Zugriffsteuerung

AI Platform verwendet die Identitäts- und Zugriffsverwaltung (IAM) zur Verwaltung des Zugriffs auf Ressourcen. Wenn Sie Zugriff auf eine Ressource gewähren möchten, weisen Sie einem Nutzer, einer Gruppe oder einem Dienstkonto mindestens eine Rolle zu.

Es gibt drei Arten von IAM-Rollen, die in AI Platform verwendet werden können:

  • Einfache Rollen (Inhaber, Betrachter und Bearbeiter) sind für alle GCP-Dienste gleich.

  • Vordefinierte AI Platform-Rollen ermöglichen Ihnen auf Projekt- und Modellebene eine differenzierte Steuerung des Zugriffs auf Ihre AI Platform-Ressourcen.

  • Benutzerdefinierte Rollen ermöglichen es Ihnen, einen bestimmten Satz von Berechtigungen auszuwählen, eine eigene Rolle mit diesen Berechtigungen zu erstellen und Nutzern in Ihrer Organisation diese Rolle zuzuweisen.

In dieser Anleitung geht es insbesondere um vordefinierte AI Platform-Rollen, deren typische Verwendung und die zugehörigen Berechtigungen.

Einfache Rollen

Die älteren IAM-Rollen von AI Platform basieren auf den einfachen Rollen, die alle GCP-Dienste verwenden: Inhaber, Betrachter und Bearbeiter.

Die Legacy-Projektrolle Bearbeiter entspricht der AI Platform-Administratorrolle.

Die Legacy-Projektrolle Betrachter gewährt die gleichen Berechtigungen wie die Rolle AI Platform-Betrachter. Außerdem gewährt sie Zugriff auf das Senden von Anfragen für Onlinevorhersagen. Der Vorteil der Rolle "AI Platform-Betrachter" besteht darin, dass der Nutzer nur Lesezugriff auf AI Platform-Ressourcen erhält.

Vordefinierte Rollen

Mit vordefinierten Rollen gewähren Sie bestimmte zusammengehörige Berechtigungen. AI Platform bietet vordefinierte Rollen für Ihr Projekt und auch für individuelle Modelle, Jobs und Vorgänge.

Klicken Sie auf den Namen der Rolle, um eine vollständige Liste der Berechtigungen für jede Rolle zu sehen.

Projektrollen

Die Rollen "AI Platform-Administrator, -Entwickler und -Betrachter" gewähren auf der Projektebene unterschiedliche Zugriffsrechte auf Ressourcen.

Informationen zum Hinzufügen, Aktualisieren oder Entfernen dieser Rollen in Ihrem AI Platform-Projekt finden Sie in der Dokumentation zum Erteilen, Ändern und Widerrufen des Zugriffs für Teammitglieder.

Rollentitel Rollenname Rechte
AI Platform-Administrator

roles/ml.admin

Vollständige Kontrolle des AI Platform-Projekts und der dazugehörigen Jobs, Vorgänge, Modelle und Versionen.

Hinweis: Die einfache Projektrolle Bearbeiter entspricht roles/ml.admin.

AI Platform-Entwickler

roles/ml.developer

Erstellen von Trainings- und Vorhersagejobs, -modellen und -versionen und Senden von Anfragen für Onlinevorhersagen.

AI Platform-Betrachter

roles/ml.viewer

Lesezugriff auf AI Platform-Ressourcen.

Modellrollen

Die Rollen "AI Platform-Modellinhaber und -Modellnutzer" gewähren unterschiedliche Berechtigungen auf eine bestimmte Modellressource.

Sie können Modelle für Einzelpersonen oder Dienste freigeben, indem Sie ihnen die Modellnutzerrolle zuweisen.

Rollentitel Rollenname Rechte
AI Platform-Modellinhaber

roles/ml.modelOwner

Voller Zugriff auf das Modell und seine Versionen. Diese Rolle wird dem Nutzer, der das Modell erstellt, automatisch zugewiesen.

AI Platform-Modellnutzer

roles/ml.modelUser

Berechtigungen zum Lesen des Modells und seiner Versionen und deren Nutzung für Vorhersagen. Die Erteilung dieser Rolle macht es einfach, bestimmte Modelle zu teilen.

