Control de acceso con IAM

En esta página se describe cómo usas Administración de identidades y accesos para controlar el acceso a tus recursos de AutoML Tables, incluidos las fuentes de datos y los destinos de resultados.

Descripción general de la administración de identidades y accesos

Cuando usas AutoML Tables, puedes administrar el acceso a tus recursos con la administración de identidades y accesos (IAM). IAM te permite otorgar acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. En esta página, se describen los permisos y las funciones de IAM para AutoML Tables. Para ver una descripción detallada de IAM, consulta la documentación de IAM.

IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgues el acceso necesario a tus recursos.

IAM te permite controlar quién (usuario) tiene qué (función) tipo de acceso para cuáles recursos cuando se le otorga una o más funciones a un usuario, lo cual le da ciertos permisos. Por ejemplo, puedes otorgar la función de visualizador de AutoML (roles.automl.viewer) a un usuario, lo que le permite ver los recursos del proyecto. Si ese usuario necesita crear o actualizar recursos, puedes otorgarle la función de editor de AutoML (roles.automl.editor).

Roles

AutoML Tables usa la API de AutoML, que proporciona un conjunto de funciones predefinidas que te ayudan a controlar el acceso a tus recursos de AutoML.

También puedes crear tus propias funciones personalizadas, si las funciones predefinidas no proporcionan los conjuntos de permisos que necesitas.

Además, las funciones básicas más antiguas (Editor, Visualizador y Propietario) también están disponibles, aunque no proporcionan el mismo control detallado que las funciones de AutoML. Si es posible, evita usar las funciones básicas, ya que proporcionan acceso a recursos en todo Google Cloud, en lugar de solo para AutoML. Obtén más información sobre las funciones básicas.

Funciones predefinidas

En esta sección, se resumen las funciones predefinidas que proporciona AutoML.

Role Permissions

(roles/automl.admin)

Full access to all AutoML resources

Lowest-level resources where you can grant this role:

  • Dataset
  • Model

automl.*

  • automl.annotationSpecs.create
  • automl.annotationSpecs.delete
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotationSpecs.update
  • automl.annotations.approve
  • automl.annotations.create
  • automl.annotations.list
  • automl.annotations.manipulate
  • automl.annotations.reject
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.columnSpecs.update
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.getIamPolicy
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.setIamPolicy
  • automl.datasets.update
  • automl.examples.delete
  • automl.examples.get
  • automl.examples.list
  • automl.examples.update
  • automl.files.delete
  • automl.files.list
  • automl.humanAnnotationTasks.create
  • automl.humanAnnotationTasks.delete
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.getIamPolicy
  • automl.locations.list
  • automl.locations.setIamPolicy
  • automl.modelEvaluations.create
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.getIamPolicy
  • automl.models.list
  • automl.models.predict
  • automl.models.setIamPolicy
  • automl.models.undeploy
  • automl.operations.cancel
  • automl.operations.delete
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • automl.tableSpecs.update

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

(roles/automl.editor)

Editor of all AutoML resources

Lowest-level resources where you can grant this role:

  • Dataset
  • Model

automl.annotationSpecs.*

  • automl.annotationSpecs.create
  • automl.annotationSpecs.delete
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotationSpecs.update

automl.annotations.*

  • automl.annotations.approve
  • automl.annotations.create
  • automl.annotations.list
  • automl.annotations.manipulate
  • automl.annotations.reject

automl.columnSpecs.*

  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.columnSpecs.update

automl.datasets.create

automl.datasets.delete

automl.datasets.export

automl.datasets.get

automl.datasets.import

automl.datasets.list

automl.datasets.update

automl.examples.*

  • automl.examples.delete
  • automl.examples.get
  • automl.examples.list
  • automl.examples.update

automl.files.*

  • automl.files.delete
  • automl.files.list

automl.humanAnnotationTasks.*

  • automl.humanAnnotationTasks.create
  • automl.humanAnnotationTasks.delete
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list

automl.locations.get

automl.locations.list

automl.modelEvaluations.*

  • automl.modelEvaluations.create
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list

automl.models.create

automl.models.delete

automl.models.deploy

automl.models.export

automl.models.get

automl.models.list

automl.models.predict

automl.models.undeploy

automl.operations.*

  • automl.operations.cancel
  • automl.operations.delete
  • automl.operations.get
  • automl.operations.list

automl.tableSpecs.*

  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • automl.tableSpecs.update

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

(roles/automl.predictor)

