Zugriffsteuerung

Auf dieser Seite wird beschrieben, wie Sie mit Identity and Access Management den Zugriff auf Ihre AutoML Tables-Ressourcen steuern, einschließlich Datenquellen und Ergebniszielen.

Identitäts- und Zugriffsverwaltung – Übersicht

Wenn Sie AutoML Tables verwenden, können Sie den Zugriff auf Ihre Ressourcen mit Identity and Access Management (IAM) verwalten. Mit IAM können Sie detaillierteren Zugriff auf bestimmte Google Cloud-Ressourcen gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern. Auf dieser Seite werden die IAM-Berechtigungen und -Rollen für AutoML Tables beschrieben. Eine ausführliche Beschreibung von IAM finden Sie in der IAM-Dokumentation.

Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.

Mit IAM können Sie steuern, wer (Nutzer) über was (Rolle) für eine Zugriffsart für welche Ressourcen verfügt. Weisen Sie dazu einer oder mehreren Rollen einem Nutzer, dem bestimmte Berechtigungen gewährt werden. Beispielsweise können Sie einem Nutzer die Rolle AutoML-Betrachter (roles.automl.viewer) zuweisen, sodass sich der Nutzer Ressourcen im Projekt anzeigen lassen kann. Wenn dieser Nutzer Ressourcen erstellen oder aktualisieren muss, können Sie ihm stattdessen die Rolle AutoML-Bearbeiter (roles.automl.editor) zuweisen.

Rollen

AutoML Tables verwendet die AutoML API, die eine Reihe vordefinierter Rollen bereitstellt, mit denen Sie den Zugriff auf Ihre AutoML-Ressourcen steuern können.

Sie können auch Ihre eigenen benutzerdefinierten Rollen erstellen, wenn die vordefinierten Rollen nicht die Berechtigungen enthalten, die Sie benötigen.

Zusätzlich stehen Ihnen die einfachen Legacy-Rollen (Bearbeiter, Betrachter und Inhaber) zur Verfügung, obwohl sie nicht dieselbe detaillierte Kontrolle wie die AutoML-Rollen bieten. Vermeiden Sie nach Möglichkeit die Verwendung einfacher Rollen. Sie bieten Zugriff auf Ressourcen in Google Cloud statt nur für AutoML. Einfache Rollen

Vordefinierte Rollen

In diesem Abschnitt werden die von AutoML bereitgestellten vordefinierten Rollen zusammengefasst.

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/automl.admin AutoML-AdministratorBeta Voller Zugriff auf alle AutoML-Ressourcen
  • automl.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
Dataset/Modell
roles/automl.editor AutoML-BearbeiterBeta Bearbeiter aller AutoML-Ressourcen
  • automl.annotationSpecs.*
  • automl.annotations.*
  • automl.columnSpecs.*
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.update
  • automl.examples.*
  • automl.humanAnnotationTasks.*
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.*
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.list
  • automl.models.predict
  • automl.models.undeploy
  • automl.operations.*
  • automl.tableSpecs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
Dataset/Modell
roles/automl.predictor AutoML-ErkennungBeta Erkennen mit Modellen
  • automl.models.predict
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Model
roles/automl.viewer AutoML-BetrachterBeta Betrachter von allen AutoML-Ressourcen
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
Dataset/Modell

Berechtigungen für AutoML Tables in Ihrem Homeprojekt erteilen

Manchmal müssen Sie einem Dienstkonto, das von AutoML Tables automatisch erstellt wird, zusätzliche Rollen zuweisen. Wenn Sie beispielsweise externe Tabellen verwenden, die von Cloud Bigtable-Datenquellen unterstützt werden, müssen Sie dem automatisch erstellten Dienstkonto zusätzliche Rollen zuweisen, damit es die erforderlichen Berechtigungen zum Lesen und Schreiben von Daten für BigQuery und Bigtable hat.

So weisen Sie dem automatisch erstellten Dienstkonto für AutoML-Tabellen in Ihrem Home-Projekt zusätzliche Rollen zu:

  1. Rufen Sie die Seite "IAM" der Cloud Console für Ihr Homeprojekt auf.

    Zur Seite "IAM"

  2. Klicken Sie auf das Stiftsymbol für das Dienstkonto mit dem Namen AutoML Service Agent.

  3. Gewähren Sie dem Dienstkonto die erforderlichen Rollen und speichern Sie Ihre Änderungen.

Berechtigungen für AutoML Tables in einem anderen Projekt erteilen

Wenn Sie Datenquellen oder Ziele in einem anderen Projekt verwenden, müssen Sie dem Auto Tables-Dienstkonto Berechtigungen in diesem Projekt erteilen. Das AutoML Tables-Dienstkonto wird automatisch erstellt, wenn Sie die AutoML Tables API aktivieren.

So fügen Sie Berechtigungen zu AutoML Tables in einem anderen Projekt hinzu:

  1. Rufen Sie die Seite "IAM" der Cloud Console für Ihr Projekt auf, in dem Sie AutoML Tables verwenden.

    Zur Seite "IAM"

  2. Suchen Sie das Dienstkonto mit dem Namen AutoML Service Agent und kopieren Sie die E-Mail-Adresse (die unter Mitglied aufgeführt ist).

  3. Ändern Sie die Projekte in das Projekt, für das Sie die Berechtigungen erteilen müssen.

  4. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse in Neue Mitglieder ein.

  5. Fügen Sie alle erforderlichen Rollen hinzu und klicken Sie auf Speichern.

Zugriff auf Google Tabellen gewähren

Wenn Sie eine externe BigQuery-Datenquelle verwenden, die von Google Tabellen unterstützt wird, müssen Sie Ihr Tabellenblatt für das AutoML-Dienstkonto freigeben. Das AutoML Tables-Dienstkonto wird automatisch erstellt, wenn Sie die AutoML Tables API aktivieren.

So autorisieren Sie AutoML Tables für den Zugriff auf Ihre Tabellen-Datei:

  1. Rufen Sie die IAM-Seite der Cloud Console auf.

    Zur Seite "IAM"

  2. Suchen Sie nach dem Dienstkonto mit dem Namen AutoML Service Agent.

  3. Kopieren Sie den Mitgliedsnamen in die Zwischenablage.

    Der Mitgliedsname ist eine E-Mail-Adresse, ähnlich wie in diesem Beispiel:

    service-358517216@gcp-sa-automl.iam.gserviceaccount.com
    
  4. Öffnen Sie Ihre Google Tabellen-Datei und teilen Sie sie mit dieser Adresse.

IAM-Rollen verwalten

Sie können IAM-Rollen mithilfe der Cloud Console, der IAM API oder des gcloud-Befehlszeilentools gewähren, ändern und widerrufen. Eine ausführliche Anleitung finden Sie unter Zugriff für Projektmitglieder gewähren, ändern und widerrufen.

Nächste Schritte

Identitäts- und Zugriffsverwaltung