Sie können IAM-Richtlinien (Identity and Access Management) festlegen, um den Zugriff auf die folgenden Vertex AI Feature Store-Ressourcen zu steuern:
Featuregruppen
Onlinespeicherinstanzen
Featureansichten
Eine IAM-Richtlinie ist eine Sammlung von Bindungen, die ein oder mehrere Mitglieder oder Hauptkonten einer IAM-Rolle zuordnet. Sie können die folgenden Mitgliedertypen in eine IAM-Richtlinienbindung aufnehmen:
Einzelne Nutzerkonten
Google-Gruppen
Domains
Dienstkonten
Hinweise
Authentifizieren Sie sich bei Vertex AI, sofern nicht bereits geschehen.
Wenn Sie die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, nutzen Sie die Anmeldedaten, die Sie der gcloud CLI bereitstellen.
Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl:
gcloud initWenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.
Weitere Informationen finden Sie in der Dokumentation zur Google Cloud -Authentifizierung unter Für die Verwendung von REST authentifizieren.
IAM-Richtlinie für eine Featuregruppe festlegen
Verwenden Sie das folgende Beispiel, um eine IAM-Richtlinie für eine vorhandene Featuregruppe festzulegen.
REST
Senden Sie eine POST-Anfrage mit der Methode featureGroups.setIamPolicy, um einer FeatureGroup-Ressource eine IAM-Richtlinie zuzuweisen.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
- LOCATION_ID: Die Region, in der sich die Onlinespeicherinstanz befindet, z. B.
us-central1. - PROJECT_ID: Ihre Projekt-ID.
- FEATUREGROUP_NAME: Der Name der Onlinespeicherinstanz, für die Sie die IAM-Richtlinie festlegen möchten.
- IAM_ROLE_NAME: Der Name der IAM-Rolle, die den Mitgliedern zugewiesen werden soll. Eine vollständige Liste der IAM-Rollen für Vertex AI finden Sie unter Zugriffssteuerung mit IAM.
- USER_EMAIL: Optional. Die E-Mail-Adresse des Nutzerkontos, dem die Rolle zugewiesen ist.
- GROUP_EMAIL: Optional. Die E-Mail-Adresse der Google-Gruppe, der die Rolle zugewiesen ist.
- DOMAIN_NAME: Optional. Der Domainname, dem die Rolle zugewiesen ist.
- SERVICE_ACCOUNT_EMAIL: Optional. Die E-Mail-Adresse des Dienstkontos, dem die Rolle zugewiesen ist.
HTTP-Methode und URL:
POST https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureGroups/FEATUREGROUP_NAME:setIamPolicy
JSON-Text der Anfrage:
{
"policy": {
"bindings": [
{
"role": "IAM_ROLE_NAME",
"members": [
"user:USER_EMAIL",
"group:GROUP_EMAIL",
"domain:DOMAIN_NAME",
"serviceAccount:SERVICE_ACCOUNT_EMAIL"
]
}
]
}
}
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureGroups/FEATUREGROUP_NAME:setIamPolicy"
PowerShell
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureGroups/FEATUREGROUP_NAME:setIamPolicy" | Select-Object -Expand Content
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{
"bindings": [
{
"role": "IAM_ROLE_NAME",
"members": [
"user:USER_EMAIL",
"group:GROUP_EMAIL",
"domain:DOMAIN_NAME",
"serviceAccount:SERVICE_ACCOUNT_EMAIL"
]
}
],
"etag": "etag"
}
IAM-Richtlinie für einen Onlinespeicher festlegen
Verwenden Sie das folgende Beispiel, um eine IAM-Richtlinie für eine vorhandene Onlinespeicherinstanz festzulegen.
REST
Senden Sie zum Zuweisen einer IAM-Richtlinie zu einer FeatureOnlineStore-Ressource eine POST-Anfrage mit der Methode featureOnlineStores.setIamPolicy.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
- LOCATION_ID: Die Region, in der sich die Onlinespeicherinstanz befindet, z. B.
us-central1. - PROJECT_ID: Ihre Projekt-ID.
- FEATUREONLINESTORE_NAME: Der Name der Onlinespeicherinstanz, für die Sie die IAM-Richtlinie festlegen möchten.
- IAM_ROLE_NAME: Der Name der IAM-Rolle, die den Mitgliedern zugewiesen werden soll. Eine vollständige Liste der IAM-Rollen für Vertex AI finden Sie unter Zugriffssteuerung mit IAM.
