Kontrol akses dengan IAM

Halaman ini menjelaskan cara menggunakan Identity and Access Management untuk mengontrol akses ke resource Tabel AutoML Anda, termasuk sumber data dan tujuan hasil.

Ringkasan Identity and Access Management

Saat menggunakan AutoML Tables, Anda dapat mengelola akses ke resource dengan Identity and Access Management (IAM). Dengan IAM, Anda dapat memberikan akses yang lebih terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. Halaman ini menjelaskan izin dan peran IAM untuk AutoML Tables. Untuk penjelasan lengkap tentang IAM, baca dokumentasi IAM.

Dengan IAM, Anda dapat menerapkan prinsip keamanan dengan hak istimewa terendah, jadi Anda hanya memberikan akses yang diperlukan ke resource Anda.

IAM memungkinkan Anda mengontrol siapa (pengguna) yang memiliki jenis akses apa (peran) untuk resource mana dengan memberikan satu atau beberapa peran kepada pengguna, sehingga pengguna tersebut mendapatkan izin tertentu. Misalnya, Anda dapat memberikan peran AutoML Viewer (roles.automl.viewer) kepada pengguna, yang memungkinkannya melihat resource dalam project. Jika pengguna tersebut perlu membuat atau memperbarui resource, Anda dapat memberikan peran AutoML Editor (roles.automl.editor).

Peran

AutoML Tables menggunakan AutoML API, yang menyediakan serangkaian peran standar yang membantu Anda mengontrol akses ke resource AutoML.

Anda juga dapat membuat peran khusus sendiri jika peran yang telah ditetapkan tidak menyediakan sekumpulan izin yang Anda perlukan.

Selain itu, peran dasar yang lebih lama (Editor, Viewer, dan Pemilik) juga tersedia untuk Anda, meskipun tidak memberikan kontrol terperinci yang sama dengan peran AutoML. Jika memungkinkan, hindari penggunaan peran dasar. Peran dasar tersebut menyediakan akses ke resource di seluruh Google Cloud, bukan hanya untuk AutoML. Pelajari peran dasar lebih lanjut.

Peran yang telah ditetapkan

Bagian ini merangkum peran bawaan yang disediakan oleh AutoML.

Role Permissions

(roles/automl.admin)

Full access to all AutoML resources

Lowest-level resources where you can grant this role:

  • Dataset
  • Model

automl.*

  • automl.annotationSpecs.create
  • automl.annotationSpecs.delete
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotationSpecs.update
  • automl.annotations.approve
  • automl.annotations.create
  • automl.annotations.list
  • automl.annotations.manipulate
  • automl.annotations.reject
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.columnSpecs.update
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.getIamPolicy
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.setIamPolicy
  • automl.datasets.update
  • automl.examples.delete
  • automl.examples.get
  • automl.examples.list
  • automl.examples.update
  • automl.files.delete
  • automl.files.list
  • automl.humanAnnotationTasks.create
  • automl.humanAnnotationTasks.delete
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.getIamPolicy
  • automl.locations.list
  • automl.locations.setIamPolicy
  • automl.modelEvaluations.create
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.getIamPolicy
  • automl.models.list
  • automl.models.predict
  • automl.models.setIamPolicy
  • automl.models.undeploy
  • automl.operations.cancel
  • automl.operations.delete
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • automl.tableSpecs.update

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

(roles/automl.editor)

Editor of all AutoML resources

Lowest-level resources where you can grant this role:

  • Dataset
  • Model

automl.annotationSpecs.*

  • automl.annotationSpecs.create
  • automl.annotationSpecs.delete
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotationSpecs.update

automl.annotations.*

  • automl.annotations.approve
  • automl.annotations.create
  • automl.annotations.list
  • automl.annotations.manipulate
  • automl.annotations.reject

automl.columnSpecs.*

  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.columnSpecs.update

automl.datasets.create

automl.datasets.delete

automl.datasets.export

automl.datasets.get

automl.datasets.import

automl.datasets.list

automl.datasets.update

automl.examples.*

  • automl.examples.delete
  • automl.examples.get
  • automl.examples.list
  • automl.examples.update

automl.files.*

  • automl.files.delete
  • automl.files.list

automl.humanAnnotationTasks.*

  • automl.humanAnnotationTasks.create
  • automl.humanAnnotationTasks.delete
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list

automl.locations.get

automl.locations.list

automl.modelEvaluations.*

  • automl.modelEvaluations.create
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list

automl.models.create

automl.models.delete

automl.models.deploy

automl.models.export

automl.models.get

automl.models.list

automl.models.predict

automl.models.undeploy

automl.operations.*

  • automl.operations.cancel
  • automl.operations.delete
  • automl.operations.get
  • automl.operations.list

automl.tableSpecs.*

  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • automl.tableSpecs.update

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

(roles/automl.predictor)