Job- und Vorgangsrollen

Ähnlich wie die Modellinhaberrolle gibt es Inhaberrollen auf den Job- und Vorgangsressourcenebenen, die automatisch dem Nutzer zugewiesen werden, der den Job oder den Vorgang erstellt. Mit diesen Rollen erhält der Nutzer volle Kontrolle über jeden von ihm erstellten Job oder Vorgang. Weitere Informationen finden Sie unter Berechtigungen für Job- und Vorgangsrollen.

Berechtigungen und Rollen

In diesem Abschnitt finden Sie eine vollständige Liste der Berechtigungen, die mit jeder vordefinierten Rolle der AI Platform gewährt werden. Wenn diese vordefinierten Rollen Ihre Anforderungen nicht erfüllen, nutzen Sie diesen Abschnitt als Referenz für die Erstellung Ihrer eigenen benutzerdefinierten Rollen.

Admin-Rolle

Rollenname Beschreibung Berechtigungen
roles/ml.admin AI Platform-Administrator

Vollständiger Zugriff auf Ihr AI Platform-Projekt und die dazugehörigen Jobs, Vorgänge, Modelle und Versionen.

Hinweis: Das Migrieren zu dieser Rolle aus der einfachen Projektbearbeiterrolle ist relativ einfach. Wenn Sie zuvor die auf der Projektebene zugewiesene einfache Rolle Bearbeiter verwendet haben, können Sie dem Nutzer mit der Rolle roles/ml.admin genau die gleichen Berechtigungen erteilen.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.setIamPolicy
  • ml.jobs.cancel
  • ml.operations.list
  • ml.operations.get
  • ml.operations.cancel
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.setIamPolicy
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.models.delete
  • ml.models.update
  • ml.versions.create
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict
  • ml.versions.delete

Entwicklerrolle

Rollenname Beschreibung Berechtigungen
roles/ml.developer

Kann Trainings- und Vorhersagejobs, Modelle und Versionen erstellen und Anfragen für Onlinevorhersagen senden.

Hinweis: Ein Entwickler erhält für alle von ihm erstellten Jobs die Berechtigungen ml.jobs.cancel und ml.jobs.update, da durch das Erstellen eines Jobs automatisch die AI Platform-Jobinhaberrolle zugewiesen wird.

Empfehlung: Gewähren Sie dem Entwickler für die Fehlerbehebung Lesezugriff auf die AI Platform-Logs.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.operations.list
  • ml.operations.get
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict

Betrachterrolle

Rollenname Beschreibung Berechtigungen
roles/ml.viewer

Lesezugriff auf AI Platform-Ressourcen in einem bestimmten Projekt.

Hinweis: Die Legacy-Projektrolle Betrachter gewährt Nutzern die gleichen Berechtigungen wie die Rolle roles/ml.viewer und zusätzlich die Berechtigung zum Senden von Anfragen für Onlinevorhersagen.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.list
  • ml.jobs.get
  • ml.operations.list
  • ml.operations.get
  • ml.models.list
  • ml.models.get
  • ml.versions.list
  • ml.versions.get

Modellinhaberrolle

Rollenname Beschreibung Berechtigungen
roles/ml.modelOwner Voller Zugriff auf das Modell und seine Versionen. Diese Rolle wird dem Nutzer, der das Modell erstellt, automatisch zugewiesen.
  • ml.models.get
  • ml.models.setIamPolicy
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.models.delete
  • ml.models.update
  • ml.versions.create
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict
  • ml.versions.delete

Modellnutzerrolle

Rollenname Beschreibung Berechtigungen
roles/ml.modelUser Berechtigung, das Modell und seine Versionen zu lesen und sie für die Vorhersage zu verwenden.
  • ml.models.get
  • ml.models.predict
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict

Jobinhaberrolle

Rollenname Beschreibung Berechtigungen
roles/ml.jobOwner

Voller Zugriff auf alle Berechtigungen für eine bestimmte Jobressource. Die Jobinhaberrolle wird automatisch dem Nutzer zugewiesen, der diesen Job erstellt.