- USER_EMAIL: Optional. Die E-Mail-Adresse des Nutzerkontos, dem die Rolle zugewiesen ist.
- GROUP_EMAIL: Optional. Die E-Mail-Adresse der Google-Gruppe, der die Rolle zugewiesen ist.
- DOMAIN_NAME: Optional. Der Domainname, dem die Rolle zugewiesen ist.
- SERVICE_ACCOUNT_EMAIL: Optional. Die E-Mail-Adresse des Dienstkontos, dem die Rolle zugewiesen wird.
HTTP-Methode und URL:
POST https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureOnlineStores/FEATUREONLINESTORE_NAME:setIamPolicy
JSON-Text der Anfrage:
{
"policy": {
"bindings": [
{
"role": "IAM_ROLE_NAME",
"members": [
"user:USER_EMAIL",
"group:GROUP_EMAIL",
"domain:DOMAIN_NAME",
"serviceAccount:SERVICE_ACCOUNT_EMAIL"
]
}
]
}
}
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureOnlineStores/FEATUREONLINESTORE_NAME:setIamPolicy"
PowerShell
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureOnlineStores/FEATUREONLINESTORE_NAME:setIamPolicy" | Select-Object -Expand Content
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{
"bindings": [
{
"role": "IAM_ROLE_NAME",
"members": [
"user:USER_EMAIL",
"group:GROUP_EMAIL",
"domain:DOMAIN_NAME",
"serviceAccount:SERVICE_ACCOUNT_EMAIL"
]
}
],
"etag": "etag"
}
IAM-Richtlinie für eine Feature-Ansicht festlegen
Mit dem folgenden Beispiel können Sie eine IAM-Richtlinie für eine vorhandene Feature-Ansicht festlegen.
REST
Senden Sie zum Zuweisen einer IAM-Richtlinie zu einer FeatureView-Ressource eine POST-Anfrage mit der Methode featureViews.setIamPolicy.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
- LOCATION_ID: Die Region, in der sich die Featureansicht befindet, z. B.
us-central1. - PROJECT_ID: Ihre Projekt-ID.
- FEATUREONLINESTORE_NAME: Der Name der Onlinespeicherinstanz, die die Featureansicht enthält.
- FEATUREVIEW_NAME: Der Name der Featureansicht, für die Sie die IAM-Richtlinie festlegen möchten.
- IAM_ROLE_NAME: Der Name der IAM-Rolle, die den Mitgliedern zugewiesen werden soll. Eine vollständige Liste der IAM-Rollen für Vertex AI finden Sie unter Zugriffssteuerung mit IAM.
- USER_EMAIL: Optional. Die E-Mail-Adresse des Nutzerkontos, dem die Rolle zugewiesen ist.
- GROUP_EMAIL: Optional. Die E-Mail-Adresse der Google-Gruppe, der die Rolle zugewiesen ist.
- DOMAIN_NAME: Optional. Der Domainname, dem die Rolle zugewiesen ist.
- SERVICE_ACCOUNT_EMAIL: Optional. Die E-Mail-Adresse des Dienstkontos, dem die Rolle zugewiesen wird.
HTTP-Methode und URL:
POST https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureOnlineStores/FEATUREONLINESTORE_NAME/featureViews/FEATUREVIEW_NAME:setIamPolicy
JSON-Text der Anfrage:
{
"policy": {
"bindings": [
{
"role": "IAM_ROLE_NAME",
"members": [
"user:USER_EMAIL",
"group:GROUP_EMAIL",
"domain:DOMAIN_NAME",
"serviceAccount:SERVICE_ACCOUNT_EMAIL"
]
}
]
}
}
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureOnlineStores/FEATUREONLINESTORE_NAME/featureViews/FEATUREVIEW_NAME:setIamPolicy"
PowerShell
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureOnlineStores/FEATUREONLINESTORE_NAME/featureViews/FEATUREVIEW_NAME:setIamPolicy" | Select-Object -Expand Content
Sie sollten in etwa folgende JSON-Antwort erhalten:
{
"bindings": [
{
"role": "IAM_ROLE_NAME",
"members": [
"user:USER_EMAIL",
"group:GROUP_EMAIL",
"domain:DOMAIN_NAME",
"serviceAccount:SERVICE_ACCOUNT_EMAIL"
]
}
],
"etag": "etag"
}
Nächste Schritte
Weitere Informationen zum Aktualisieren einer Featureansicht.
Onlinebereitstellungstypen in Vertex AI Feature Store.