Zugriffssteuerung mit IAM

AI Platform Training verwendet die Identitäts- und Zugriffsverwaltung (IAM) zur Verwaltung des Zugriffs auf Ressourcen. Wenn Sie Zugriff auf eine Ressource gewähren möchten, weisen Sie einem Nutzer, einer Gruppe oder einem Dienstkonto mindestens eine Rolle zu.

In AI Platform Training können drei Arten von IAM-Rollen verwendet werden:

  • Einfache Rollen (Inhaber, Betrachter und Bearbeiter) gibt es für alle Google Cloud-Dienste.

  • Vordefinierte AI Platform Training-Rollen ermöglichen Ihnen auf Projekt- und Modellebene eine differenzierte Steuerung des Zugriffs auf Ihre AI Platform Training-Ressourcen.

  • Benutzerdefinierte Rollen ermöglichen es Ihnen, einen bestimmten Satz von Berechtigungen auszuwählen, eine eigene Rolle mit diesen Berechtigungen zu erstellen und Nutzern in Ihrer Organisation diese Rolle zuzuweisen.

In dieser Anleitung geht es insbesondere um vordefinierte AI Platform Training-Rollen, deren typische Verwendung und die zugehörigen Berechtigungen.

Der Leitfaden konzentriert sich auf Rollen und Berechtigungen, die Sie für den Zugriff auf AI Platform Training-Ressourcen benötigen. Weitere Informationen zu den Berechtigungen, die diese Ressourcen selbst für den Zugriff auf andere Google Cloud-Ressourcen benötigen, finden Sie unter Dienst-Agent und benutzerdefinierte Dienstkonten in AI Platform.

Einfache Rollen

Die älteren IAM-Rollen von AI Platform Training basieren auf den einfachen Rollen, die alle GCP-Dienste verwenden: Inhaber, Betrachter und Bearbeiter.

Die Legacy-Projektrolle Bearbeiter entspricht der Rolle AI Platform Training-Administrator.

Die Legacy-Projektrolle Betrachter gewährt die gleichen Berechtigungen wie die Rolle AI Platform Training-Betrachter. Außerdem ermöglicht sie das Senden von Anfragen für Onlinevorhersagen. Der Vorteil der Rolle "AI Platform Training-Betrachter" besteht darin, dass der Nutzer nur Lesezugriff auf AI Platform Training-Ressourcen erhält.

Vordefinierte Rollen

Mit vordefinierten Rollen gewähren Sie bestimmte zusammengehörige Berechtigungen. AI Platform Training bietet vordefinierte Rollen für Ihr Projekt und auch für individuelle Modelle, Jobs und Vorgänge.

Klicken Sie auf den Namen der Rolle, um eine vollständige Liste der Berechtigungen für jede Rolle zu sehen.

Projektrollen

Die AI Platform Training-Rollen "Administrator", "Entwickler" und "Betrachter" gewähren unterschiedliche Zugriffsrechte für Ressourcen auf Projektebene.

Informationen zum Hinzufügen, Aktualisieren oder Entfernen dieser Rollen in Ihrem AI Platform Training-Projekt finden Sie in der Dokumentation zum Erteilen, Ändern und Widerrufen des Zugriffs.

Rollentitel Rollenname Rechte
AI Platform Training-Administrator

roles/ml.admin

Vollständige Kontrolle über das AI Platform Training-Projekt und die zugehörigen Jobs, Vorgänge, Modelle und Versionen

Hinweis: Die einfache Projektrolle Bearbeiter entspricht roles/ml.admin.
AI Platform Training-Entwickler

roles/ml.developer

Erstellen von Trainings- und Vorhersagejobs, -modellen und -versionen und senden von Onlinevorhersageanfragen.
AI Platform Training-Betrachter

roles/ml.viewer

Lesezugriff auf AI Platform Training-Ressourcen

Job- und Vorgangsrollen

Ähnlich wie die Rolle Modellinhaber gibt es Inhaberrollen auf den Job- und Vorgangsressourcenebenen, die automatisch demjenigen Nutzer zugewiesen werden, der den Job oder den Vorgang erstellt. Mit diesen Rollen erhält der Nutzer volle Kontrolle über jeden von ihm erstellten Job oder Vorgang. Weitere Informationen finden Sie unter Berechtigungen für Job- und Vorgangsrollen.

