Controle de acesso

Nesta página, você verá como usar o gerenciamento de identidade e acesso para controlar o acesso aos recursos do AutoML Tables, incluindo origens de dados e destinos de resultados.

Visão geral do gerenciamento de identidade e acesso

Ao usar o AutoML Tables, é possível gerenciar o acesso aos recursos com o gerenciamento de identidade e acesso (IAM). Com o IAM, você tem acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Nesta página, descrevemos as permissões e os papéis do IAM para o AutoML Tables. Para uma descrição detalhada do IAM, consulte a documentação do IAM.

Com o IAM, é possível adotar o princípio de segurança do menor privilégio para conceder apenas o acesso necessário aos recursos.

O IAM permite controlar quem (usuário) tem qual (papel) tipo de acesso a quais recursos, por meio da atribuição de um ou mais papéis fornecer permissões específicas. Por exemplo, é possível conceder a um usuário o papel de leitor do AutoML (roles.automl.viewer), para que ele possa ver recursos no projeto. Se esse usuário precisar criar ou atualizar recursos, será possível conceder a ele o papel de editor do AutoML (roles.automl.editor).

Papéis

O AutoML Tables utiliza a API AutoML, que fornece um conjunto de papéis predefinidos para ajudar a controlar o acesso aos recursos do AutoML.

Você também pode criar papéis personalizados próprios, caso os predefinidos não forneçam os conjuntos de permissões necessários.

Além disso, os papéis primários legados (editor, leitor e proprietário) também estão disponíveis para você, embora não forneçam o mesmo controle minucioso dos papéis do AutoML. Se possível, evite usar os papéis primitivos. Eles possibilitam acesso a recursos no Google Cloud, em vez de apenas ao AutoML. Saiba mais sobre os papéis primitivos.

Papéis predefinidos

Os papéis predefinidos fornecidos pelo AutoML estão resumidos nesta seção.

Papel Nome Descrição Permissões Menor recurso
roles/automl.admin Administrador do AutoML Beta Acesso total a todos os recursos do AutoML
  • automl.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
Conjunto de dados/modelo
roles/automl.editor Editor do AutoML Beta Editor de todos os recursos do AutoML
  • automl.annotationSpecs.*
  • automl.annotations.*
  • automl.columnSpecs.*
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.update
  • automl.examples.*
  • automl.humanAnnotationTasks.*
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.*
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.list
  • automl.models.predict
  • automl.models.undeploy
  • automl.operations.*
  • automl.tableSpecs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
Conjunto de dados/modelo
roles/automl.predictor Preditor do AutoML Beta Prever com modelos
  • automl.models.predict
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Modelo
roles/automl.viewer Leitor do AutoML Beta Acesso de leitura a todos os recursos do AutoML
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
Conjunto de dados/modelo

Como conceder permissões ao AutoML Tables no projeto inicial

Às vezes, é necessário conceder outros papéis a uma conta de serviço que o AutoML Tables cria automaticamente. Por exemplo, quando você usa tabelas externas do BigQuery com backup das fontes de dados do Cloud Bigtable, é necessário conceder outros papéis à conta de serviço criada automaticamente. Assim ela terá as permissões necessárias para ler e gravar dados no BigQuery e no Bigtable.

Para conceder outros papéis à conta de serviço criada automaticamente para AutoML Tables no projeto inicial:

  1. Acesse a página do IAM no Console do Cloud para ver o projeto inicial.

    Acessar a página do IAM

  2. Clique no ícone de lápis, na conta de serviço com o nome AutoML Service Agent.

  3. Conceda os papéis necessários à conta de serviço e salve as alterações.

Como conceder permissões ao AutoML Tables em um projeto diferente

Ao usar fontes de dados ou destinos em um projeto diferente, é preciso fornecer as permissões da conta de serviço do AutoML Tables nesse projeto. A conta de serviço do AutoML Tables é criada automaticamente ao ativar a API AutoML Tables.

Para adicionar permissões ao AutoML Tables em um projeto diferente:

  1. Acesse a página do IAM no Console do Cloud para ver o projeto em que você está usando o AutoML Tables.

    Acessar a página do IAM

  2. Encontre a conta de serviço com o nome AutoML Service Agent e copie o endereço de e-mail (listado em Membro).

  3. Mude os projetos para aquele em que você precisa conceder as permissões.

  4. Clique em Adicionar e insira o endereço de e-mail em Novos membros.

  5. Adicione todos os papéis necessários e clique em Salvar.

Como fornecer acesso ao Planilhas Google

Se você usa uma fonte de dados externa do BigQuery com backup pelo Planilhas Google, compartilhe suas planilhas com a conta de serviço do AutoML. A conta de serviço do AutoML Tables é criada automaticamente ao ativar a API AutoML Tables.

Para autorizar o acesso do AutoML Tables ao arquivo do Planilhas:

  1. Acesse a página do IAM no Console do Cloud.

    Acessar a página do IAM

  2. Procure a conta de serviço com o nome AutoML Service Agent.

  3. Copie o nome do membro para a área de transferência.

    O nome do membro é um endereço de e-mail, semelhante a este exemplo:

    service-358517216@gcp-sa-automl.iam.gserviceaccount.com
    
  4. Abra o arquivo do Planilhas Google e compartilhe-o com esse endereço.

Como gerenciar papéis do IAM

É possível conceder, alterar e revogar papéis do IAM usando o Console do Cloud, a API IAM ou a ferramenta de linha de comando gcloud. Para ver instruções detalhadas, consulte Como conceder, alterar e revogar o acesso dos membros do projeto.

A seguir

Saiba mais sobre o gerenciamento de identidade e acesso.