Auf dieser Seite wird gezeigt, wie Sie mit Identity and Access Management (IAM) den Zugriff auf Vertex AI-Ressourcen verwalten. Informationen zum Verwalten des Zugriffs auf Vertex AI Workbench-Instanzen finden Sie unter Zugriffssteuerung für Vertex AI Workbench-Instanzen.
Vertex AI verwendet IAM, um den Zugriff auf Ressourcen zu verwalten. Sie können den Zugriff auf Projekt- oder Ressourcenebene verwalten. Weisen Sie einem Hauptkonto (Nutzer, Gruppe oder Dienstkonto) eine oder mehrere Rollen zu, um Zugriff auf Ressourcen auf Projektebene zu gewähren. Wenn Sie Zugriff auf eine bestimmte Ressource gewähren möchten, legen Sie für diese Ressource eine IAM-Richtlinie fest. Die Ressource muss Richtlinien auf Ressourcenebene unterstützen. Die Richtlinie definiert, welche Rollen welchen Hauptkonten zugewiesen werden.
In Vertex AI können verschiedene Arten von IAM-Rollen verwendet werden:
Mit vordefinierten Rollen können Sie auf Projektebene eine Reihe von zugehörigen Berechtigungen für Ihre Vertex AI-Ressourcen gewähren.
Einfache Rollen (Inhaber, Bearbeiter und Betrachter) ermöglichen die Zugriffssteuerung auf Ihre Vertex AI-Ressourcen auf Projektebene und sind für alle Google Cloud-Dienste üblich.
Benutzerdefinierte Rollen ermöglichen es Ihnen, einen bestimmten Satz von Berechtigungen auszuwählen, eine eigene Rolle mit diesen Berechtigungen zu erstellen und Nutzern in Ihrer Organisation diese Rolle zuzuweisen.
Informationen zum Hinzufügen, Aktualisieren oder Entfernen dieser Rollen in Ihrem Vertex AI-Projekt finden Sie in der Dokumentation zum Erteilen, Ändern und Widerrufen des Zugriffs.
Vordefinierte Rollen für Vertex AI
Role | Permissions |
---|---|
Vertex AI Administrator( Grants full access to all resources in Vertex AI |
|
Colab Enterprise Admin( Admin role of using colab enterprise. |
|
Colab Enterprise User( User role of using colab enterprise. |
|
Vertex AI Feature Store EntityType owner( Provides full access to all permissions for a particular entity type resource. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Admin( Grants full access to all resources in Vertex AI Feature Store Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Viewer( This role provides permissions to read Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Writer( This role provides permissions to read and write Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Instance Creator( Administrator of Featurestore resources, but not the child resources under Featurestores. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Resource Viewer( Viewer of all resources in Vertex AI Feature Store but cannot make changes. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store User Beta( Deprecated. Use featurestoreAdmin instead. |
|
Vertex AI Migration Service User( Grants access to use migration service in Vertex AI |
|
Notebook Executor User Beta( Grants users full access to schedules and notebook execution jobs. |
|
Notebook Runtime Admin( Grants full access to all runtime templates and runtimes in Notebook Service. |
|
Notebook Runtime User( Grants users permissions to create runtime resources using a runtime template and manage the runtime resources they created. |
|
Vertex AI Tensorboard Web App User Beta( Grants access to the Vertex AI TensorBoard web app. |
|
Vertex AI User( Grants access to use all resource in Vertex AI |
|
Vertex AI Viewer( Grants access to view all resource in Vertex AI |
|
Einfache Rollen
Die älteren grundlegenden Rollen von Google Cloud sind für alle Google Cloud-Dienste üblich. Diese Rollen heißen "Inhaber", "Bearbeiter" und "Betrachter".
Die einfachen Rollen gewähren Berechtigungen in Google Cloud insgesamt und nicht nur für Vertex AI. Aus diesem Grund sollten Sie wann immer möglich Vertex AI-Rollen verwenden.
Benutzerdefinierte Rollen
Wenn die vordefinierten IAM-Rollen für Vertex AI nicht Ihren Anforderungen entsprechen, können Sie benutzerdefinierte Rollen definieren. Benutzerdefinierte Rollen ermöglichen es Ihnen, einen bestimmten Satz von Berechtigungen auszuwählen, eine eigene Rolle mit diesen Berechtigungen zu erstellen und Nutzern in Ihrer Organisation diese Rolle zuzuweisen. Weitere Informationen finden Sie unter Informationen zu benutzerdefinierten IAM-Rollen.
