Zugriffssteuerung mit IAM

Auf dieser Seite wird beschrieben, wie Sie mit Identity and Access Management den Zugriff auf Ihre AutoML Tables-Ressourcen steuern, einschließlich Datenquellen und Ergebniszielen.

Identitäts- und Zugriffsverwaltung – Übersicht

Wenn Sie AutoML Tables verwenden, können Sie den Zugriff auf Ihre Ressourcen mit Identity and Access Management (IAM) verwalten. Mit IAM gewähren Sie detaillierteren Zugriff auf bestimmte Google Cloud-Ressourcen und verhindern unerwünschten Zugriff auf andere Ressourcen. Auf dieser Seite werden die IAM-Berechtigungen und -Rollen für AutoML Tables beschrieben. Eine ausführliche Beschreibung von IAM finden Sie in der IAM-Dokumentation.

Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.

In IAM können Sie steuern, wer (Nutzer) welchen Zugriff (Rollen) auf welche Ressourcen hat. Weisen Sie dazu dem Nutzer mindestens eine Rolle und entsprechende Berechtigungen zu. Beispielsweise können Sie einem Nutzer die Rolle AutoML-Betrachter (roles.automl.viewer) zuweisen, sodass sich der Nutzer Ressourcen im Projekt anzeigen lassen kann. Wenn dieser Nutzer Ressourcen erstellen oder aktualisieren muss, können Sie ihm stattdessen die Rolle AutoML-Bearbeiter (roles.automl.editor) zuweisen.

Rollen

AutoML Tables verwendet die AutoML API, die eine Reihe vordefinierter Rollen bereitstellt, mit denen Sie den Zugriff auf Ihre AutoML-Ressourcen steuern können.

Sie können auch Ihre eigenen benutzerdefinierten Rollen erstellen, wenn die vordefinierten Rollen nicht die Berechtigungen enthalten, die Sie benötigen.

Zusätzlich stehen Ihnen die ältere Basic-Rollen (Bearbeiter, Betrachter und Inhaber) zur Verfügung, obwohl sie nicht dieselbe detaillierte Kontrolle wie die AutoML-Rollen bieten. Vermeiden Sie nach Möglichkeit die Verwendung von Basic-Rollen. Sie bieten Zugriff auf Ressourcen in Google Cloud statt nur für AutoML. Mehr über Basic-Rollen erfahren

Vordefinierte Rollen

In diesem Abschnitt sind die vordefinierten Rollen von AutoML zusammengefasst.

Role Permissions

(roles/automl.admin)

Full access to all AutoML resources

Lowest-level resources where you can grant this role:

  • Dataset
  • Model

automl.*

  • automl.annotationSpecs.create
  • automl.annotationSpecs.delete
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotationSpecs.update
  • automl.annotations.approve
  • automl.annotations.create
  • automl.annotations.list
  • automl.annotations.manipulate
  • automl.annotations.reject
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.columnSpecs.update
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.getIamPolicy
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.setIamPolicy
  • automl.datasets.update
  • automl.examples.delete
  • automl.examples.get
  • automl.examples.list
  • automl.examples.update
  • automl.files.delete
  • automl.files.list
  • automl.humanAnnotationTasks.create
  • automl.humanAnnotationTasks.delete
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.getIamPolicy
  • automl.locations.list
  • automl.locations.setIamPolicy
  • automl.modelEvaluations.create
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.getIamPolicy
  • automl.models.list
  • automl.models.predict
  • automl.models.setIamPolicy
  • automl.models.undeploy
  • automl.operations.cancel
  • automl.operations.delete
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • automl.tableSpecs.update

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

(roles/automl.editor)

Editor of all AutoML resources

Lowest-level resources where you can grant this role:

  • Dataset
  • Model

automl.annotationSpecs.*

  • automl.annotationSpecs.create
  • automl.annotationSpecs.delete
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotationSpecs.update

automl.annotations.*

  • automl.annotations.approve
  • automl.annotations.create
  • automl.annotations.list
  • automl.annotations.manipulate
  • automl.annotations.reject

automl.columnSpecs.*

  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.columnSpecs.update

automl.datasets.create

automl.datasets.delete

automl.datasets.export

automl.datasets.get

automl.datasets.import

automl.datasets.list

automl.datasets.update

automl.examples.*

  • automl.examples.delete
  • automl.examples.get
  • automl.examples.list
  • automl.examples.update

automl.files.*

  • automl.files.delete
  • automl.files.list

automl.humanAnnotationTasks.*

  • automl.humanAnnotationTasks.create
  • automl.humanAnnotationTasks.delete
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list

automl.locations.get

automl.locations.list

automl.modelEvaluations.*

  • automl.modelEvaluations.create
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list

automl.models.create

automl.models.delete

automl.models.deploy

automl.models.export

automl.models.get

automl.models.list

automl.models.predict

automl.models.undeploy

automl.operations.*

  • automl.operations.cancel
  • automl.operations.delete
  • automl.operations.get
  • automl.operations.list

automl.tableSpecs.*

  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • automl.tableSpecs.update

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

(roles/automl.predictor)

