Questa pagina descrive come utilizzare Identity and Access Management (IAM) per gestire l'accesso alle risorse di Vertex AI. Per gestire l'accesso alle istanze di Vertex AI Workbench, vedi Controllo dell'accesso alle istanze di Vertex AI Workbench.
Vertex AI usa IAM per gestire l'accesso alle risorse. Puoi gestire l'accesso a livello di progetto o di risorsa. Per concedere l'accesso alle risorse a livello di progetto, assegna uno o più ruoli a un'entità (utente, gruppo o account di servizio). Per concedere l'accesso a una risorsa specifica, imposta un criterio IAM sulla risorsa; la risorsa deve supportare criteri a livello di risorsa. Il criterio definisce quali ruoli vengono assegnati a quali entità.
In Vertex AI è possibile usare diversi tipi di ruoli IAM:
I ruoli predefiniti consentono di concedere un insieme di autorizzazioni correlate alle risorse Vertex AI a livello di progetto.
I ruoli di base (Proprietario, Editor e Visualizzatore) forniscono il controllo dell'accesso alle risorse Vertex AI a livello di progetto e sono comuni a tutti i servizi Google Cloud.
I ruoli personalizzati ti consentono di scegliere un insieme specifico di autorizzazioni, creare un ruolo personalizzato con queste autorizzazioni e concederlo agli utenti della tua organizzazione.
Per aggiungere, aggiornare o rimuovere questi ruoli nel progetto Vertex AI, consulta la documentazione su come concedere, modificare e revocare l'accesso.
Ruoli predefiniti per Vertex AI
Role | Permissions |
---|---|
Vertex AI Administrator( Grants full access to all resources in Vertex AI |
|
Colab Enterprise Admin( Admin role of using colab enterprise. |
|
Colab Enterprise User( User role of using colab enterprise. |
|
Vertex AI Feature Store EntityType owner( Provides full access to all permissions for a particular entity type resource. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Admin( Grants full access to all resources in Vertex AI Feature Store Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Viewer( This role provides permissions to read Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Writer( This role provides permissions to read and write Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Instance Creator( Administrator of Featurestore resources, but not the child resources under Featurestores. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Resource Viewer( Viewer of all resources in Vertex AI Feature Store but cannot make changes. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store User Beta( Deprecated. Use featurestoreAdmin instead. |
|
Vertex AI Migration Service User( Grants access to use migration service in Vertex AI |
|
Notebook Executor User Beta( Grants users full access to schedules and notebook execution jobs. |
|
Notebook Runtime Admin( Grants full access to all runtime templates and runtimes in Notebook Service. |
|
Notebook Runtime User( Grants users permissions to create runtime resources using a runtime template and manage the runtime resources they created. |
|
Vertex AI Tensorboard Web App User Beta( Grants access to the Vertex AI TensorBoard web app. |
|
Vertex AI User( Grants access to use all resource in Vertex AI |
|
Vertex AI Viewer( Grants access to view all resource in Vertex AI |
|
Ruoli di base
I ruoli di base precedenti di Google Cloud sono comuni a tutti i servizi Google Cloud. Questi ruoli sono Proprietario, Editor e Visualizzatore.
I ruoli di base forniscono autorizzazioni in Google Cloud, non solo per Vertex AI. Per questo motivo, dovresti usare i ruoli di Vertex AI quando possibile.
Ruoli personalizzati
Se i ruoli IAM predefiniti per Vertex AI non soddisfano le tue esigenze, puoi definire ruoli personalizzati. I ruoli personalizzati consentono di scegliere un insieme specifico di autorizzazioni, creare un ruolo con queste autorizzazioni e concedere il ruolo agli utenti della tua organizzazione. Per ulteriori informazioni, consulta Informazioni sui ruoli IAM personalizzati.
Criteri a livello di progetto e di risorsa
L'impostazione di un criterio a livello di risorsa non influisce sui criteri a livello di progetto. Una risorsa eredita tutti i criteri dalla sua discendenza. Puoi utilizzare questi due livelli di granularità per personalizzare le autorizzazioni. Ad esempio, puoi concedere agli utenti autorizzazioni di lettura a livello di progetto, in modo che possano leggere tutte le risorse del progetto, e quindi concedere agli utenti autorizzazioni di scrittura per risorsa (a livello di risorsa).
Non tutti i ruoli e le risorse predefiniti di Vertex AI supportano i criteri a livello di risorsa. Per sapere quali ruoli possono essere utilizzati e su quali risorse, visualizza le descrizioni per ciascun ruolo.
