Controllo dell'accesso con IAM

Questa pagina descrive come utilizzare Identity and Access Management per controllare l'accesso alle risorse AutoML Tables, incluse le origini dati e le destinazioni dei risultati.

Panoramica di Identity and Access Management

Quando utilizzi AutoML Tables, puoi gestire l'accesso alle risorse con Identity and Access Management (IAM). IAM consente di concedere un accesso più granulare a risorse Google Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. In questa pagina vengono descritti i ruoli e le autorizzazioni IAM per AutoML Tables. Per una descrizione dettagliata di IAM, consulta la documentazione IAM.

IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo l'accesso necessario alle tue risorse.

IAM consente di controllare chi (utente) dispone di quale tipo (ruolo) di accesso per quali risorse concedendo uno o più ruoli a un utente e concedergli determinate autorizzazioni. Ad esempio, puoi concedere a un utente il ruolo Visualizzatore AutoML (roles.automl.viewer) che permette di visualizzare le risorse nel progetto. Se questo utente deve creare o aggiornare risorse, puoi concedere il ruolo di Editor AutoML (roles.automl.editor).

Ruoli

AutoML Tables utilizza l'API AutoML, che fornisce un insieme di ruoli predefiniti che consentono di controllare l'accesso alle risorse AutoML.

Puoi anche creare ruoli personalizzati, se i ruoli predefiniti non forniscono le autorizzazioni di cui hai bisogno.

Inoltre, puoi accedere anche ai ruoli di base meno recenti (Editor, Visualizzatore e Proprietario), anche se non offrono lo stesso controllo granulare dei ruoli AutoML. Se possibile, evita di utilizzare i ruoli di base, che forniscono l'accesso alle risorse su Google Cloud, anziché solo per AutoML. Scopri di più sui ruoli di base.

Ruoli predefiniti

Questa sezione riassume i ruoli predefiniti forniti da AutoML.

Role Permissions

(roles/automl.admin)

Full access to all AutoML resources

Lowest-level resources where you can grant this role:

  • Dataset
  • Model

automl.*

  • automl.annotationSpecs.create
  • automl.annotationSpecs.delete
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotationSpecs.update
  • automl.annotations.approve
  • automl.annotations.create
  • automl.annotations.list
  • automl.annotations.manipulate
  • automl.annotations.reject
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.columnSpecs.update
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.getIamPolicy
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.setIamPolicy
  • automl.datasets.update
  • automl.examples.delete
  • automl.examples.get
  • automl.examples.list
  • automl.examples.update
  • automl.files.delete
  • automl.files.list
  • automl.humanAnnotationTasks.create
  • automl.humanAnnotationTasks.delete
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.getIamPolicy
  • automl.locations.list
  • automl.locations.setIamPolicy
  • automl.modelEvaluations.create
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.getIamPolicy
  • automl.models.list
  • automl.models.predict
  • automl.models.setIamPolicy
  • automl.models.undeploy
  • automl.operations.cancel
  • automl.operations.delete
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • automl.tableSpecs.update

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

(roles/automl.editor)

Editor of all AutoML resources

Lowest-level resources where you can grant this role:

  • Dataset
  • Model

automl.annotationSpecs.*

  • automl.annotationSpecs.create
  • automl.annotationSpecs.delete
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotationSpecs.update

automl.annotations.*

  • automl.annotations.approve
  • automl.annotations.create
  • automl.annotations.list
  • automl.annotations.manipulate
  • automl.annotations.reject

automl.columnSpecs.*

  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.columnSpecs.update

automl.datasets.create

automl.datasets.delete

automl.datasets.export

automl.datasets.get

automl.datasets.import

automl.datasets.list

automl.datasets.update

automl.examples.*

  • automl.examples.delete
  • automl.examples.get
  • automl.examples.list
  • automl.examples.update

automl.files.*

  • automl.files.delete
  • automl.files.list

automl.humanAnnotationTasks.*

  • automl.humanAnnotationTasks.create
  • automl.humanAnnotationTasks.delete
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list

automl.locations.get

automl.locations.list

automl.modelEvaluations.*

  • automl.modelEvaluations.create
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list

automl.models.create

automl.models.delete

automl.models.deploy

automl.models.export

automl.models.get

automl.models.list

automl.models.predict

automl.models.undeploy

automl.operations.*

  • automl.operations.cancel
  • automl.operations.delete
  • automl.operations.get
  • automl.operations.list

automl.tableSpecs.*

  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • automl.tableSpecs.update

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

(roles/automl.predictor)

