y versiones.

Nota: La función básica de editor del proyecto es equivalente a roles/ml.admin.

Desarrollador de AI Platform Training

roles/ml.developer

Crea versiones, modelos y trabajos de entrenamiento y predicción, y envía solicitudes de predicción en línea.

Visualizador de AI Platform Training

roles/ml.viewer

Acceso de solo lectura a los recursos de AI Platform Training.

Funciones de trabajo y operación

Al igual que la función de propietario del modelo, hay funciones de propietario a nivel de recurso de operación y de trabajo que se asignan de forma automática al usuario que crea el trabajo o la operación. Estas funciones otorgan al usuario el control total de cualquier operación o trabajo que cree. Si deseas obtener más información, consulta los permisos para las funciones de operación y trabajo.

Permisos y funciones

Consulta esta sección para obtener una lista completa de los permisos que se otorgan con cada función predefinida de AI Platform Training. Si estas funciones predefinidas no satisfacen tus necesidades, usa esta sección como referencia para crear tus propias funciones personalizadas.

Función de administrador

Nombre de la función Descripción Permisos
roles/ml.admin Administrador de AI Platform Training

Acceso total al proyecto de AI Platform Training y a sus trabajos, operaciones, modelos y versiones.

Nota: Migrar a esta función desde la función básica de editor del proyecto es bastante simple. Si antes usabas la función básica de editor asignada a nivel de proyecto, puedes usar esta función roles/ml.admin para otorgar el mismo conjunto de permisos al usuario.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.setIamPolicy
  • ml.jobs.cancel
  • ml.operations.list
  • ml.operations.get
  • ml.operations.cancel
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.setIamPolicy
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.models.delete
  • ml.models.update
  • ml.versions.create
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict
  • ml.versions.delete

Función de desarrollador

Nombre de la función Descripción Permisos
roles/ml.developer

Acceso para crear versiones, modelos y trabajos de entrenamiento y predicción, y para enviar solicitudes de predicción en línea.

Nota: Un desarrollador recibe permisos ml.jobs.cancel y ml.jobs.update en todos los trabajos que crea, ya que, cuando crea un trabajo, se le otorga la función de propietario del trabajo de AI Platform Training de forma automática.

Recomendación: Otorga al desarrollador acceso de solo lectura a los registros de AI Platform Training para solucionar problemas.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.operations.list
  • ml.operations.get
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict

Función de lector

Nombre de la función Descripción Permisos
roles/ml.viewer

Otorga acceso de solo lectura a los recursos de AI Platform Training en un proyecto en particular.

Nota: La función heredada de visualizador del proyecto le otorga al usuario los mismos permisos que la función roles/ml.viewer, además de acceso para enviar solicitudes de predicción en línea.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.list
  • ml.jobs.get
  • ml.operations.list
  • ml.operations.get
  • ml.models.list
  • ml.models.get
  • ml.versions.list
  • ml.versions.get

Función de propietario del trabajo

Nombre de la función Descripción Permisos
roles/ml.jobOwner

Acceso total a todos los permisos para un recurso de trabajo en particular. La función de propietario del trabajo se le otorga de forma automática al usuario que crea el trabajo.

Por ejemplo, un usuario que tiene la función de desarrollador de AI Platform Training en un proyecto puede crear trabajos, hacer una lista de todos los trabajos y obtener todos los trabajos de un proyecto determinado. El desarrollador tiene acceso para cancelar solo los trabajos que creó.

  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.cancel

Función de propietario de la operación

Nombre de la función Descripción Permisos
roles/ml.operationOwner

Acceso total a todos los permisos para un recurso de operación en particular. La función de propietario de la operación se le otorga de manera automática a un usuario cuando genera una operación indirectamente como parte del proceso de creación de una versión o un modelo. Esto permite que el usuario siempre pueda obtener y cancelar sus propias operaciones.

  • ml.operations.get
  • ml.operations.cancel

Permisos necesarios para los métodos

Para tu comodidad, en esta sección, se enumeran los permisos necesarios para llamar a cada método en AI Platform Training:

Método Permisos necesarios
projects.getConfig ml.projects.getConfig
projects.jobs.cancel ml.jobs.cancel
projects.jobs.create ml.jobs.create
projects.jobs.get ml.jobs.get
projects.jobs.list ml.jobs.list
projects.operations.cancel ml.operations.cancel
projects.operations.get ml.operations.get
projects.operations.list ml.operations.list

¿Qué sigue?