Predict using models

Lowest-level resources where you can grant this role:

  • Model

automl.models.predict

resourcemanager.projects.get

resourcemanager.projects.list

(roles/automl.viewer)

Viewer of all AutoML resources

Lowest-level resources where you can grant this role:

  • Dataset
  • Model

automl.annotationSpecs.get

automl.annotationSpecs.list

automl.annotations.list

automl.columnSpecs.get

automl.columnSpecs.list

automl.datasets.get

automl.datasets.list

automl.examples.get

automl.examples.list

automl.files.list

automl.humanAnnotationTasks.get

automl.humanAnnotationTasks.list

automl.locations.get

automl.locations.list

automl.modelEvaluations.get

automl.modelEvaluations.list

automl.models.get

automl.models.list

automl.operations.get

automl.operations.list

automl.tableSpecs.get

automl.tableSpecs.list

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

Berechtigungen für AutoML Tables in Ihrem Homeprojekt erteilen

Manchmal müssen Sie einem Dienstkonto, das von AutoML Tables automatisch erstellt wird, zusätzliche Rollen zuweisen. Wenn Sie beispielsweise externe BigQuery-Tabellen verwenden, die von Bigtable-Datenquellen unterstützt werden, müssen Sie dem automatisch erstellten Dienstkonto zusätzliche Rollen zuweisen, damit es die erforderlichen Berechtigungen zum Lesen und Schreiben von Daten für BigQuery und Bigtable hat.

So weisen Sie dem automatisch erstellten Dienstkonto für AutoML-Tabellen in Ihrem Home-Projekt zusätzliche Rollen zu:

  1. Rufen Sie in der Google Cloud Console die Seite „IAM“ für Ihr Homeprojekt auf.

    Zur Seite „IAM“

  2. Klicken Sie rechts oben das Kästchen Inklusive von Google bereitgestellten Rollenzuweisungen an.

  3. Klicken Sie auf das Stiftsymbol für das Dienstkonto mit dem Namen AutoML Service Agent.

  4. Gewähren Sie dem Dienstkonto die erforderlichen Rollen und speichern Sie Ihre Änderungen.

Berechtigungen für AutoML Tables in einem anderen Projekt erteilen

Wenn Sie Datenquellen oder Ziele in einem anderen Projekt verwenden, müssen Sie dem Auto Tables-Dienstkonto Berechtigungen in diesem Projekt erteilen. Das AutoML Tables-Dienstkonto wird automatisch erstellt, wenn Sie die AutoML Tables API aktivieren.

So fügen Sie Berechtigungen zu AutoML Tables in einem anderen Projekt hinzu:

  1. Rufen Sie in der Google Cloud Console die Seite „IAM“ für Ihr Homeprojekt auf (das Projekt, in dem Sie AutoML Tables verwenden).

    Zur Seite „IAM“

  2. Klicken Sie rechts oben das Kästchen Inklusive von Google bereitgestellten Rollenzuweisungen an.

  3. Suchen Sie das Dienstkonto mit dem Namen AutoML Service Agent und kopieren Sie die E-Mail-Adresse (die unter Hauptkonto aufgeführt ist).

  4. Ändern Sie die Projekte in das Projekt, für das Sie die Berechtigungen erteilen müssen.

  5. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse in Neue Hauptkonten ein.

  6. Fügen Sie alle erforderlichen Rollen hinzu und klicken Sie auf Speichern.

Zugriff auf Google Tabellen gewähren

Wenn Sie eine externe BigQuery-Datenquelle verwenden, die von Google Tabellen unterstützt wird, müssen Sie Ihr Tabellenblatt für das AutoML-Dienstkonto freigeben. Das AutoML Tables-Dienstkonto wird automatisch erstellt, wenn Sie die AutoML Tables API aktivieren.

So autorisieren Sie AutoML Tables für den Zugriff auf Ihre Tabellen-Datei:

  1. Rufen Sie in der Google Cloud Console die Seite „IAM“ auf.

    Zur Seite „IAM“

  2. Klicken Sie rechts oben das Kästchen Inklusive von Google bereitgestellten Rollenzuweisungen an.

  3. Suchen Sie nach dem Dienstkonto mit dem Namen AutoML Service Agent.

  4. Kopieren Sie den Namen des Hauptkontos in die Zwischenablage.

    Der Hauptkontoname ist eine E-Mail-Adresse, ähnlich wie in diesem Beispiel:

    service-358517216@gcp-sa-automl.iam.gserviceaccount.com

  5. Öffnen Sie Ihre Google Tabellen-Datei und teilen Sie sie mit dieser Adresse.

IAM-Rollen verwalten

Sie können IAM-Rollen mit der Google Cloud Console, der IAM API oder dem gcloud-Befehlszeilentool zuweisen, ändern und widerrufen. Eine genaue Anleitung finden Sie unter Zugriff gewähren, ändern und entziehen.

Nächste Schritte

Identitäts- und Zugriffsverwaltung