このページでは、Identity and Access Management を使用して、AutoML Tables リソース(データソースや結果の宛先など)へのアクセスを制御する方法について説明します。
Identity and Access Management の概要
AutoML Tables を使用する場合は、Identity and Access Management(IAM)によってリソースへのアクセスを管理できます。IAM を使用すると、特定の Google Cloud リソースに対するアクセス権を詳細に設定し、他のリソースへの不要なアクセスを防止できます。このページでは、AutoML Tables の IAM 権限とロールについて説明します。IAM の詳細については、IAM のドキュメントをご覧ください。
IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみを付与できます。
IAM では、ユーザーに 1 つ以上のロールを付与して、特定の権限を付与することで、誰(ユーザー)がどのリソースに対してどの(ロール)タイプのアクセス権を持つかを制御できます。たとえば、ユーザーに AutoML 閲覧者の役割(roles.automl.viewer)を付与して、そのユーザーがプロジェクト内のリソースを表示できるようにすることができます。そのユーザーがリソースを作成または更新する必要がある場合は、代わりに AutoML 編集者の役割(roles.automl.editor)を付与できます。
役割
AutoML Tables では AutoML API を使用します。この API は、AutoML リソースへのアクセスを制御する場合に役立つ事前定義された一連の役割を提供します。
事前定義された役割の中に必要な権限を付与するものがない場合は、カスタムの役割を独自に作成することもできます。
さらに、古い基本ロール(編集者、閲覧者、オーナー)もまだ使用できますが、AutoML のロールほど細かい制御はできません。可能であれば、基本ロールは使用しないでください。基本ロールでは AutoML だけでなく、Google Cloud 全体のリソースへのアクセスが提供されます。基本ロールの詳細について学習する。
事前定義された役割
このセクションでは、AutoML によって提供される事前定義の役割の概要について説明します。
| Role |
Permissions |
AutoML Admin
Beta
(roles/automl.admin)
Full access to all AutoML resources
Lowest-level resources where you can grant this role:
|
automl.*
automl.annotationSpecs.createautoml.annotationSpecs.deleteautoml.annotationSpecs.getautoml.annotationSpecs.listautoml.annotationSpecs.updateautoml.annotations.approveautoml.annotations.createautoml.annotations.listautoml.annotations.manipulateautoml.annotations.rejectautoml.columnSpecs.getautoml.columnSpecs.listautoml.columnSpecs.updateautoml.datasets.createautoml.datasets.deleteautoml.datasets.exportautoml.datasets.getautoml.datasets.getIamPolicyautoml.datasets.importautoml.datasets.listautoml.datasets.setIamPolicyautoml.datasets.updateautoml.examples.deleteautoml.examples.getautoml.examples.listautoml.examples.updateautoml.files.deleteautoml.files.listautoml.humanAnnotationTasks.createautoml.humanAnnotationTasks.deleteautoml.humanAnnotationTasks.getautoml.humanAnnotationTasks.listautoml.locations.getautoml.locations.getIamPolicyautoml.locations.listautoml.locations.setIamPolicyautoml.modelEvaluations.createautoml.modelEvaluations.getautoml.modelEvaluations.listautoml.models.createautoml.models.deleteautoml.models.deployautoml.models.exportautoml.models.getautoml.models.getIamPolicyautoml.models.listautoml.models.predictautoml.models.setIamPolicyautoml.models.undeployautoml.operations.cancelautoml.operations.deleteautoml.operations.getautoml.operations.listautoml.tableSpecs.getautoml.tableSpecs.listautoml.tableSpecs.update
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.get
serviceusage.services.list
|
AutoML Editor
Beta
(roles/automl.editor)
Editor of all AutoML resources
Lowest-level resources where you can grant this role:
|
automl.annotationSpecs.*
automl.annotationSpecs.createautoml.annotationSpecs.deleteautoml.annotationSpecs.getautoml.annotationSpecs.listautoml.annotationSpecs.update
automl.annotations.*
automl.annotations.approveautoml.annotations.createautoml.annotations.listautoml.annotations.manipulateautoml.annotations.reject
automl.columnSpecs.*
automl.columnSpecs.getautoml.columnSpecs.listautoml.columnSpecs.update
automl.datasets.create
automl.datasets.delete
automl.datasets.export
automl.datasets.get
automl.datasets.import
automl.datasets.list
automl.datasets.update
automl.examples.*
automl.examples.deleteautoml.examples.getautoml.examples.listautoml.examples.update
