このページでは、Identity and Access Management(IAM)を使用して、小売業向け Vertex AI Search のアクセスと権限を制御する方法について説明します。
概要
Google Cloud には Identity and Access Management(IAM)機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。このページでは、小売業向け Vertex AI Search の IAM のロールと権限について説明します。Google Cloud IAM の詳細な説明については、IAM のドキュメントをご覧ください。
小売業向け Vertex AI Search には、小売業向け Vertex AI Search リソースへのアクセスを簡単に制御できるように設計された、一連の事前定義ロールが用意されています。事前定義ロールの中に必要な権限を付与するものがない場合は、カスタムロールを独自に作成することもできます。また、以前からある基本ロール(編集者、閲覧者、オーナー)も引き続き使用できますが、小売業向け Vertex AI Search のロールほど細かい制御はできません。特に、基本ロールでは小売業向け Vertex AI Search だけではなく、Google Cloud 全体のリソースへのアクセス権が付与されます。詳細については、基本ロールのドキュメントをご覧ください。
事前定義ロール
小売業向け Vertex AI Search には、プリンシパルにきめ細かい権限を付与するために使用できる事前定義ロールがいくつか用意されています。プリンシパルにロールを付与することで、プリンシパルが実行できるアクションを制御できます。プリンシパルは、個人、グループ、またはサービス アカウントのいずれかです。
複数のロールを同じプリンシパルに付与できます。また、プリンシパルに付与されているロールの変更は、変更する権限を持っていればいつでも行えます。
広範囲な役割には、より限定的に定義された役割が含まれます。たとえば、Retail 編集者のロールには、Retail 閲覧者のロールのすべての権限と、Retail 編集者のロールで追加される権限が含まれています。同様に、Retail 管理者のロールには Retail 編集者のロールと、管理者用に追加される権限が含まれています。
基本ロール(オーナー、編集者、閲覧者)は、Google Cloud 全体に対する権限を付与します。小売業向け Vertex AI Search に固有のロールは、小売業向け Vertex AI Search の権限のみを付与します。ただし、Google Cloud の一般的な使用に必要な次の Google Cloud(Google Cloud)権限を除きます。
resourcemanager.projects.getresourcemanager.projects.listserviceusage.services.listserviceusage.services.get
次の表に小売業向け Vertex AI Search で使用できる事前定義ロールと、小売業向け Vertex AI Search の権限を示します。
| 名前 | 小売業向け Vertex AI Search の権限 | 説明 |
|---|---|---|
| プロジェクト > オーナー | All |
すべての Google Cloud リソースに対する完全なアクセス権と制御。ユーザー アクセスを管理し、プロジェクトの請求を設定します。 |
| プロジェクト > 編集者 | Retail 管理者ロールの権限を除くすべての retail 権限。 |
Google Cloud と小売業向け Vertex AI Search のすべてのリソースに対する読み取り / 書き込みアクセス権(権限および課金を変更する権限を除く)。 |
| プロジェクト > 閲覧者 |
retail.*.getretail.*.list |
小売業向け Vertex AI Search のリソースを含むすべての Google Cloud リソースに対する読み取り専用アクセス権。 |
| Retail 管理者 | retail.retailProjects.acceptDataTermsretail.products.purgeretail.products.setSponsorshipretail.userEvents.purgeretail.userEvents.rejoinretail.attributesConfigs.removeCatalogAttributeretail.attributesConfigs.batchRemoveCatalogAttributesこのロールには、Retail 編集者ロールと Retail 閲覧者ロールのすべての権限も含まれています。 |
すべての小売業向け Vertex AI Search リソースに対する完全な制御。 |
| Retail 編集者 |
retail.catalogs.importretail.catalogs.updateretail.products.createretail.products.deleteretail.products.updateretail.products.importretail.userEvents.createretail.userEvents.importretail.servingConfigs.createretail.servingConfigs.updateretail.servingConfigs.deleteretail.controls.createretail.controls.updateretail.controls.deleteretail.controls.importretail.controls.exportretail.attributesConfigs.updateretail.attributesConfigs.addCatalogAttributeretail.attributesConfigs.importCatalogAttributesretail.attributesConfigs.exportCatalogAttributesretail.attributesConfigs.replaceCatalogAttributeretail.completionConfigs.updateretail.models.createretail.models.deleteretail.models.updateretail.models.pauseretail.models.resumeretail.loggingConfigs.updateこのロールには、Retail 閲覧者ロールのすべての権限も含まれます。 |
すべての小売業向け Vertex AI Search リソースの読み取りと、products、events などのリソースの書き込みが可能です。
|
| Retail 閲覧者 |
retail.retailProjects.getretail.attributesConfigs.exportCatalogAttributesretail.catalogs.completeQueryretail.catalogs.listProductAttributesretail.controls.exportretail.placements.searchretail.placements.predictretail.products.exportretail.userEvents.exportretail.*.getretail.*.list |
すべての小売業向け Vertex AI Search リソースに対する読み取り専用アクセス権。 |
Recommendations AI API から権限を移行する
以前の Recommendations Engine API から小売業向け Vertex AI Search に移行している場合、次の事前定義ロールには、以前の API の権限も含まれています。
- Retail 管理者:
apiKeys権限を除き、Recommendations 管理者の権限がすべて含まれます。 - Retail 編集者: Recommendations 編集者のすべての権限と
catalog.updateが含まれます。また、apiKeys権限は含まれません。 - Retail 閲覧者: Recommendations 閲覧者のすべての権限が含まれます。
小売業向け Vertex AI Search の IAM を管理する
Google Cloud コンソール、API の IAM メソッド、または小売業向け Vertex AI Search を使用して、IAM の許可ポリシーと IAM のロールの取得と設定ができます。詳細については、アクセス権の付与、変更、取り消しをご覧ください。
次のステップ
- アクセス権の付与と取り消しの方法を学習する。
- IAM の詳細について学習する。
- 基本ロールの詳細について学習する。
- カスタムロールの詳細を確認する。