Predict using models

Lowest-level resources where you can grant this role:

  • Model

automl.models.predict

resourcemanager.projects.get

resourcemanager.projects.list

(roles/automl.viewer)

Viewer of all AutoML resources

Lowest-level resources where you can grant this role:

  • Dataset
  • Model

automl.annotationSpecs.get

automl.annotationSpecs.list

automl.annotations.list

automl.columnSpecs.get

automl.columnSpecs.list

automl.datasets.get

automl.datasets.list

automl.examples.get

automl.examples.list

automl.files.list

automl.humanAnnotationTasks.get

automl.humanAnnotationTasks.list

automl.locations.get

automl.locations.list

automl.modelEvaluations.get

automl.modelEvaluations.list

automl.models.get

automl.models.list

automl.operations.get

automl.operations.list

automl.tableSpecs.get

automl.tableSpecs.list

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

Otorga permisos a AutoML Tables en tu proyecto principal

A veces debes otorgar funciones adicionales a una cuenta de servicio que AutoML Tables crea de forma automática. Por ejemplo, cuando usas tablas externas de BigQuery respaldadas por fuentes de datos de Bigtable, debes otorgar funciones adicionales a la cuenta de servicio creada automáticamente, de modo que tenga los permisos necesarios para leer y escribir datos en BigQuery y Bigtable.

A fin de otorgar funciones adicionales a la cuenta de servicio que se creó de forma automática para AutoML Tables en tu proyecto de origen, haz lo siguiente:

  1. Ve a la página IAM de la consola de Google Cloud para acceder a tu proyecto principal.

    Ve a la página IAM

  2. Selecciona la casilla de verificación Incluir asignaciones de funciones proporcionadas por Google en la esquina superior derecha.

  3. Haz clic en el ícono de lápiz de la cuenta de servicio con el nombre AutoML Service Agent.

  4. Otorga las funciones necesarias a la cuenta de servicio y guarda los cambios.

Otorga permisos a AutoML Tables en un proyecto diferente

Cuando usas fuentes de datos o destinos en un proyecto diferente, debes otorgar permisos a la cuenta de servicio de AutoML Tables en ese proyecto. La cuenta de servicio de AutoML Tables se crea de forma automática cuando habilitas la API de AutoML Tables.

Para agregar permisos a AutoML Tables en un proyecto diferente, haz lo siguiente:

  1. Ve a la página IAM de la consola de Google Cloud para tu proyecto principal (el proyecto en el que usas AutoML Tables).

    Ve a la página IAM

  2. Selecciona la casilla de verificación Incluir asignaciones de funciones proporcionadas por Google en la esquina superior derecha.

  3. Busca la cuenta de servicio con el nombre AutoML Service Agent y copia su dirección de correo electrónico (que aparece en Principal).

  4. Cambia los proyectos al proyecto en el que debes otorgar los permisos.

  5. Haz clic en Agregar y, luego, ingresa la dirección de correo electrónico en Principales nuevos.

  6. Agrega todas las funciones necesarias y haz clic en Guardar.

Proporciona acceso a Hojas de cálculo de Google

Si usas una fuente de datos externa de BigQuery con una copia de seguridad en las Hojas de cálculo de Google, debes compartir tu hoja con la cuenta de servicio de AutoML. La cuenta de servicio de AutoML Tables se crea de forma automática cuando habilitas la API de AutoML Tables.

Para autorizar que AutoML Tables acceda a tu archivo de Hojas de cálculo, haz lo siguiente:

  1. Ve a la página IAM de la consola de Google Cloud.

    Ve a la página IAM

  2. Selecciona la casilla de verificación Incluir asignaciones de funciones proporcionadas por Google en la esquina superior derecha.

  3. Busca la cuenta de servicio con el nombre AutoML Service Agent.

  4. Copia el nombre de la principal en el portapapeles.

    El nombre de la principal es una dirección de correo electrónico, similar a este ejemplo:

    service-358517216@gcp-sa-automl.iam.gserviceaccount.com

  5. Abre el archivo de Hojas de cálculo y compártelo con esa dirección.

Administra funciones de IAM

Puedes otorgar, cambiar y revocar roles de IAM con la consola de Google Cloud, la API de IAM o la herramienta de línea de comandos de gcloud. Para obtener instrucciones detalladas, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos.

¿Qué sigue?

Obtén más información sobre la administración de identidades y accesos.