Beispielsweise kann ein Nutzer, der über die AI Platform-Entwicklerrolle in einem Projekt verfügt, Jobs erstellen, alle Jobs auflisten und auf alle Jobs in einem bestimmten Projekt zugreifen. Der Entwickler kann nur die von ihm erstellten Jobs abbrechen.

  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.cancel

Vorgangsinhaberrolle

Rollenname Beschreibung Berechtigungen
roles/ml.operationOwner

Vollzugriff auf alle Berechtigungen für eine bestimmte Betriebsressource. Die Vorganginhaberrolle wird automatisch dem Nutzer für alle Vorgänge erteilt, die der Nutzer indirekt beim Erstellen einer Version oder eines Modells erstellt, damit der Nutzer immer auf seine eigenen Vorgänge zugreifen oder sie abbrechen kann.

  • ml.operations.get
  • ml.operations.cancel

Erforderliche Berechtigungen für Training und Vorhersagen

Der Einfachheit halber werden in dieser Tabelle die Berechtigungen zusammengefasst, die speziell für Training und Vorhersage erforderlich sind:

Aufgabe Erforderliche Berechtigungen
Training
  • ml.jobs.create
Batchvorhersagen
  • ml.jobs.create
  • ml.models.predict*
  • ml.versions.predict*

Hinweis: Sie können einen Batchvorhersagejob ohne eine bereitgestellte Version erstellen, indem Sie den Google Cloud Storage-Speicherort angeben, in dem ein Modell gespeichert ist. Für diese Art von Batchvorhersagejob ist nur die ml.jobs.create-Berechtigung erforderlich.

Zum Erstellen eines Batchvorhersagejobs, der eine bereitgestellte Version verwendet, benötigen Sie ebenfalls entweder ml.models.predict oder ml.versions.predict, aber nicht beide.

Onlinevorhersagen
  • ml.models.predict
  • ml.versions.predict

Für Methoden erforderliche Berechtigungen

Zur Vereinfachung sind in diesem Abschnitt die erforderlichen Berechtigungen aufgelistet, um jede Methode in AI Platform aufzurufen:

Methode Erforderliche Berechtigungen
projects.getConfig ml.projects.getConfig
projects.jobs.cancel ml.jobs.cancel
projects.jobs.create ml.jobs.create

Hinweis: Zum Erstellen eines Batchvorhersagejobs, der eine bereitgestellte Version verwendet, benötigen Sie außerdem die Berechtigung ml.models.predict oder ml.versions.predict.

projects.jobs.get ml.jobs.get
projects.jobs.list ml.jobs.list
projects.models.create ml.models.create
projects.models.delete ml.models.delete
projects.models.get ml.models.get
projects.models.list ml.models.list
projects.models.versions.create ml.versions.create
projects.models.versions.delete ml.versions.delete
projects.models.versions.get ml.versions.get
projects.models.versions.list ml.versions.list
projects.models.versions.setDefault ml.models.update
projects.operations.cancel ml.operations.cancel
projects.operations.get ml.operations.get
projects.operations.list ml.operations.list

Erforderliche Berechtigungen für die Speicherung

Wenn Sie das trainierte Modell in AI Platform zum Abrufen von Vorhersagen bereitstellen, laden Sie Ihre gespeicherten Modelldateien in Cloud Storage hoch. Innerhalb des Cloud Storage-Buckets sind die Modelldateien Objekte. Sie müssen sicherstellen, dass Ihr AI Platform-Dienstkonto auf die Dateien für Ihr trainiertes Modell in Ihrem Cloud Storage-Bucket zugreifen kann.

Gewähren Sie Ihrem AI Platform-Dienstkonto eine Cloud Storage-IAM-Rolle, die zumindest die folgenden Berechtigungen enthält:

Aufgabe Erforderliche Berechtigungen Erklärung
Vorhersage storage.buckets.list Ermöglicht Ihrem AI Platform-Projekt, Modelldateien in Ihrem Cloud Storage-Bucket zu finden.
Vorhersage storage.objects.get Ermöglicht Ihrem AI Platform-Projekt das Lesen Ihrer Modelldateien in Ihrem Cloud Storage-Bucket.

Lesen Sie, wie Sie Cloud Storage-Berechtigungen für AI Platform konfigurieren.

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...