Richtlinien auf Projektebene oder auf Ressourcenebene
Das Festlegen einer Richtlinie auf Ressourcenebene wirkt sich nicht auf Richtlinien auf Projektebene aus. Eine Ressource übernimmt alle Richtlinien von ihrer Herkunft. Sie können diese beiden Detaillierungsgrade verwenden, um Berechtigungen anzupassen. Sie können Nutzern beispielsweise Leseberechtigungen auf Projektebene erteilen, damit sie alle Ressourcen im Projekt lesen können, und Sie können Nutzern dann Schreibberechtigungen pro Ressource (auf Ressourcenebene) erteilen.
Nicht alle vordefinierten Rollen und Ressourcen von Vertex AI unterstützen Richtlinien auf Ressourcenebene. Sehen Sie sich Beschreibungen der einzelnen Rollen an, um zu sehen, welche Rollen für welche Ressourcen verwendet werden können.
Unterstützte Ressourcen
Vertex AI unterstützt Vertex AI Feature Store- und Entitätstyp-Ressourcen. Weitere Informationen finden Sie unter Zugriff auf Vertex AI Feature Store-Ressourcen steuern.
Nachdem Sie den Zugriff auf eine Ressource gewährt oder widerrufen haben, dauert es länger, bis die Änderungen wirksam werden. Weitere Informationen finden Sie unter Zugriffsänderungsverteilung.
Informationen zu Dienstkonten und Dienst-Agents
Dienstkonten
Ein Dienstkonto ist ein spezieller Kontotyp, der nicht von einer Person, sondern von einer Anwendung oder einer VM-Instanz verwendet wird. Sie können Dienstkonten erstellen und ihnen Berechtigungen zuweisen, um bestimmte Berechtigungen für eine Ressource oder Anwendung zu gewähren.
Informationen zum Verwenden eines Dienstkontos, um die für einen benutzerdefinierten Trainingscontainer verfügbaren Berechtigungen oder einen Container für Onlinevorhersagen für ein benutzerdefiniertes Modell anzupassen, finden Sie unterBenutzerdefiniertes Dienstkonto verwenden.
Dienstkonten sind durch eine E-Mail-Adresse gekennzeichnet.
Kundenservicemitarbeiter
Dienst-Agents sind von Google verwaltete Dienstkonten, die automatisch bereitgestellt werden. kann ein Dienst in Ihrem Namen auf Ressourcen zugreifen.
Wenn ein Dienst-Agent erstellt wird, erhält der Dienst-Agent eine vordefinierte Rolle für Ihr Projekt. In der folgenden Tabelle sind die Vertex AI-Dienst-Agents, ihre E-Mail-Adressen und die entsprechenden Rollen aufgeführt:
Name | Verwendet für | E-Mail-Adresse | Rolle |
---|---|---|---|
Vertex AI-Dienst-Agent | Vertex AI-Funktionen | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
Dienst-Agent für benutzerdefinierten Vertex AI-Code | Benutzerdefinierter Trainingscode | service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com |
roles/aiplatform.customCodeServiceAgent |
Vertex AI Extension Service Agent | Vertex-Erweiterungen | service-PROJECT_NUMBER@gcp-sa-vertex-ex.iam.gserviceaccount.com |
roles/aiplatform.extensionServiceAgent |
Cloud AI Platform Notebooks-Dienstkonto | Vertex AI Workbench-Funktionen | service-PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com |
roles/notebooks.serviceAgent |
Der Dienst-Agent für benutzerdefinierten Vertex AI-Code wird nur erstellt, wenn Sie benutzerdefinierten Trainingscode zum Trainieren eines benutzerdefinierten Modells ausführen.
Dienst-Agent-Rollen und -Berechtigungen
Sehen Sie sich die folgenden Rollen und Berechtigungen an, die Vertex AI-Agents gewährt werden.
Rolle | Berechtigungen |
---|---|
Vertex AI-Dienst-Agent( Gewährt Vertex AI die für den Betrieb erforderlichen Berechtigungen. |
|
Dienst-Agent für benutzerdefinierten Vertex AI-Code( Gewährt benutzerdefinierten Vertex AI-Code die korrekten Berechtigungen. |
|
AI Platform Notebooks-Dienst-Agent( Gewährt dem Notebooks-Dienst-Agent Zugriff zur Verwaltung der Notebook-Instanzen in Nutzerprojekten |
|
Vertex AI-Dienst-Agents Zugriff auf andere Ressourcen gewähren
Manchmal müssen einem Vertex AI-Dienst-Agent zusätzliche Rollen gewährt werden. Wenn Sie Vertex AI beispielsweise Zugriff auf einen Cloud Storage-Bucket in einem anderen Projekt gewähren möchten, müssen Sie dem Dienst-Agent eine oder mehrere zusätzliche Rollen zuweisen.