Predict using models

Lowest-level resources where you can grant this role:

  • Model

automl.models.predict

resourcemanager.projects.get

resourcemanager.projects.list

(roles/automl.viewer)

Viewer of all AutoML resources

Lowest-level resources where you can grant this role:

  • Dataset
  • Model

automl.annotationSpecs.get

automl.annotationSpecs.list

automl.annotations.list

automl.columnSpecs.get

automl.columnSpecs.list

automl.datasets.get

automl.datasets.list

automl.examples.get

automl.examples.list

automl.files.list

automl.humanAnnotationTasks.get

automl.humanAnnotationTasks.list

automl.locations.get

automl.locations.list

automl.modelEvaluations.get

automl.modelEvaluations.list

automl.models.get

automl.models.list

automl.operations.get

automl.operations.list

automl.tableSpecs.get

automl.tableSpecs.list

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

Memberikan izin ke AutoML Tables di project rumah Anda

Terkadang, Anda perlu memberikan peran tambahan ke akun layanan yang dibuat secara otomatis oleh Tabel AutoML. Misalnya, saat menggunakan tabel eksternal BigQuery yang didukung oleh sumber data Bigtable, Anda harus memberikan peran tambahan ke akun layanan yang dibuat otomatis, sehingga akun tersebut memiliki izin yang diperlukan untuk membaca dan menulis data untuk BigQuery dan Bigtable.

Untuk memberikan peran tambahan ke akun layanan yang dibuat otomatis untuk AutoML Tables di project beranda Anda:

  1. Buka halaman IAM konsol Google Cloud untuk project beranda Anda.

    Buka halaman IAM

  2. Pilih kotak centang Sertakan peran yang disediakan Google di pojok kanan atas.

  3. Klik ikon pensil untuk akun layanan dengan nama AutoML Service Agent.

  4. Berikan peran yang diperlukan ke akun layanan dan simpan perubahan Anda.

Memberikan izin ke AutoML Tables di project yang berbeda

Saat menggunakan sumber data atau tujuan di project yang berbeda, Anda harus memberikan izin kepada akun layanan AutoML Tables dalam project tersebut. Akun layanan AutoML Tables akan otomatis dibuat saat Anda mengaktifkan AutoML Tables API.

Untuk menambahkan izin ke AutoML Tables di project yang berbeda:

  1. Buka halaman IAM di Konsol Google Cloud untuk project beranda Anda (project yang Anda gunakan untuk menggunakan AutoML Tables).

    Buka halaman IAM

  2. Pilih kotak centang Sertakan peran yang disediakan Google di pojok kanan atas.

  3. Temukan akun layanan dengan nama AutoML Service Agent, lalu salin alamat emailnya (tercantum di bagian Principal).

  4. Ubah project ke project yang perlu Anda berikan izin.

  5. Klik Add, dan masukkan alamat email di New principals.

  6. Tambahkan semua peran yang diperlukan, lalu klik Save.

Menyediakan akses ke Google Spreadsheet

Jika menggunakan sumber data BigQuery eksternal yang didukung oleh Google Spreadsheet, Anda harus membagikan sheet dengan akun layanan AutoML. Akun layanan AutoML Tables akan otomatis dibuat saat Anda mengaktifkan AutoML Tables API.

Untuk mengizinkan AutoML Tables agar dapat mengakses file Spreadsheet Anda:

  1. Buka halaman IAM pada Konsol Google Cloud.

    Buka halaman IAM

  2. Pilih kotak centang Sertakan peran yang disediakan Google di pojok kanan atas.

  3. Cari akun layanan dengan nama AutoML Service Agent.

  4. Salin nama Utama ke papan klip.

    Nama utama adalah alamat email, mirip dengan contoh ini:

    service-358517216@gcp-sa-automl.iam.gserviceaccount.com

  5. Buka file Spreadsheet dan bagikan kepada alamat tersebut.

Mengelola peran IAM

Anda dapat memberikan, mengubah, dan mencabut peran IAM menggunakan Konsol Google Cloud, IAM API, atau alat command line gcloud. Untuk mendapatkan petunjuk mendetail, lihat Memberikan, mengubah, dan mencabut akses.

Langkah selanjutnya

Pelajari Identity and Access Management lebih lanjut.