Questa pagina descrive come utilizzare Identity and Access Management per controllare l'accesso alle risorse AutoML Tables, incluse le origini dati e le destinazioni dei risultati.
Panoramica di Identity and Access Management
Quando utilizzi AutoML Tables, puoi gestire l'accesso alle risorse con Identity and Access Management (IAM). IAM consente di concedere un accesso più granulare a risorse Google Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. In questa pagina vengono descritti i ruoli e le autorizzazioni IAM per AutoML Tables. Per una descrizione dettagliata di IAM, consulta la documentazione IAM.
IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo l'accesso necessario alle tue risorse.
IAM consente di controllare chi (utente) dispone di quale tipo (ruolo) di accesso per quali risorse concedendo uno o più ruoli a un utente e concedergli determinate autorizzazioni. Ad esempio, puoi concedere a un utente il ruolo Visualizzatore AutoML (roles.automl.viewer
) che permette di visualizzare le risorse nel progetto. Se questo utente deve creare o aggiornare risorse, puoi concedere il ruolo di Editor AutoML (roles.automl.editor
).
Ruoli
AutoML Tables utilizza l'API AutoML, che fornisce un insieme di ruoli predefiniti che consentono di controllare l'accesso alle risorse AutoML.
Puoi anche creare ruoli personalizzati, se i ruoli predefiniti non forniscono le autorizzazioni di cui hai bisogno.
Inoltre, puoi accedere anche ai ruoli di base meno recenti (Editor, Visualizzatore e Proprietario), anche se non offrono lo stesso controllo granulare dei ruoli AutoML. Se possibile, evita di utilizzare i ruoli di base, che forniscono l'accesso alle risorse su Google Cloud, anziché solo per AutoML. Scopri di più sui ruoli di base.
Ruoli predefiniti
Questa sezione riassume i ruoli predefiniti forniti da AutoML.
Role | Permissions |
---|---|
AutoML Admin Beta( Full access to all AutoML resources Lowest-level resources where you can grant this role:
|
|
AutoML Editor Beta( Editor of all AutoML resources Lowest-level resources where you can grant this role:
|
|
AutoML Predictor Beta( Predict using models Lowest-level resources where you can grant this role:
|
|
AutoML Viewer Beta( Viewer of all AutoML resources Lowest-level resources where you can grant this role:
|
|
Concedere le autorizzazioni ad AutoML Tables nel progetto principale
A volte è necessario concedere altri ruoli a un account di servizio creato automaticamente da AutoML Tables. Ad esempio, quando utilizzi tabelle esterne BigQuery supportate da origini dati Bigtable, devi concedere ruoli aggiuntivi all'account di servizio creato automaticamente, in modo che disponga delle autorizzazioni necessarie per leggere e scrivere dati per BigQuery e Bigtable.
Per concedere ruoli aggiuntivi all'account di servizio creato automaticamente per AutoML Tables nel tuo progetto principale:
Vai alla pagina IAM della console Google Cloud per il tuo progetto principale.
Seleziona la casella di controllo Includi concessioni dei ruoli fornite da Google nell'angolo in alto a destra.
Fai clic sull'icona a forma di matita in corrispondenza dell'account di servizio con il nome
AutoML Service Agent
.Concedi i ruoli richiesti all'account di servizio e salva le modifiche.
Concedere le autorizzazioni ad AutoML Tables in un altro progetto
Quando utilizzi origini dati o destinazioni in un altro progetto, devi concedere all'account di servizio AutoML Tables le autorizzazioni nel progetto. L'account di servizio AutoML Tables viene creato automaticamente quando abiliti l'API AutoML Tables.
Per aggiungere le autorizzazioni ad AutoML Tables in un altro progetto:
Vai alla pagina IAM della console Google Cloud per il tuo progetto principale (il progetto in cui utilizzi AutoML Tables).
Seleziona la casella di controllo Includi concessioni dei ruoli fornite da Google nell'angolo in alto a destra.
Trova l'account di servizio con il nome
AutoML Service Agent
e copia il relativo indirizzo email (elencato sotto Entità).Modifica i progetti nel progetto in cui devi concedere le autorizzazioni.
Fai clic su Aggiungi e inserisci l'indirizzo email in Nuove entità.
Aggiungi tutti i ruoli richiesti e fai clic su Salva.
Accesso a Fogli Google
Se utilizzi un'origine dati BigQuery esterna supportata da Fogli Google, devi condividere il foglio con l'account di servizio AutoML. L'account di servizio AutoML Tables viene creato automaticamente quando abiliti l'API AutoML Tables.
Per autorizzare AutoML Tables ad accedere al file di Fogli:
Vai alla pagina IAM della console Google Cloud.
Seleziona la casella di controllo Includi concessioni dei ruoli fornite da Google nell'angolo in alto a destra.
Cerca l'account di servizio con il nome
AutoML Service Agent
.Copia il nome dell'entità negli appunti.
Il nome entità è un indirizzo email, simile a questo esempio:
service-358517216@gcp-sa-automl.iam.gserviceaccount.com
Apri il file di Fogli e condividilo con quell'indirizzo.
Gestione dei ruoli IAM
Puoi concedere, modificare e revocare i ruoli IAM utilizzando la console Google Cloud, l'API IAM o lo strumento a riga di comando gcloud
. Per istruzioni dettagliate, consulta
Concessione, modifica e revoca dell'accesso.
Passaggi successivi
Scopri di più su Identity and Access Management.