Voraussetzungen für das Hinzufügen von Rollen für BigQuery
In der folgenden Tabelle sind die erforderlichen zusätzlichen Rollen beschrieben, die zum Vertex AI-Dienst-Agent für BigQuery-Tabellen hinzugefügt werden müssen oder in einem anderen Projekt oder durch eine externe Datenquelle gesichert sind.
Der Begriff Homeprojekt bezieht sich auf das Projekt, in dem sich das Vertex AI-Dataset oder Modell befindet. Der Begriff Fremdprojekt bezieht sich auf alle anderen Projekte.
Voraussetzungen für das Hinzufügen von Rollen für Cloud Storage
Wenn Sie auf Daten in einem Cloud Storage-Bucket in einem anderen Projekt zugreifen, müssen Sie Vertex AI in diesem Projekt die Rolle Storage > Storage Object Viewer
zuweisen. Weitere Informationen
Wenn Sie einen Cloud Storage-Bucket zum Empfangen von Daten von Ihrem lokalen Computer für einen Importvorgang verwenden und sich der Bucket in einem anderen Projekt als dem Google Cloud-Projekt befindet, müssen Sie die Rolle Storage > Storage Object Creator
in diesem Projekt Vertex AI zuweisen. Weitere Informationen
Vertex AI Zugriff auf Ressourcen in Ihrem Homeprojekt gewähren
So weisen Sie einem Service-Agent für Vertex AI in Ihrem Homeprojekt zusätzliche Rollen zu:
Rufen Sie die Seite IAM der Google Cloud Console für Ihr Homeprojekt auf.
Klicken Sie auf das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen.
Ermitteln Sie den Dienst-Agent, dem Sie die Berechtigungen gewähren möchten, und klicken Sie auf das Stiftsymbol .
Sie können nach Principa:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com filtern, um die Vertex AI-Dienst-Agents zu finden.
Gewähren Sie dem Dienstkonto die erforderlichen Rollen und speichern Sie Ihre Änderungen.
Vertex AI Zugriff auf Ressourcen in einem anderen Projekt gewähren
Wenn Sie Datenquellen oder Ziele in einem anderen Projekt verwenden, müssen Sie dem Vertex AI-Dienstkonto Berechtigungen für dieses Projekt erteilen. Das Vertex AI-Dienstkonto wird erstellt, nachdem Sie den ersten asynchronen Job gestartet haben (z. B. einen Endpunkt erstellen). Sie können das Vertex AI-Dienstkonto auch explizit mithilfe der gcloud CLI erstellen. Folgen Sie dazu dieser Anleitung. Dieser gcloud-Befehl erstellt sowohl das Standarddienstkonto als auch das benutzerdefinierte Code-Dienstkonto. In der Antwort wird jedoch nur das Standarddienstkonto zurückgegeben.
So fügen Sie Vertex AI Berechtigungen in einem anderen Projekt hinzu:
Rufen Sie die Seite IAM der Google Cloud Console für Ihr Projekt auf, in dem Sie Vertex AI verwenden.
Klicken Sie auf das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen.
Ermitteln Sie den Dienst-Agent, dem Sie die Berechtigungen gewähren möchten, und kopieren Sie seine E-Mail-Adresse (die unter Hauptkonto aufgeführt ist).
Sie können nach Principa:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com filtern, um die Vertex AI-Dienst-Agents zu finden.
Ändern Sie die Projekte in das Projekt, für das Sie die Berechtigungen erteilen müssen.
Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse in Neue Hauptkonten ein.
Fügen Sie alle erforderlichen Rollen hinzu und klicken Sie auf Speichern.
Zugriff auf Google Tabellen gewähren
Wenn Sie eine externe BigQuery-Datenquelle verwenden, die von Google Tabellen unterstützt wird, müssen Sie sie für das Vertex AI-Dienstkonto freigeben. Das Vertex AI-Dienstkonto wird erstellt, nachdem Sie den ersten asynchronen Job gestartet haben (z. B. einen Endpunkt erstellen). Sie können das Vertex AI-Dienstkonto auch explizit mit der gcloud CLI erstellen. Folgen Sie dazu dieser Anleitung.
So autorisieren Sie Vertex AI für den Zugriff auf Ihre Tabellen-Datei:
Rufen Sie die Seite IAM der Google Cloud Console auf.
Suchen Sie nach dem Dienstkonto mit dem Namen
Vertex AI Service Agent
und kopieren Sie die E-Mail-Adresse, die unter Hauptkonto aufgeführt ist.Öffnen Sie Ihre Google Tabellen-Datei und teilen Sie sie mit dieser Adresse.
Nächste Schritte
- Mehr über IAM erfahren
- Informationen zu bestimmten IAM-Berechtigungen und den von ihnen unterstützten Vorgängen
- Überblick über Vertex AI