Predict using models

Lowest-level resources where you can grant this role:

  • Model

automl.models.predict

resourcemanager.projects.get

resourcemanager.projects.list

(roles/automl.viewer)

Viewer of all AutoML resources

Lowest-level resources where you can grant this role:

  • Dataset
  • Model

automl.annotationSpecs.get

automl.annotationSpecs.list

automl.annotations.list

automl.columnSpecs.get

automl.columnSpecs.list

automl.datasets.get

automl.datasets.list

automl.examples.get

automl.examples.list

automl.files.list

automl.humanAnnotationTasks.get

automl.humanAnnotationTasks.list

automl.locations.get

automl.locations.list

automl.modelEvaluations.get

automl.modelEvaluations.list

automl.models.get

automl.models.list

automl.operations.get

automl.operations.list

automl.tableSpecs.get

automl.tableSpecs.list

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

Concedere le autorizzazioni ad AutoML Tables nel progetto principale

A volte è necessario concedere altri ruoli a un account di servizio creato automaticamente da AutoML Tables. Ad esempio, quando utilizzi tabelle esterne BigQuery supportate da origini dati Bigtable, devi concedere ruoli aggiuntivi all'account di servizio creato automaticamente, in modo che disponga delle autorizzazioni necessarie per leggere e scrivere dati per BigQuery e Bigtable.

Per concedere ruoli aggiuntivi all'account di servizio creato automaticamente per AutoML Tables nel tuo progetto principale:

  1. Vai alla pagina IAM della console Google Cloud per il tuo progetto principale.

    Vai alla pagina IAM

  2. Seleziona la casella di controllo Includi concessioni dei ruoli fornite da Google nell'angolo in alto a destra.

  3. Fai clic sull'icona a forma di matita in corrispondenza dell'account di servizio con il nome AutoML Service Agent.

  4. Concedi i ruoli richiesti all'account di servizio e salva le modifiche.

Concedere le autorizzazioni ad AutoML Tables in un altro progetto

Quando utilizzi origini dati o destinazioni in un altro progetto, devi concedere all'account di servizio AutoML Tables le autorizzazioni nel progetto. L'account di servizio AutoML Tables viene creato automaticamente quando abiliti l'API AutoML Tables.

Per aggiungere le autorizzazioni ad AutoML Tables in un altro progetto:

  1. Vai alla pagina IAM della console Google Cloud per il tuo progetto principale (il progetto in cui utilizzi AutoML Tables).

    Vai alla pagina IAM

  2. Seleziona la casella di controllo Includi concessioni dei ruoli fornite da Google nell'angolo in alto a destra.

  3. Trova l'account di servizio con il nome AutoML Service Agent e copia il relativo indirizzo email (elencato sotto Entità).

  4. Modifica i progetti nel progetto in cui devi concedere le autorizzazioni.

  5. Fai clic su Aggiungi e inserisci l'indirizzo email in Nuove entità.

  6. Aggiungi tutti i ruoli richiesti e fai clic su Salva.

Accesso a Fogli Google

Se utilizzi un'origine dati BigQuery esterna supportata da Fogli Google, devi condividere il foglio con l'account di servizio AutoML. L'account di servizio AutoML Tables viene creato automaticamente quando abiliti l'API AutoML Tables.

Per autorizzare AutoML Tables ad accedere al file di Fogli:

  1. Vai alla pagina IAM della console Google Cloud.

    Vai alla pagina IAM

  2. Seleziona la casella di controllo Includi concessioni dei ruoli fornite da Google nell'angolo in alto a destra.

  3. Cerca l'account di servizio con il nome AutoML Service Agent.

  4. Copia il nome dell'entità negli appunti.

    Il nome entità è un indirizzo email, simile a questo esempio:

    service-358517216@gcp-sa-automl.iam.gserviceaccount.com

  5. Apri il file di Fogli e condividilo con quell'indirizzo.

Gestione dei ruoli IAM

Puoi concedere, modificare e revocare i ruoli IAM utilizzando la console Google Cloud, l'API IAM o lo strumento a riga di comando gcloud. Per istruzioni dettagliate, consulta Concessione, modifica e revoca dell'accesso.

Passaggi successivi

Scopri di più su Identity and Access Management.