Ressourcenzugriff steuern

Sie können IAM-Richtlinien (Identity and Access Management) festlegen, um den Zugriff auf die folgenden Vertex AI Feature Store-Ressourcen zu steuern:

  • Featuregruppen

  • Onlinespeicherinstanzen

  • Featureansichten

Eine IAM-Richtlinie ist eine Sammlung von Bindungen, die ein oder mehrere Mitglieder oder Hauptkonten einer IAM-Rolle zuordnet. Sie können die folgenden Mitgliedertypen in eine IAM-Richtlinienbindung aufnehmen:

  • Einzelne Nutzerkonten

  • Google-Gruppen

  • Domains

  • Dienstkonten

Hinweise

Authentifizieren Sie sich bei Vertex AI, sofern nicht bereits geschehen.

Wenn Sie die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, nutzen Sie die Anmeldedaten, die Sie der gcloud CLI bereitstellen.

    Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl:

    gcloud init

    Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Weitere Informationen finden Sie in der Dokumentation zur Google Cloud -Authentifizierung unter Für die Verwendung von REST authentifizieren.

IAM-Richtlinie für eine Featuregruppe festlegen

Verwenden Sie das folgende Beispiel, um eine IAM-Richtlinie für eine vorhandene Featuregruppe festzulegen.

REST

Senden Sie eine POST-Anfrage mit der Methode featureGroups.setIamPolicy, um einer FeatureGroup-Ressource eine IAM-Richtlinie zuzuweisen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • LOCATION_ID: Die Region, in der sich die Onlinespeicherinstanz befindet, z. B. us-central1.
  • PROJECT_ID: Ihre Projekt-ID.
  • FEATUREGROUP_NAME: Der Name der Onlinespeicherinstanz, für die Sie die IAM-Richtlinie festlegen möchten.
  • IAM_ROLE_NAME: Der Name der IAM-Rolle, die den Mitgliedern zugewiesen werden soll. Eine vollständige Liste der IAM-Rollen für Vertex AI finden Sie unter Zugriffssteuerung mit IAM.
  • USER_EMAIL: Optional. Die E-Mail-Adresse des Nutzerkontos, dem die Rolle zugewiesen ist.
  • GROUP_EMAIL: Optional. Die E-Mail-Adresse der Google-Gruppe, der die Rolle zugewiesen ist.
  • DOMAIN_NAME: Optional. Der Domainname, dem die Rolle zugewiesen ist.
  • SERVICE_ACCOUNT_EMAIL: Optional. Die E-Mail-Adresse des Dienstkontos, dem die Rolle zugewiesen ist.

HTTP-Methode und URL:

POST https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureGroups/FEATUREGROUP_NAME:setIamPolicy

JSON-Text der Anfrage:

{
  "policy": {
    "bindings": [
      {
        "role": "IAM_ROLE_NAME",
        "members": [
          "user:USER_EMAIL",
          "group:GROUP_EMAIL",
          "domain:DOMAIN_NAME",
          "serviceAccount:SERVICE_ACCOUNT_EMAIL"
        ]
      }
    ]
  }
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureGroups/FEATUREGROUP_NAME:setIamPolicy"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureGroups/FEATUREGROUP_NAME:setIamPolicy" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "bindings": [
  {
    "role": "IAM_ROLE_NAME",
    "members": [
      "user:USER_EMAIL",
      "group:GROUP_EMAIL",
      "domain:DOMAIN_NAME",
      "serviceAccount:SERVICE_ACCOUNT_EMAIL"
    ]
  }
  ],
  "etag": "etag"
}

IAM-Richtlinie für einen Onlinespeicher festlegen

Verwenden Sie das folgende Beispiel, um eine IAM-Richtlinie für eine vorhandene Onlinespeicherinstanz festzulegen.

REST

Senden Sie zum Zuweisen einer IAM-Richtlinie zu einer FeatureOnlineStore-Ressource eine POST-Anfrage mit der Methode featureOnlineStores.setIamPolicy.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • LOCATION_ID: Die Region, in der sich die Onlinespeicherinstanz befindet, z. B. us-central1.
  • PROJECT_ID: Ihre Projekt-ID.
  • FEATUREONLINESTORE_NAME: Der Name der Onlinespeicherinstanz, für die Sie die IAM-Richtlinie festlegen möchten.
  • IAM_ROLE_NAME: Der Name der IAM-Rolle, die den Mitgliedern zugewiesen werden soll. Eine vollständige Liste der IAM-Rollen für Vertex AI finden Sie unter Zugriffssteuerung mit IAM.
  • USER_EMAIL: Optional. Die E-Mail-Adresse des Nutzerkontos, dem die Rolle zugewiesen ist.
  • GROUP_EMAIL: Optional. Die E-Mail-Adresse der Google-Gruppe, der die Rolle zugewiesen ist.
  • DOMAIN_NAME: Optional. Der Domainname, dem die Rolle zugewiesen ist.
  • SERVICE_ACCOUNT_EMAIL: Optional. Die E-Mail-Adresse des Dienstkontos, dem die Rolle zugewiesen wird.

