IAM

このページでは、Identity and Access Management(IAM)を使用して、小売業向け Vertex AI Search のアクセスと権限を制御する方法について説明します。

概要

Google Cloud には Identity and Access Management(IAM)機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。このページでは、小売業向け Vertex AI Search の IAM のロールと権限について説明します。Google Cloud IAM の詳細な説明については、IAM のドキュメントをご覧ください。

小売業向け Vertex AI Search には、小売業向け Vertex AI Search リソースへのアクセスを簡単に制御できるように設計された、一連の事前定義ロールが用意されています。事前定義ロールの中に必要な権限を付与するものがない場合は、カスタムロールを独自に作成することもできます。また、以前からある基本ロール(編集者、閲覧者、オーナー)も引き続き使用できますが、小売業向け Vertex AI Search のロールほど細かい制御はできません。特に、基本ロールでは小売業向け Vertex AI Search だけではなく、Google Cloud 全体のリソースへのアクセス権が付与されます。詳細については、基本ロールのドキュメントをご覧ください。

事前定義ロール

小売業向け Vertex AI Search には、プリンシパルにきめ細かい権限を付与するために使用できる事前定義ロールがいくつか用意されています。プリンシパルにロールを付与することで、プリンシパルが実行できるアクションを制御できます。プリンシパルは、個人、グループ、またはサービス アカウントのいずれかです。

複数のロールを同じプリンシパルに付与できます。また、プリンシパルに付与されているロールの変更は、変更する権限を持っていればいつでも行えます。

広範囲な役割には、より限定的に定義された役割が含まれます。たとえば、Retail 編集者のロールには、Retail 閲覧者のロールのすべての権限と、Retail 編集者のロールで追加される権限が含まれています。同様に、Retail 管理者のロールには Retail 編集者のロールと、管理者用に追加される権限が含まれています。

基本ロール(オーナー、編集者、閲覧者)は、Google Cloud 全体に対する権限を付与します。小売業向け Vertex AI Search に固有のロールは、小売業向け Vertex AI Search の権限のみを付与します。ただし、Google Cloud の一般的な使用に必要な次の Google Cloud(Google Cloud)権限を除きます。

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
  • serviceusage.services.get

次の表に小売業向け Vertex AI Search で使用できる事前定義ロールと、小売業向け Vertex AI Search の権限を示します。

名前 小売業向け Vertex AI Search の権限 説明
プロジェクト > オーナー All retail permissions すべての Google Cloud リソースに対する完全なアクセス権と制御。ユーザー アクセスを管理し、プロジェクトの請求を設定します。
プロジェクト > 編集者 Retail 管理者ロールの権限を除くすべての retail 権限。 Google Cloud と小売業向け Vertex AI Search のすべてのリソースに対する読み取り / 書き込みアクセス権(権限および課金を変更する権限を除く)。
プロジェクト > 閲覧者 retail.*.get
retail.*.list
小売業向け Vertex AI Search のリソースを含むすべての Google Cloud リソースに対する読み取り専用アクセス権。
Retail 管理者 retail.retailProjects.acceptDataTerms
retail.products.purge
retail.products.setSponsorship
retail.userEvents.purge
retail.userEvents.rejoin
retail.attributesConfigs.removeCatalogAttribute
retail.attributesConfigs.batchRemoveCatalogAttributes

このロールには、Retail 編集者ロールと Retail 閲覧者ロールのすべての権限も含まれています。
すべての小売業向け Vertex AI Search リソースに対する完全な制御。
Retail 編集者 retail.catalogs.import
retail.catalogs.update
retail.products.create
retail.products.delete
retail.products.update
retail.products.import
retail.userEvents.create
retail.userEvents.import
retail.servingConfigs.create
retail.servingConfigs.update
retail.servingConfigs.delete
retail.controls.create
retail.controls.update
retail.controls.delete
retail.controls.import
retail.controls.export
retail.attributesConfigs.update
retail.attributesConfigs.addCatalogAttribute
retail.attributesConfigs.importCatalogAttributes
retail.attributesConfigs.exportCatalogAttributes
retail.attributesConfigs.replaceCatalogAttribute
retail.completionConfigs.update
retail.models.create
retail.models.delete
retail.models.update
retail.models.pause
retail.models.resume
  retail.loggingConfigs.update

このロールには、Retail 閲覧者ロールのすべての権限も含まれます。
すべての小売業向け Vertex AI Search リソースの読み取りと、productsevents などのリソースの書き込みが可能です。
Retail 閲覧者 retail.retailProjects.get
retail.attributesConfigs.exportCatalogAttributes
retail.catalogs.completeQuery
retail.catalogs.listProductAttributes
retail.controls.export
retail.placements.search
retail.placements.predict
retail.products.export
retail.userEvents.export
retail.*.get
retail.*.list
すべての小売業向け Vertex AI Search リソースに対する読み取り専用アクセス権。

Recommendations AI API から権限を移行する

以前の Recommendations Engine API から小売業向け Vertex AI Search に移行している場合、次の事前定義ロールには、以前の API の権限も含まれています。

  • Retail 管理者: apiKeys 権限を除き、Recommendations 管理者の権限がすべて含まれます。
  • Retail 編集者: Recommendations 編集者のすべての権限と catalog.update が含まれます。また、apiKeys 権限は含まれません。
  • Retail 閲覧者: Recommendations 閲覧者のすべての権限が含まれます。

小売業向け Vertex AI Search の IAM を管理する

Google Cloud コンソール、API の IAM メソッド、または小売業向け Vertex AI Search を使用して、IAM の許可ポリシーと IAM のロールの取得と設定ができます。詳細については、アクセス権の付与、変更、取り消しをご覧ください。

次のステップ