Controle de acesso

Nesta página, você verá como usar o gerenciamento de identidade e acesso para controlar o acesso aos recursos do AutoML Tables, incluindo origens de dados e destinos de resultados.

Visão geral do gerenciamento de identidade e acesso

Ao usar o AutoML Tables, é possível gerenciar o acesso aos recursos com o gerenciamento de identidade e acesso (IAM). Com o IAM, você tem acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Nesta página, descrevemos as permissões e os papéis do IAM para o AutoML Tables. Para uma descrição detalhada do IAM, consulte a documentação do IAM.

Com o IAM, é possível adotar o princípio de segurança do menor privilégio para conceder apenas o acesso necessário aos recursos.

O IAM permite controlar quem (usuário) tem qual (papel) tipo de acesso a quais recursos, por meio da atribuição de um ou mais papéis fornecer permissões específicas. Por exemplo, é possível conceder a um usuário o papel de leitor do AutoML (roles.automl.viewer), para que ele possa ver recursos no projeto. Se esse usuário precisar criar ou atualizar recursos, será possível conceder a ele o papel de editor do AutoML (roles.automl.editor).

Papéis

O AutoML Tables utiliza a API AutoML, que fornece um conjunto de papéis predefinidos para ajudar a controlar o acesso aos recursos do AutoML.

Você também pode criar papéis personalizados próprios, caso os predefinidos não forneçam os conjuntos de permissões necessários.

Além disso, os papéis básicos mais antigos (editor, leitor e proprietário) também estão disponíveis para você, embora não forneçam o mesmo controle minucioso dos papéis do AutoML. Se possível, evite usar os papéis básicos antigos. Eles fornecem acesso a recursos no Google Cloud, em vez de apenas ao AutoML. Saiba mais sobre papéis básicos.

Papéis predefinidos

Os papéis predefinidos fornecidos pelo AutoML estão resumidos nesta seção.

Papel Permissões

Administrador do AutoML Beta
(roles/automl.admin)

Acesso total a todos os recursos do AutoML

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Conjunto de dados
  • Modelo
  • automl.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

Editor do AutoML Beta
(roles/automl.editor)

Editor de todos os recursos do AutoML

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Conjunto de dados
  • Modelo
  • automl.annotationSpecs.*
  • automl.annotations.*
  • automl.columnSpecs.*
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.update
  • automl.examples.*
  • automl.humanAnnotationTasks.*
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.*
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.list
  • automl.models.predict
  • automl.models.undeploy
  • automl.operations.*
  • automl.tableSpecs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

Preditor do AutoML Beta
(roles/automl.predictor)

Prever com modelos

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Modelo
  • automl.models.predict
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Leitor do AutoML Beta
(roles/automl.viewer)

Acesso de leitura a todos os recursos do AutoML

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Conjunto de dados
  • Modelo
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

Como conceder permissões ao AutoML Tables no projeto inicial

Às vezes, é necessário conceder outros papéis a uma conta de serviço que o AutoML Tables cria automaticamente. Por exemplo, quando você usa tabelas externas do BigQuery com backup das fontes de dados do Cloud Bigtable, é necessário conceder outros papéis à conta de serviço criada automaticamente. Assim ela terá as permissões necessárias para ler e gravar dados no BigQuery e no Bigtable.

Para conceder outros papéis à conta de serviço criada automaticamente para AutoML Tables no projeto inicial:

  1. Acesse a página do IAM no Console do Cloud para ver o projeto inicial.

    Acessar a página do IAM

  2. Marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google no canto superior direito.

  3. Clique no ícone de lápis, na conta de serviço com o nome AutoML Service Agent.

  4. Conceda os papéis necessários à conta de serviço e salve as alterações.

Como conceder permissões ao AutoML Tables em um projeto diferente

Ao usar fontes de dados ou destinos em um projeto diferente, é preciso fornecer as permissões da conta de serviço do AutoML Tables nesse projeto. A conta de serviço do AutoML Tables é criada automaticamente ao ativar a API AutoML Tables.

Para adicionar permissões ao AutoML Tables em um projeto diferente:

  1. Acesse a página do IAM no Console do Cloud para ver o projeto em que você está usando o AutoML Tables.

    Acessar a página do IAM

  2. Marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google no canto superior direito.

  3. Encontre a conta de serviço com o nome AutoML Service Agent e copie o endereço de e-mail (listado em Principal).

  4. Mude os projetos para aquele em que você precisa conceder as permissões.

  5. Clique em Adicionar e digite o endereço de e-mail em Novos principais.

  6. Adicione todos os papéis necessários e clique em Salvar.

Como fornecer acesso ao Planilhas Google

Se você usa uma fonte de dados externa do BigQuery com backup pelo Planilhas Google, compartilhe suas planilhas com a conta de serviço do AutoML. A conta de serviço do AutoML Tables é criada automaticamente ao ativar a API AutoML Tables.

Para autorizar o acesso do AutoML Tables ao arquivo do Planilhas:

  1. Acesse a página do IAM no Console do Cloud.

    Acessar a página do IAM

  2. Marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google no canto superior direito.

  3. Procure a conta de serviço com o nome AutoML Service Agent.

  4. Copie o nome principal para a área de transferência.

    O nome principal é um endereço de e-mail, semelhante a este exemplo:

    service-358517216@gcp-sa-automl.iam.gserviceaccount.com
    
  5. Abra o arquivo do Planilhas Google e compartilhe-o com esse endereço.

Como gerenciar papéis do IAM

É possível conceder, alterar e revogar papéis do IAM usando o Console do Cloud, a API IAM ou a ferramenta de linha de comando gcloud. Para instruções detalhadas, consulte Como conceder, alterar e revogar acesso.

A seguir

Saiba mais sobre o gerenciamento de identidade e acesso.