Zugriffsteuerung

Auf dieser Seite wird beschrieben, wie Sie mit Identity and Access Management den Zugriff auf Ihre AutoML Tables-Ressourcen steuern, einschließlich Datenquellen und Ergebniszielen.

Identitäts- und Zugriffsverwaltung – Übersicht

Wenn Sie AutoML Tables verwenden, können Sie den Zugriff auf Ihre Ressourcen mit Identity and Access Management (IAM) verwalten. Mit IAM gewähren Sie detaillierteren Zugriff auf bestimmte Google Cloud-Ressourcen und verhindern unerwünschten Zugriff auf andere Ressourcen. Auf dieser Seite werden die IAM-Berechtigungen und -Rollen für AutoML Tables beschrieben. Eine ausführliche Beschreibung von IAM finden Sie in der IAM-Dokumentation.

Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.

In IAM können Sie steuern, wer (Nutzer) welchen Zugriff (Rollen) auf welche Ressourcen hat. Weisen Sie dazu dem Nutzer mindestens eine Rolle und entsprechende Berechtigungen zu. Beispielsweise können Sie einem Nutzer die Rolle AutoML-Betrachter (roles.automl.viewer) zuweisen, sodass sich der Nutzer Ressourcen im Projekt anzeigen lassen kann. Wenn dieser Nutzer Ressourcen erstellen oder aktualisieren muss, können Sie ihm stattdessen die Rolle AutoML-Bearbeiter (roles.automl.editor) zuweisen.

Rollen

AutoML Tables verwendet die AutoML API, die eine Reihe vordefinierter Rollen bereitstellt, mit denen Sie den Zugriff auf Ihre AutoML-Ressourcen steuern können.

Sie können auch Ihre eigenen benutzerdefinierten Rollen erstellen, wenn die vordefinierten Rollen nicht die Berechtigungen enthalten, die Sie benötigen.

Zusätzlich stehen Ihnen die ältere Basic-Rollen (Bearbeiter, Betrachter und Inhaber) zur Verfügung, obwohl sie nicht dieselbe detaillierte Kontrolle wie die AutoML-Rollen bieten. Vermeiden Sie nach Möglichkeit die Verwendung von Basic-Rollen. Sie bieten Zugriff auf Ressourcen in Google Cloud statt nur für AutoML. Mehr über Basic-Rollen erfahren

Vordefinierte Rollen

In diesem Abschnitt sind die vordefinierten Rollen von AutoML zusammengefasst.

Rolle Berechtigungen

AutoML-Administrator Beta
(roles/automl.admin)

Voller Zugriff auf alle AutoML-Ressourcen

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Dataset
  • Modell
  • automl.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

AutoML-Bearbeiter Beta
(roles/automl.editor)

Bearbeiter aller AutoML-Ressourcen

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Dataset
  • Modell
  • automl.annotationSpecs.*
  • automl.annotations.*
  • automl.columnSpecs.*
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.update
  • automl.examples.*
  • automl.humanAnnotationTasks.*
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.*
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.list
  • automl.models.predict
  • automl.models.undeploy
  • automl.operations.*
  • automl.tableSpecs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

AutoML-Erkennung Beta
(roles/automl.predictor)

Erkennen mit Modellen

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Modell
  • automl.models.predict
  • resourcemanager.projects.get
  • resourcemanager.projects.list

AutoML-Betrachter Beta
(roles/automl.viewer)

Betrachter von allen AutoML-Ressourcen

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Dataset
  • Modell
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

Berechtigungen für AutoML Tables in Ihrem Homeprojekt erteilen

Manchmal müssen Sie einem Dienstkonto, das von AutoML Tables automatisch erstellt wird, zusätzliche Rollen zuweisen. Wenn Sie beispielsweise externe Tabellen verwenden, die von Cloud Bigtable-Datenquellen unterstützt werden, müssen Sie dem automatisch erstellten Dienstkonto zusätzliche Rollen zuweisen, damit es die erforderlichen Berechtigungen zum Lesen und Schreiben von Daten für BigQuery und Bigtable hat.

So weisen Sie dem automatisch erstellten Dienstkonto für AutoML-Tabellen in Ihrem Home-Projekt zusätzliche Rollen zu:

  1. Rufen Sie die Seite "IAM" der Cloud Console für Ihr Homeprojekt auf.

    Zur IAM-Seite

  2. Klicken Sie rechts oben auf das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen.

  3. Klicken Sie auf das Stiftsymbol für das Dienstkonto mit dem Namen AutoML Service Agent.

  4. Gewähren Sie dem Dienstkonto die erforderlichen Rollen und speichern Sie Ihre Änderungen.

Berechtigungen für AutoML Tables in einem anderen Projekt erteilen

Wenn Sie Datenquellen oder Ziele in einem anderen Projekt verwenden, müssen Sie dem Auto Tables-Dienstkonto Berechtigungen in diesem Projekt erteilen. Das AutoML Tables-Dienstkonto wird automatisch erstellt, wenn Sie die AutoML Tables API aktivieren.

So fügen Sie Berechtigungen zu AutoML Tables in einem anderen Projekt hinzu:

  1. Rufen Sie die Seite "IAM" der Cloud Console für Ihr Projekt auf, in dem Sie AutoML Tables verwenden.

    Zur IAM-Seite

  2. Klicken Sie rechts oben auf das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen.

  3. Suchen Sie nach dem Dienstkonto mit dem Namen AutoML Service Agent und kopieren Sie seine E-Mail-Adresse (unter Principal aufgeführt).

  4. Ändern Sie die Projekte in das Projekt, für das Sie die Berechtigungen erteilen müssen.

  5. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse unter Neue Hauptkonten ein.

  6. Fügen Sie alle erforderlichen Rollen hinzu und klicken Sie auf Speichern.

Zugriff auf Google Tabellen gewähren

Wenn Sie eine externe BigQuery-Datenquelle verwenden, die von Google Tabellen unterstützt wird, müssen Sie Ihr Tabellenblatt für das AutoML-Dienstkonto freigeben. Das AutoML Tables-Dienstkonto wird automatisch erstellt, wenn Sie die AutoML Tables API aktivieren.

So autorisieren Sie AutoML Tables für den Zugriff auf Ihre Tabellen-Datei:

  1. Rufen Sie die IAM-Seite der Cloud Console auf.

    Zur IAM-Seite

  2. Klicken Sie rechts oben auf das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen.

  3. Suchen Sie nach dem Dienstkonto mit dem Namen AutoML Service Agent.

  4. Kopieren Sie den Namen des Hauptkontos in die Zwischenablage.

    Der Hauptname ist eine E-Mail-Adresse wie im folgenden Beispiel:

    service-358517216@gcp-sa-automl.iam.gserviceaccount.com
    
  5. Öffnen Sie Ihre Google Tabellen-Datei und teilen Sie sie mit dieser Adresse.

IAM-Rollen verwalten

Sie können IAM-Rollen mithilfe der Cloud Console, der IAM API oder des gcloud-Befehlszeilentools gewähren, ändern und widerrufen. Eine ausführliche Anleitung finden Sie unter Zugriff gewähren, ändern und widerrufen.

Nächste Schritte

Identitäts- und Zugriffsverwaltung