Berechtigungen und Rollen

In diesem Abschnitt finden Sie eine vollständige Liste der Berechtigungen, die mit jeder vordefinierten Rolle von AI Platform Training gewährt werden. Wenn diese vordefinierten Rollen Ihre Anforderungen nicht erfüllen, nutzen Sie diesen Abschnitt als Referenz für die Erstellung Ihrer eigenen benutzerdefinierten Rollen.

Admin-Rolle

Rollenname Beschreibung Berechtigungen
roles/ml.admin AI Platform Training-Administrator

Vollständiger Zugriff auf das AI Platform Training-Projekt und die zugehörigen Jobs, Vorgänge, Modelle und Versionen

Hinweis: Das Migrieren zu dieser Rolle aus der einfachen Projektrolle Bearbeiter ist relativ einfach. Wenn Sie zuvor die auf Projektebene zugewiesene einfache Rolle Bearbeiter verwendet haben, können Sie dem Nutzer mit der Rolle roles/ml.admin genau die gleichen Berechtigungen erteilen.
  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.setIamPolicy
  • ml.jobs.cancel
  • ml.operations.list
  • ml.operations.get
  • ml.operations.cancel
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.setIamPolicy
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.models.delete
  • ml.models.update
  • ml.versions.create
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict
  • ml.versions.delete

Entwicklerrolle

Rollenname Beschreibung Berechtigungen
roles/ml.developer

Kann Trainings- und Vorhersagejobs, Modelle und Versionen erstellen und Onlinevorhersageanfragen senden.

Hinweis: Ein Entwickler erhält für alle von ihm erstellten Jobs die Berechtigungen ml.jobs.cancel und ml.jobs.update, da durch das Erstellen eines Jobs automatisch die Rolle AI Platform Training-Jobinhaber zugewiesen wird.

Empfehlung: Gewähren Sie dem Entwickler für die Fehlerbehebung Lesezugriff auf die AI Platform Training-Logs.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.operations.list
  • ml.operations.get
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict

Betrachterrolle

Rollenname Beschreibung Berechtigungen
roles/ml.viewer

Lesezugriff auf AI Platform Training-Ressourcen in einem bestimmten Projekt

Hinweis: Die Legacy-Projektrolle Betrachter gewährt Nutzern die gleichen Berechtigungen wie die Rolle roles/ml.viewer. Außerdem ermöglicht sie das Senden von Anfragen für Onlinevorhersagen.
  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.list
  • ml.jobs.get
  • ml.operations.list
  • ml.operations.get
  • ml.models.list
  • ml.models.get
  • ml.versions.list
  • ml.versions.get

Jobinhaberrolle

Rollenname Beschreibung Berechtigungen
roles/ml.jobOwner

Voller Zugriff auf alle Berechtigungen für eine bestimmte Jobressource. Die Jobinhaberrolle wird automatisch dem Nutzer zugewiesen, der diesen Job erstellt.

Beispielsweise kann ein Nutzer, der in einem Projekt die Rolle "AI Platform Training-Entwickler" hat, Jobs erstellen, alle Jobs auflisten und auf alle Jobs in einem bestimmten Projekt zugreifen. Der Entwickler kann nur die von ihm erstellten Jobs abbrechen.

  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.cancel

Vorgangsinhaberrolle

Rollenname Beschreibung Berechtigungen
roles/ml.operationOwner

Vollzugriff auf alle Berechtigungen für eine bestimmte Betriebsressource. Die Vorganginhaberrolle wird automatisch dem Nutzer für alle Vorgänge erteilt, die der Nutzer indirekt beim Erstellen einer Version oder eines Modells erstellt, damit der Nutzer immer auf seine eigenen Vorgänge zugreifen oder sie abbrechen kann.

  • ml.operations.get
  • ml.operations.cancel

Für Methoden erforderliche Berechtigungen

Zur Vereinfachung sind in diesem Abschnitt die Berechtigungen aufgelistet, die nötig sind, um die jeweilige Methode in AI Platform Training aufzurufen:

Methode Erforderliche Berechtigungen
projects.getConfig ml.projects.getConfig
projects.jobs.cancel ml.jobs.cancel
projects.jobs.create ml.jobs.create
projects.jobs.get ml.jobs.get
projects.jobs.list ml.jobs.list
projects.operations.cancel ml.operations.cancel
projects.operations.get ml.operations.get
projects.operations.list ml.operations.list

Nächste Schritte