Auf dieser Seite wird beschrieben, wie Sie mit Identity and Access Management den Zugriff auf Ihre AutoML Tables-Ressourcen steuern, einschließlich Datenquellen und Ergebniszielen.
Identitäts- und Zugriffsverwaltung – Übersicht
Wenn Sie AutoML Tables verwenden, können Sie den Zugriff auf Ihre Ressourcen mit Identity and Access Management (IAM) verwalten. Mit IAM gewähren Sie detaillierteren Zugriff auf bestimmte Google Cloud-Ressourcen und verhindern unerwünschten Zugriff auf andere Ressourcen. Auf dieser Seite werden die IAM-Berechtigungen und -Rollen für AutoML Tables beschrieben. Eine ausführliche Beschreibung von IAM finden Sie in der IAM-Dokumentation.
Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.
In IAM können Sie steuern, wer (Nutzer) welchen Zugriff (Rollen) auf welche Ressourcen hat. Weisen Sie dazu dem Nutzer mindestens eine Rolle und entsprechende Berechtigungen zu. Beispielsweise können Sie einem Nutzer die Rolle AutoML-Betrachter (roles.automl.viewer
) zuweisen, sodass sich der Nutzer Ressourcen im Projekt anzeigen lassen kann. Wenn dieser Nutzer Ressourcen erstellen oder aktualisieren muss, können Sie ihm stattdessen die Rolle AutoML-Bearbeiter (roles.automl.editor
) zuweisen.
Rollen
AutoML Tables verwendet die AutoML API, die eine Reihe vordefinierter Rollen bereitstellt, mit denen Sie den Zugriff auf Ihre AutoML-Ressourcen steuern können.
Sie können auch Ihre eigenen benutzerdefinierten Rollen erstellen, wenn die vordefinierten Rollen nicht die Berechtigungen enthalten, die Sie benötigen.
Zusätzlich stehen Ihnen die ältere Basic-Rollen (Bearbeiter, Betrachter und Inhaber) zur Verfügung, obwohl sie nicht dieselbe detaillierte Kontrolle wie die AutoML-Rollen bieten. Vermeiden Sie nach Möglichkeit die Verwendung von Basic-Rollen. Sie bieten Zugriff auf Ressourcen in Google Cloud statt nur für AutoML. Mehr über Basic-Rollen erfahren
Vordefinierte Rollen
In diesem Abschnitt sind die vordefinierten Rollen von AutoML zusammengefasst.
Role | Permissions |
---|---|
AutoML Admin Beta( Full access to all AutoML resources Lowest-level resources where you can grant this role:
|
|
AutoML Editor Beta( Editor of all AutoML resources Lowest-level resources where you can grant this role:
|
|
AutoML Predictor Beta( Predict using models Lowest-level resources where you can grant this role:
|
|
AutoML Viewer Beta( Viewer of all AutoML resources Lowest-level resources where you can grant this role:
|
|
Berechtigungen für AutoML Tables in Ihrem Homeprojekt erteilen
Manchmal müssen Sie einem Dienstkonto, das von AutoML Tables automatisch erstellt wird, zusätzliche Rollen zuweisen. Wenn Sie beispielsweise externe BigQuery-Tabellen verwenden, die von Bigtable-Datenquellen unterstützt werden, müssen Sie dem automatisch erstellten Dienstkonto zusätzliche Rollen zuweisen, damit es die erforderlichen Berechtigungen zum Lesen und Schreiben von Daten für BigQuery und Bigtable hat.
So weisen Sie dem automatisch erstellten Dienstkonto für AutoML-Tabellen in Ihrem Home-Projekt zusätzliche Rollen zu:
Rufen Sie in der Google Cloud Console die Seite „IAM“ für Ihr Homeprojekt auf.
Klicken Sie rechts oben das Kästchen Inklusive von Google bereitgestellten Rollenzuweisungen an.
Klicken Sie auf das Stiftsymbol für das Dienstkonto mit dem Namen
AutoML Service Agent
.Gewähren Sie dem Dienstkonto die erforderlichen Rollen und speichern Sie Ihre Änderungen.
Berechtigungen für AutoML Tables in einem anderen Projekt erteilen
Wenn Sie Datenquellen oder Ziele in einem anderen Projekt verwenden, müssen Sie dem Auto Tables-Dienstkonto Berechtigungen in diesem Projekt erteilen. Das AutoML Tables-Dienstkonto wird automatisch erstellt, wenn Sie die AutoML Tables API aktivieren.
So fügen Sie Berechtigungen zu AutoML Tables in einem anderen Projekt hinzu:
Rufen Sie in der Google Cloud Console die Seite „IAM“ für Ihr Homeprojekt auf (das Projekt, in dem Sie AutoML Tables verwenden).
Klicken Sie rechts oben das Kästchen Inklusive von Google bereitgestellten Rollenzuweisungen an.
Suchen Sie das Dienstkonto mit dem Namen
AutoML Service Agent
und kopieren Sie die E-Mail-Adresse (die unter Hauptkonto aufgeführt ist).Ändern Sie die Projekte in das Projekt, für das Sie die Berechtigungen erteilen müssen.
Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse in Neue Hauptkonten ein.
Fügen Sie alle erforderlichen Rollen hinzu und klicken Sie auf Speichern.
Zugriff auf Google Tabellen gewähren
Wenn Sie eine externe BigQuery-Datenquelle verwenden, die von Google Tabellen unterstützt wird, müssen Sie Ihr Tabellenblatt für das AutoML-Dienstkonto freigeben. Das AutoML Tables-Dienstkonto wird automatisch erstellt, wenn Sie die AutoML Tables API aktivieren.
So autorisieren Sie AutoML Tables für den Zugriff auf Ihre Tabellen-Datei:
Rufen Sie in der Google Cloud Console die Seite „IAM“ auf.
Klicken Sie rechts oben das Kästchen Inklusive von Google bereitgestellten Rollenzuweisungen an.
Suchen Sie nach dem Dienstkonto mit dem Namen
AutoML Service Agent
.Kopieren Sie den Namen des Hauptkontos in die Zwischenablage.
Der Hauptkontoname ist eine E-Mail-Adresse, ähnlich wie in diesem Beispiel:
service-358517216@gcp-sa-automl.iam.gserviceaccount.com
Öffnen Sie Ihre Google Tabellen-Datei und teilen Sie sie mit dieser Adresse.
IAM-Rollen verwalten
Sie können IAM-Rollen mit der Google Cloud Console, der IAM API oder dem gcloud
-Befehlszeilentool zuweisen, ändern und widerrufen. Eine genaue Anleitung finden Sie unter Zugriff gewähren, ändern und entziehen.
Nächste Schritte
Identitäts- und Zugriffsverwaltung