Risorse supportate
Vertex AI supporta l'archivio di caratteristiche e le risorse di tipo entità di Vertex AI Feature Store. Per ulteriori informazioni, vedi Controllare l'accesso alle risorse di Vertex AI Feature Store.
Dopo aver concesso o revocato l'accesso a una risorsa, la propagazione delle modifiche richiede tempo. Per maggiori informazioni, consulta la propagazione delle modifiche dell'accesso.
Informazioni sugli account di servizio e sugli agenti di servizio
Account di servizio
Un account di servizio è un account speciale utilizzato da un'applicazione o da un'istanza di una macchina virtuale (VM), non da una persona. Puoi creare e assegnare autorizzazioni agli account di servizio per fornire autorizzazioni specifiche a una risorsa o un'applicazione.
Per informazioni sull'utilizzo di un account di servizio per personalizzare le autorizzazioni disponibili per un container di addestramento personalizzato o per un container che fornisce previsioni online per un modello con addestramento personalizzato, consulta Utilizzo di un account di servizio personalizzato.
Gli account di servizio sono identificati da un indirizzo email.
Agenti di servizio
Gli agenti di servizio vengono forniti automaticamente e consentono a un servizio di accedere alle risorse per tuo conto.
Quando viene creato un agente di servizio, gli viene concesso un ruolo predefinito per il progetto. La tabella seguente elenca gli agenti di servizio Vertex AI, i relativi indirizzi email e i rispettivi ruoli:
Nome | Utilizzato per | Indirizzo email | Ruolo |
---|---|---|---|
Agente di servizio Vertex AI | Funzionalità di Vertex AI | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
Agente di servizio del codice personalizzato Vertex AI |
Codice di addestramento personalizzato Codice dell'applicazione Ray on Vertex AI |
service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com |
roles/aiplatform.customCodeServiceAgent |
Agente di servizio estensione Vertex AI | Estensioni Vertex | service-PROJECT_NUMBER@gcp-sa-vertex-ex.iam.gserviceaccount.com |
roles/aiplatform.extensionServiceAgent |
Account di servizio Cloud AI Platform Notebooks | Funzionalità di Vertex AI Workbench | service-PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com |
roles/notebooks.serviceAgent |
L'agente di servizio del codice personalizzato Vertex AI viene creato solo se esegui codice di addestramento personalizzato per addestrare un modello con addestramento personalizzato.
Ruoli e autorizzazioni dell'agente di servizio
Vedi i ruoli e le autorizzazioni seguenti concessi agli agenti di servizio Vertex AI.
Ruolo | Autorizzazioni |
---|---|
Agente di servizio Vertex AI( Concede a Vertex AI le autorizzazioni necessarie per il funzionamento. |
|
Agente di servizio del codice personalizzato Vertex AI( Concede al codice personalizzato Vertex AI le autorizzazioni appropriate. |
|
Agente di servizio AI Platform Notebooks( Fornisce accesso per consentire all'agente di servizio Notebooks di gestire le istanze blocco note nei progetti degli utenti |
|
Concedi agli agenti di servizio Vertex AI l'accesso ad altre risorse
A volte devi concedere ruoli aggiuntivi a un agente di servizio Vertex AI. Ad esempio, se hai bisogno di Vertex AI per accedere a un bucket Cloud Storage in un progetto diverso, dovrai concedere uno o più ruoli aggiuntivi all'agente di servizio.
Requisiti per l'aggiunta di ruoli per BigQuery
La seguente tabella descrive i ruoli aggiuntivi richiesti da aggiungere alle tabelle dell'agente di servizio Vertex AI per BigQuery o alla visualizzazione in un progetto diverso o supportati da un'origine dati esterna.
Il termine progetto casa si riferisce al progetto in cui si trova il set di dati o il modello Vertex AI. Il termine progetto diverso si riferisce a qualsiasi altro progetto.