automl.files.*
automl.files.deleteautoml.files.list
automl.humanAnnotationTasks.*
automl.humanAnnotationTasks.createautoml.humanAnnotationTasks.deleteautoml.humanAnnotationTasks.getautoml.humanAnnotationTasks.list
automl.locations.get
automl.locations.list
automl.modelEvaluations.*
automl.modelEvaluations.createautoml.modelEvaluations.getautoml.modelEvaluations.list
automl.models.create
automl.models.delete
automl.models.deploy
automl.models.export
automl.models.get
automl.models.list
automl.models.predict
automl.models.undeploy
automl.operations.*
automl.operations.cancelautoml.operations.deleteautoml.operations.getautoml.operations.list
automl.tableSpecs.*
automl.tableSpecs.getautoml.tableSpecs.listautoml.tableSpecs.update
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.get
serviceusage.services.list
|
AutoML Predictor
Beta
(roles/automl.predictor)
Predict using models
Lowest-level resources where you can grant this role:
|
automl.models.predict
resourcemanager.projects.get
resourcemanager.projects.list
|
AutoML Viewer
Beta
(roles/automl.viewer)
Viewer of all AutoML resources
Lowest-level resources where you can grant this role:
|
automl.annotationSpecs.get
automl.annotationSpecs.list
automl.annotations.list
automl.columnSpecs.get
automl.columnSpecs.list
automl.datasets.get
automl.datasets.list
automl.examples.get
automl.examples.list
automl.files.list
automl.humanAnnotationTasks.get
automl.humanAnnotationTasks.list
automl.locations.get
automl.locations.list
automl.modelEvaluations.get
automl.modelEvaluations.list
automl.models.get
automl.models.list
automl.operations.get
automl.operations.list
automl.tableSpecs.get
automl.tableSpecs.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.get
serviceusage.services.list
|
ホーム プロジェクトの AutoML Tables に対する権限の付与
AutoML Tables が自動的に作成するサービス アカウントに追加のロールを付与する必要がある場合があります。たとえば、Bigtable のデータソースでサポートされる BigQuery 外部テーブルを使用する場合は、BigQuery と Bigtable のデータの読み取りと書き込みに必要な権限が付与されるように、自動的に作成されたサービス アカウントに追加の役割を付与する必要があります。
ホーム プロジェクトの AutoML Tables 用に自動的に作成されたサービス アカウントに追加の役割を付与するには:
ホーム プロジェクトの Google Cloud コンソールの IAM ページに移動します。
IAM ページに移動
右上隅の [Google 提供のロール付与を含みます] チェックボックスを選択します。
AutoML
Service Agent という名前のサービス アカウントの鉛筆アイコンをクリックします。
サービス アカウントに必要な役割を付与し、変更を保存します。
別のプロジェクトの AutoML Tables に対する権限の付与
別のプロジェクトのデータソースや宛先を使用する場合は、AutoML Tables サービス アカウントにそのプロジェクトの権限を付与する必要があります。AutoML Tables サービス アカウントは、AutoML Tables API を有効にすると自動的に作成されます。
別のプロジェクトの AutoML Tables に権限を追加するには:
ホーム プロジェクト(AutoML Tables を使用しているプロジェクト)の Google Cloud コンソールの IAM ページに移動します。
IAM ページに移動
右上隅の [Google 提供のロール付与を含みます] チェックボックスを選択します。
AutoML Service Agent という名前のサービス アカウントを見つけて、そのメールアドレス([プリンシパル] の下にリストされている)をコピーします。
プロジェクトを、権限を付与する必要があるプロジェクトに変更します。
[追加] をクリックし、[新しいプリンシパル] にメールアドレスを入力します。
必要な役割をすべて追加し、[保存] をクリックします。
Google スプレッドシートへのアクセス権の付与
Google スプレッドシートでサポートされる BigQuery 外部データソースを使用する場合は、スプレッドシートを AutoML サービス アカウントと共有する必要があります。AutoML Tables サービス アカウントは、AutoML Tables API を有効にすると自動的に作成されます。
AutoML Tables にスプレッドシート ファイルへのアクセスを許可するには:
Google Cloud コンソールの IAM ページに移動します。
IAM ページに移動
右上隅の [Google 提供のロール付与を含みます] チェックボックスを選択します。
AutoML Service Agent という名前のサービス アカウントを探します。
プリンシパル名をクリップボードにコピーします。
プリンシパル名は、次の例のようなメールアドレスです。
service-358517216@gcp-sa-automl.iam.gserviceaccount.com
スプレッドシート ファイルを開いてそのアドレスと共有します。
IAM 役割の管理
IAM ロールは、Google Cloud コンソール、IAM API、gcloud コマンドライン ツールを使用して、付与、変更、取り消しを行えます。詳しい手順については、アクセス権の付与、変更、取り消しをご覧ください。
次のステップ
Identity and Access Management の詳細を確認する。
