Control de acceso

En esta página se describe cómo usas Administración de identidades y accesos para controlar el acceso a tus recursos de AutoML Tables, incluidos las fuentes de datos y los destinos de resultados.

Descripción general de la administración de identidades y accesos

Cuando usas AutoML Tables, puedes administrar el acceso a tus recursos con la Administración de identidades y accesos (IAM). IAM te permite otorgar acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. En esta página se describen los permisos y las funciones de IAM para AutoML Tables. Para ver una descripción detallada de IAM, consulta la documentación de IAM.

IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgues el acceso necesario a tus recursos.

IAM te permite controlar quién (usuario) tiene qué (función) tipo de acceso para cuáles recursos cuando se le otorga una o más funciones a un usuario, lo cual le da ciertos permisos. Por ejemplo, puedes otorgar la función de visualizador de AutoML (roles.automl.viewer) a un usuario, lo que le permite ver los recursos del proyecto. Si ese usuario necesita crear o actualizar recursos, puedes otorgarle la función de editor de AutoML (roles.automl.editor).

Funciones

AutoML Tables usa la API de AutoML, que proporciona un conjunto de funciones predefinidas que te ayudan a controlar el acceso a tus recursos de AutoML.

También puedes crear tus propias funciones personalizadas, si las funciones predefinidas no proporcionan los conjuntos de permisos que necesitas.

Además, las funciones básicas heredadas (editor, visualizador y propietario) también están disponibles, aunque no proporcionan el mismo control detallado que las funciones de AutoML. Si es posible, evita usar las funciones básicas, ya que proporcionan acceso a recursos en todo Google Cloud, en lugar de solo para AutoML. Obtén más información sobre las funciones básicas.

Funciones predefinidas

En esta sección, se resumen las funciones predefinidas que proporciona AutoML.

Role Título Descripción Permisos Recurso más bajo
roles/automl.admin Administrador de AutoMLBeta Acceso total a todos los recursos de AutoML
  • automl.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
Conjunto de datos/modelo
roles/automl.editor Editor de AutoMLBeta Edición de todos los recursos de AutoML
  • automl.annotationSpecs.*
  • automl.annotations.*
  • automl.columnSpecs.*
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.update
  • automl.examples.*
  • automl.humanAnnotationTasks.*
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.*
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.list
  • automl.models.predict
  • automl.models.undeploy
  • automl.operations.*
  • automl.tableSpecs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
Conjunto de datos/modelo
roles/automl.predictor Predictor de AutoMLBeta Predicción mediante modelos
  • automl.models.predict
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Model
roles/automl.viewer Visualizador de AutoMLBeta Lector de todos los recursos de AutoML
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
Conjunto de datos/modelo

Otorga permisos a AutoML Tables en tu proyecto principal

A veces debes otorgar funciones adicionales a una cuenta de servicio que AutoML Tables crea de forma automática. Por ejemplo, cuando usas tablas externas de BigQuery cuyo respaldo es por fuentes de datos de Cloud Bigtable, debes otorgar funciones adicionales a la cuenta de servicio que se creó de forma automática para que tenga los permisos necesarios y así leer y escribir datos en BigQuery y Bigtable.

A fin de otorgar funciones adicionales a la cuenta de servicio que se creó de forma automática para AutoML Tables en tu proyecto de origen, haz lo siguiente:

  1. Ve a la página IAM de Cloud Console para ir a tu proyecto principal.

    Ir a la página IAM

  2. Haz clic en el ícono de lápiz de la cuenta de servicio con el nombre AutoML Service Agent.

  3. Otorga las funciones necesarias a la cuenta de servicio y guarda los cambios.

Otorga permisos a AutoML Tables en un proyecto diferente

Cuando usas fuentes de datos o destinos en un proyecto diferente, debes otorgar permisos a la cuenta de servicio de AutoML Tables en ese proyecto. La cuenta de servicio de AutoML Tables se crea de forma automática cuando habilitas la API de AutoML Tables.

Para agregar permisos a AutoML Tables en un proyecto diferente, haz lo siguiente:

  1. Ve a la página IAM de Cloud Console para ver tu proyecto principal (el proyecto en el que usas AutoML Tables).

    Ir a la página IAM

  2. Busca la cuenta de servicio con el nombre AutoML Service Agent y copia su dirección de correo electrónico (que aparece en Miembro).

  3. Cambia los proyectos al proyecto en el que debes otorgar los permisos.

  4. Haz clic en Agregar y, luego, ingresa la dirección de correo electrónico en Miembros nuevos.

  5. Agrega todas las funciones necesarias y haz clic en Guardar.

Proporciona acceso a Hojas de cálculo de Google

Si usas una fuente de datos externa de BigQuery con una copia de seguridad en las Hojas de cálculo de Google, debes compartir tu hoja con la cuenta de servicio de AutoML. La cuenta de servicio de AutoML Tables se crea de forma automática cuando habilitas la API de AutoML Tables.

Para autorizar que AutoML Tables acceda a tu archivo de Hojas de cálculo, haz lo siguiente:

  1. Ve a la página IAM de Cloud Console.

    Ir a la página IAM

  2. Busca la cuenta de servicio con el nombre AutoML Service Agent.

  3. Copia el nombre del miembro en el portapapeles.

    El nombre del miembro es una dirección de correo electrónico, similar a este ejemplo:

    service-358517216@gcp-sa-automl.iam.gserviceaccount.com
    
  4. Abre el archivo de Hojas de cálculo y compártelo con esa dirección.

Administra funciones de IAM

Puedes otorgar, cambiar y revocar funciones de IAM con Cloud Console, la API de IAM o la herramienta de línea de comandos de gcloud. Para obtener instrucciones detalladas, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos.

Qué sigue

Obtén más información sobre la administración de identidades y accesos.