Tipo di tabella | Progetto tabella | Progetto origine dati | Aggiunta del ruolo obbligatoria |
---|---|---|---|
Tabella BigQuery nativa | Progetto casa | N/A | Nessuno. |
Tabella BigQuery nativa | Progetto diverso | N/A | BigQuery Data Viewer per un altro progetto. Scopri di più. |
Vista BigQuery | Progetto casa | N/A | Nessuno. |
Vista BigQuery | Progetto diverso | N/A | BigQuery Data Viewer per un altro progetto. Scopri di più. |
Origine dati BigQuery esterna supportata da Bigtable | Progetto casa | Progetto casa | Bigtable Reader per il progetto Home. Scopri di più. |
Origine dati BigQuery esterna supportata da Bigtable | Progetto casa | Progetto diverso | Bigtable Reader per un altro progetto. Scopri di più. |
Origine dati BigQuery esterna supportata da Bigtable | Progetto diverso | Progetto diverso | BigQuery Reader e Bigtable Reader per un altro progetto. Scopri di più. |
Origine dati BigQuery esterna supportata da Cloud Storage | Progetto casa | Progetto casa | Nessuno. |
Origine dati BigQuery esterna supportata da Cloud Storage | Progetto casa | Progetto diverso | Storage Object Viewer per un altro progetto. Scopri di più. |
Origine dati BigQuery esterna supportata da Cloud Storage | Progetto diverso | Progetto diverso | Storage Object Viewer e BigQuery Data Viewer per un altro progetto. Scopri di più. |
Origine dati BigQuery esterna supportata da Fogli Google | Progetto casa | N/A | Condividi il file di Fogli con l'account di servizio Vertex AI. Ulteriori informazioni |
Origine dati BigQuery esterna supportata da Fogli Google | Progetto diverso | N/A | BigQuery Reader per un altro progetto e condividi il file di Fogli con l'account di servizio Vertex AI. |
Requisiti per l'aggiunta di ruoli per Cloud Storage
Se accedi ai dati in un bucket Cloud Storage di un progetto diverso, devi assegnare il ruolo Storage > Storage Object Viewer
a Vertex AI in quel progetto. Scopri di più.
Se utilizzi un bucket Cloud Storage per ricevere dati dal tuo computer locale per un'operazione di importazione e il bucket si trova in un progetto diverso da quello di Google Cloud, devi assegnare il ruolo Storage > Storage Object Creator
a Vertex AI in quel progetto. Scopri di più.
Concedi l'accesso a Vertex AI alle risorse nel tuo progetto domestico
Per concedere ruoli aggiuntivi a un agente di servizio per Vertex AI nel tuo progetto principale:
Vai alla pagina IAM della console Google Cloud per il tuo progetto home.
Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Determina l'agente di servizio a cui vuoi concedere le autorizzazioni e fai clic sull'icona a forma di matita .
Puoi filtrare Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com per trovare gli agenti di servizio Vertex AI.
Concedi i ruoli richiesti all'account di servizio e salva le modifiche.
Concedi l'accesso a Vertex AI alle risorse di un altro progetto
Quando utilizzi origini dati o destinazioni in un progetto diverso, devi concedere le autorizzazioni dell'account di servizio Vertex AI in quel progetto. L'account di servizio Vertex AI viene creato dopo l'avvio del primo job asincrono (ad esempio, la creazione di un endpoint). Puoi anche creare esplicitamente l'account di servizio Vertex AI utilizzando gcloud CLI seguendo queste istruzioni. Questo comando gcloud creerà sia l'account di servizio predefinito sia l'account di servizio con codice personalizzato, anche se nella risposta verrà restituito solo l'account di servizio predefinito.
Per aggiungere autorizzazioni a Vertex AI in un progetto diverso:
Vai alla pagina IAM della console Google Cloud per il tuo progetto home (il progetto in cui stai utilizzando Vertex AI).
Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Determina l'agente di servizio a cui vuoi concedere le autorizzazioni e copia il relativo indirizzo email (elencato in Entità).
Puoi filtrare Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com per trovare gli agenti di servizio Vertex AI.
Passa ai progetti per cui devi concedere le autorizzazioni.
Fai clic su Aggiungi e inserisci l'indirizzo email in Nuove entità.
Aggiungi tutti i ruoli richiesti e fai clic su Salva.
Fornire l'accesso a Fogli Google
Se utilizzi un'origine dati BigQuery esterna supportata da Fogli Google, devi condividere il foglio con l'account di servizio Vertex AI. L'account di servizio Vertex AI viene creato dopo l'avvio del primo job asincrono (ad esempio, la creazione di un endpoint). Puoi anche creare esplicitamente l'account di servizio Vertex AI utilizzando gcloud CLI seguendo questa istruzione.
Per autorizzare Vertex AI ad accedere al file di Fogli:
Vai alla pagina IAM della console Google Cloud.
Cerca l'account di servizio con il nome
Vertex AI Service Agent
e copia il relativo indirizzo email (indicato in Entità).Apri il file di Fogli e condividilo con quell'indirizzo.
Passaggi successivi
- Scopri di più su IAM.
- Scopri di più sulle autorizzazioni IAM specifiche e sulle operazioni che supportano.
- Panoramica di Vertex AI.