HTTP-Methode und URL:

POST https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureOnlineStores/FEATUREONLINESTORE_NAME:setIamPolicy

JSON-Text der Anfrage:

{
  "policy": {
    "bindings": [
      {
        "role": "IAM_ROLE_NAME",
        "members": [
          "user:USER_EMAIL",
          "group:GROUP_EMAIL",
          "domain:DOMAIN_NAME",
          "serviceAccount:SERVICE_ACCOUNT_EMAIL"
        ]
      }
    ]
  }
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureOnlineStores/FEATUREONLINESTORE_NAME:setIamPolicy"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureOnlineStores/FEATUREONLINESTORE_NAME:setIamPolicy" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "bindings": [
  {
    "role": "IAM_ROLE_NAME",
    "members": [
      "user:USER_EMAIL",
      "group:GROUP_EMAIL",
      "domain:DOMAIN_NAME",
      "serviceAccount:SERVICE_ACCOUNT_EMAIL"
    ]
  }
  ],
  "etag": "etag"
}

IAM-Richtlinie für eine Feature-Ansicht festlegen

Mit dem folgenden Beispiel können Sie eine IAM-Richtlinie für eine vorhandene Feature-Ansicht festlegen.

REST

Senden Sie zum Zuweisen einer IAM-Richtlinie zu einer FeatureView-Ressource eine POST-Anfrage mit der Methode featureViews.setIamPolicy.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • LOCATION_ID: Die Region, in der sich die Featureansicht befindet, z. B. us-central1.
  • PROJECT_ID: Ihre Projekt-ID.
  • FEATUREONLINESTORE_NAME: Der Name der Onlinespeicherinstanz, die die Featureansicht enthält.
  • FEATUREVIEW_NAME: Der Name der Featureansicht, für die Sie die IAM-Richtlinie festlegen möchten.
  • IAM_ROLE_NAME: Der Name der IAM-Rolle, die den Mitgliedern zugewiesen werden soll. Eine vollständige Liste der IAM-Rollen für Vertex AI finden Sie unter Zugriffssteuerung mit IAM.
  • USER_EMAIL: Optional. Die E-Mail-Adresse des Nutzerkontos, dem die Rolle zugewiesen ist.
  • GROUP_EMAIL: Optional. Die E-Mail-Adresse der Google-Gruppe, der die Rolle zugewiesen ist.
  • DOMAIN_NAME: Optional. Der Domainname, dem die Rolle zugewiesen ist.
  • SERVICE_ACCOUNT_EMAIL: Optional. Die E-Mail-Adresse des Dienstkontos, dem die Rolle zugewiesen wird.

HTTP-Methode und URL:

POST https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureOnlineStores/FEATUREONLINESTORE_NAME/featureViews/FEATUREVIEW_NAME:setIamPolicy

JSON-Text der Anfrage:

{
  "policy": {
    "bindings": [
      {
        "role": "IAM_ROLE_NAME",
        "members": [
          "user:USER_EMAIL",
          "group:GROUP_EMAIL",
          "domain:DOMAIN_NAME",
          "serviceAccount:SERVICE_ACCOUNT_EMAIL"
        ]
      }
    ]
  }
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureOnlineStores/FEATUREONLINESTORE_NAME/featureViews/FEATUREVIEW_NAME:setIamPolicy"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featureOnlineStores/FEATUREONLINESTORE_NAME/featureViews/FEATUREVIEW_NAME:setIamPolicy" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "bindings": [
  {
    "role": "IAM_ROLE_NAME",
    "members": [
      "user:USER_EMAIL",
      "group:GROUP_EMAIL",
      "domain:DOMAIN_NAME",
      "serviceAccount:SERVICE_ACCOUNT_EMAIL"
    ]
  }
  ],
  "etag": "etag"
}

Nächste Schritte