Control de acceso

En esta página se describe cómo usas Administración de identidades y accesos para controlar el acceso a tus recursos de AutoML Tables, incluidos las fuentes de datos y los destinos de resultados.

Descripción general de la administración de identidades y accesos

Cuando usas AutoML Tables, puedes administrar el acceso a tus recursos con la administración de identidades y accesos (IAM). IAM te permite otorgar acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. En esta página, se describen los permisos y las funciones de IAM para AutoML Tables. Para ver una descripción detallada de IAM, consulta la documentación de IAM.

IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgues el acceso necesario a tus recursos.

IAM te permite controlar quién (usuario) tiene qué (función) tipo de acceso para cuáles recursos cuando se le otorga una o más funciones a un usuario, lo cual le da ciertos permisos. Por ejemplo, puedes otorgar la función de visualizador de AutoML (roles.automl.viewer) a un usuario, lo que le permite ver los recursos del proyecto. Si ese usuario necesita crear o actualizar recursos, puedes otorgarle la función de editor de AutoML (roles.automl.editor).

Funciones

AutoML Tables usa la API de AutoML, que proporciona un conjunto de funciones predefinidas que te ayudan a controlar el acceso a tus recursos de AutoML.

También puedes crear tus propias funciones personalizadas, si las funciones predefinidas no proporcionan los conjuntos de permisos que necesitas.

Además, las funciones básicas más antiguas (Editor, Visualizador y Propietario) también están disponibles, aunque no proporcionan el mismo control detallado que las funciones de AutoML. Si es posible, evita usar las funciones básicas, ya que proporcionan acceso a recursos en todo Google Cloud, en lugar de solo para AutoML. Obtén más información sobre las funciones básicas.

Funciones predefinidas

En esta sección, se resumen las funciones predefinidas que proporciona AutoML.

Función Permisos

Administrador de AutoML Beta
(roles/automl.admin)

Acceso total a todos los recursos de AutoML

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Conjunto de datos
  • Modelo
  • automl.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

Editor de AutoML Beta
(roles/automl.editor)

Edición de todos los recursos de AutoML

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Conjunto de datos
  • Modelo
  • automl.annotationSpecs.*
  • automl.annotations.*
  • automl.columnSpecs.*
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.update
  • automl.examples.*
  • automl.humanAnnotationTasks.*
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.*
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.list
  • automl.models.predict
  • automl.models.undeploy
  • automl.operations.*
  • automl.tableSpecs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

Predictor de AutoML Beta
(roles/automl.predictor)

Predicción mediante modelos

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Modelo
  • automl.models.predict
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de AutoML Beta
(roles/automl.viewer)

Visualizador de todos los recursos de AutoML

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Conjunto de datos
  • Modelo
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

Otorga permisos a AutoML Tables en tu proyecto principal

A veces debes otorgar funciones adicionales a una cuenta de servicio que AutoML Tables crea de forma automática. Por ejemplo, cuando usas tablas externas de BigQuery cuyo respaldo es por fuentes de datos de Cloud Bigtable, debes otorgar funciones adicionales a la cuenta de servicio que se creó de forma automática para que tenga los permisos necesarios y así leer y escribir datos en BigQuery y Bigtable.

A fin de otorgar funciones adicionales a la cuenta de servicio que se creó de forma automática para AutoML Tables en tu proyecto de origen, haz lo siguiente:

  1. Ve a la página IAM de Cloud Console para ir a tu proyecto principal.

    Ve a la página IAM

  2. Selecciona la casilla de verificación Incluir otorgamientos de funciones proporcionadas por Google en la esquina superior derecha.

  3. Haz clic en el ícono de lápiz de la cuenta de servicio con el nombre AutoML Service Agent.

  4. Otorga las funciones necesarias a la cuenta de servicio y guarda los cambios.

Otorga permisos a AutoML Tables en un proyecto diferente

Cuando usas fuentes de datos o destinos en un proyecto diferente, debes otorgar permisos a la cuenta de servicio de AutoML Tables en ese proyecto. La cuenta de servicio de AutoML Tables se crea de forma automática cuando habilitas la API de AutoML Tables.

Para agregar permisos a AutoML Tables en un proyecto diferente, haz lo siguiente:

  1. Ve a la página IAM de Cloud Console para ver tu proyecto principal (el proyecto en el que usas AutoML Tables).

    Ve a la página IAM

  2. Selecciona la casilla de verificación Incluir otorgamientos de funciones proporcionadas por Google en la esquina superior derecha.

  3. Busca la cuenta de servicio con el nombre AutoML Service Agent y copia su dirección de correo electrónico (que aparece en Principal).

  4. Cambia los proyectos al proyecto en el que debes otorgar los permisos.

  5. Haz clic en Agregar y, luego, ingresa la dirección de correo electrónico en Nuevos principales.

  6. Agrega todas las funciones necesarias y haz clic en Guardar.

Proporciona acceso a Hojas de cálculo de Google

Si usas una fuente de datos externa de BigQuery con una copia de seguridad en las Hojas de cálculo de Google, debes compartir tu hoja con la cuenta de servicio de AutoML. La cuenta de servicio de AutoML Tables se crea de forma automática cuando habilitas la API de AutoML Tables.

Para autorizar que AutoML Tables acceda a tu archivo de Hojas de cálculo, haz lo siguiente:

  1. Ve a la página IAM de Cloud Console.

    Ve a la página IAM

  2. Selecciona la casilla de verificación Incluir otorgamientos de funciones proporcionadas por Google en la esquina superior derecha.

  3. Busca la cuenta de servicio con el nombre AutoML Service Agent.

  4. Copia el nombre principal en el portapapeles.

    El nombre principal es una dirección de correo electrónico, similar a este ejemplo:

    service-358517216@gcp-sa-automl.iam.gserviceaccount.com
    
  5. Abre el archivo de Hojas de cálculo y compártelo con esa dirección.

Administra funciones de IAM

Puedes otorgar, cambiar y revocar funciones de IAM con Cloud Console, la API de IAM o la herramienta de línea de comandos de gcloud. Para obtener instrucciones detalladas, consulta la sección sobre cómo otorgar, cambiar y revocar el acceso a los recursos.

¿Qué sigue?

Obtén más información sobre la administración de identidades y accesos.