Questa versione precedente di AI Platform Training è ritirata e non sarà più disponibile su Google Cloud dopo il 31 gennaio 2025. Esegui la migrazione delle tue risorse all'addestramento personalizzato di Vertex AI per accedere a nuove funzionalità di machine learning non disponibili nella piattaforma AI.

Questa pagina è stata tradotta dall'API Cloud Translation.

Addestramento con un account di servizio personalizzato

Puoi configurare AI Platform Training in modo che utilizzi un account di servizio a tua scelta quando durante l'esecuzione dell'applicazione di addestramento. L'uso di un ti consente di personalizzare le risorse Google Cloud per la tua formazione il codice può accedere senza concedere autorizzazioni eccessivamente ampie all'account di servizio usate per impostazione predefinita da AI Platform Training. Inoltre, puoi utilizzare un modello l'account di servizio per concedere al tuo codice l'accesso ad altri account Google Cloud come Secret Manager.

La guida si concentra sulle risorse di AI Platform Training autorizzazioni per accedere ad altre risorse Google Cloud. Per scoprire le autorizzazioni di cui hai bisogno per accedere alle risorse di AI Platform Training, consulta Controllo accessi.

Comprensione dell'agente di servizio

Per impostazione predefinita, AI Platform Training utilizza un agente di servizio per eseguire i job di addestramento. Questo agente di servizio è identificato da un indirizzo email con il seguente formato:

service-PROJECT_NUMBER@cloud-ml.google.com.iam.gserviceaccount.com

PROJECT_NUMBER è stato sostituito dal progetto numero per del tuo progetto Google Cloud.

Trova l'account di servizio corrispondente al tuo progetto nella console Google Cloud oppure utilizzando Google Cloud CLI:

Console Google Cloud

Vai alla pagina IAM della console Google Cloud, selezionate Includi concessioni di ruoli fornite da Google e individua il principale corrispondente al formato dell'indirizzo email descritto in precedenza in questa sezione. L'account di servizio ha anche il nome Google Cloud ML Engine Service Agent.

Vai alla sezione IAM

gcloud

Esegui il seguente comando in un ambiente Shell in cui hai inizializzato l'interfaccia a riga di comando gcloud:

gcloud projects get-iam-policy PROJECT_ID \
  --flatten="bindings[].members" \
  --format="table(bindings.members)" \
  --filter="bindings.role:roles/ml.serviceAgent" \
  | grep serviceAccount:

Sostituisci PROJECT_ID con l'ID del tuo progetto Google Cloud.

Questo comando restituisce quanto segue:

serviceAccount:GOOGLE_MANAGED_SERVICE_ACCOUNT

GOOGLE_MANAGED_SERVICE_ACCOUNT è l'indirizzo email dell'agente di servizio AI Platform del tuo progetto.

Questo agente di servizio dispone delle autorizzazioni appropriate per la maggior parte dei job di addestramento. Ad esempio, può leggere da e scrivere in i bucket Cloud Storage nello stesso progetto Google Cloud.

Se hai bisogno applicazioni di addestramento per l'esecuzione con autorizzazioni aggiuntive, puoi assegnare Ruoli IAM (Identity and Access Management) per questo account di servizio. Ad esempio, puoi concedere l'accesso ai bucket Cloud Storage in altri progetti Google Cloud.

Utilizzo di un account di servizio personalizzato

Se vuoi concedere o limitare le autorizzazioni di Google Cloud per un determinato job di addestramento, utilizza un account di servizio personalizzato anziché l'agente di servizio.

Per farlo, configura innanzitutto un account di servizio personalizzato. Poi specifica l'account di servizio personalizzato quando crei un job di addestramento.

Configura un account di servizio personalizzato

Per configurare un account di servizio personalizzato:

Creare un servizio gestito dall'utente .
Concedi IAM al nuovo account di servizio ruoli per fornire applicazione di addestramento con le autorizzazioni di cui ha bisogno durante l'esecuzione.

Nota: anche se prevedi di addestrare con un contenitore personalizzato, non è necessario concedere all'account di servizio personalizzato le autorizzazioni di Container Registry. AI Platform Training non utilizza il tuo account di servizio personalizzato per estrarre le immagini container. Solo utilizza l'account di servizio personalizzato per eseguire il codice di addestramento.
Se l'account di servizio gestito dall'utente si trova in un progetto diverso da quello dei job di addestramento, configuralo in modo da poterlo collegare ai job di addestramento.

Specifica l'account di servizio personalizzato per il job di addestramento

Per configurare AI Platform Training in modo che utilizzi il tuo account di servizio personalizzato quando l'applicazione di addestramento, specifica trainingInput.serviceAccount campo quando crea un job di addestramento.

Se utilizzi gcloud CLI per creare un job di addestramento, devi utilizzare un file config.yaml per specificare questo campo. Ad esempio:

trainingInput:
  serviceAccount: CUSTOM_SERVICE_ACCOUNT

Sostituisci CUSTOM_SERVICE_ACCOUNT con l'indirizzo email del service account gestito dall'utente che hai configurato in una sezione precedente di questa guida.

Accesso ai servizi Google Cloud dal codice di addestramento

Nel codice di addestramento, se vuoi accedere ad altri servizi Google Cloud dal job di addestramento, usa Credenziali predefinite dell'applicazione (ADC). Molte librerie client di Google Cloud si autenticano con le Credenziali predefinite dell'applicazione per impostazione predefinita. Non è necessario configurare alcuna variabile di ambiente. La formazione della piattaforma AI configura automaticamente l'ADC per l'autenticazione come account di servizio personalizzato specificato nel passaggio precedente.

Tuttavia, quando utilizzi una libreria client di Google Cloud nel codice di addestramento, potrebbe non connettersi al progetto Google Cloud corretto per impostazione predefinita. Se dei log di addestramento segnalano errori di autorizzazione. Quando un job di addestramento, AI Platform Training non esegue codice direttamente nel tuo progetto Google Cloud; AI Platform Training esegue il codice in un progetto separato gestito da Google. AI Platform Training utilizza questo progetto esclusivamente per le operazioni correlate al progetto. Pertanto, non provare a dedurre un ID progetto dall'ambiente nel codice di addestramento; specifica gli ID progetto in modo esplicito.

Se non vuoi codificare un ID progetto nel codice di addestramento, puoi fare riferimento alla variabile di ambiente CLOUD_ML_PROJECT_ID. AI Platform Training imposta questa variabile di ambiente in ogni contenitore di addestramento in modo che contenga il numero del progetto del progetto in cui hai avviato l'addestramento personalizzato. Molti strumenti Google Cloud possono accettare un numero di progetto ovunque venga richiesto un ID progetto.

Ad esempio, valuta la possibilità di eseguire un job di addestramento in un progetto Google Cloud con ID PROJECT_ID. Se vuoi utilizzare il client Python per Google BigQuery per accedere a una tabella BigQuery nello stesso progetto, non provare a dedurre il progetto nel codice di addestramento:

Selezione implicita del progetto

from google.cloud import bigquery

client = bigquery.Client()

Utilizza invece un codice che selezioni esplicitamente un progetto:

Selezione esplicita del progetto

from google.cloud import bigquery

project_number = os.environ["CLOUD_ML_PROJECT_ID"]

client = bigquery.Client(project=project_number)

Passaggi successivi

Scopri come creare un job di addestramento e consulta le opzioni di configurazione aggiuntive per i job.
Scopri come utilizzare Cloud Storage con AI Platform Training.
Scopri di più sugli account di servizio.