Esta página descreve como usar a gestão de identidade e de acesso (IAM) para gerir o acesso aos recursos da Vertex AI. Para gerir o acesso às instâncias do Vertex AI Workbench, consulte o controlo de acesso às instâncias do Vertex AI Workbench.
Vista geral
O Vertex AI usa o IAM para gerir o acesso aos recursos. Quando planear o controlo de acesso aos seus recursos, considere o seguinte:
Pode gerir o acesso ao nível do projeto ou do recurso. O acesso ao nível do projeto aplica-se a todos os recursos nesse projeto. O acesso a um recurso específico aplica-se apenas a esse recurso. Consulte Acesso ao nível do projeto versus acesso ao nível do recurso.
Concede acesso atribuindo funções de IAM a principais. As funções predefinidas estão disponíveis para facilitar a configuração do acesso, mas as funções personalizadas são recomendadas porque as cria e, por isso, pode limitar o acesso apenas às autorizações necessárias. Consulte as funções de IAM.
Funções de IAM
Existem diferentes tipos de funções IAM que podem ser usadas no Vertex AI:
As funções personalizadas permitem-lhe escolher um conjunto específico de autorizações, criar a sua própria função com essas autorizações e conceder a função aos utilizadores na sua organização.
As funções predefinidas permitem-lhe conceder um conjunto de autorizações relacionadas aos seus recursos do Vertex AI ao nível do projeto.
As funções básicas (proprietário, editor e leitor) oferecem controlo de acesso aos seus recursos da Vertex AI ao nível do projeto e são comuns a todos os serviços Google Cloud .
Para adicionar, atualizar ou remover estas funções no seu projeto do Vertex AI, consulte a documentação sobre como conceder, alterar e revogar o acesso.
Funções personalizadas
As funções personalizadas permitem-lhe escolher um conjunto específico de autorizações, criar a sua própria função com essas autorizações e conceder a função aos utilizadores na sua organização. Para mais informações, consulte o artigo Compreender as funções personalizadas do IAM.
Use funções personalizadas para conceder autorizações de privilégios mínimos
As funções predefinidas contêm frequentemente mais autorizações do que as necessárias. Pode criar funções personalizadas para conceder aos seus responsáveis apenas as autorizações específicas necessárias.
Por exemplo, pode criar uma função personalizada com a autorização aiplatform.endpoints.predict
e, em seguida, atribuir a função a uma conta de serviço num ponto final. Isto concede à conta de serviço a capacidade de chamar o ponto final para previsões, mas não a capacidade de controlar o ponto final.
Funções predefinidas para a Vertex AI
Role | Permissions |
---|---|
Vertex AI Administrator( Grants full access to all resources in Vertex AI |
|
Vertex AI Batch Prediction Service Agent( Vertex AI Batch Prediction Service Agent for serving batch prediction requests. |
|
Colab Enterprise Admin( Admin role of using colab enterprise. |
|
Colab Enterprise User( User role of using colab enterprise. |
|
Vertex AI Colab Service Agent( Gives Vertex AI Colab the proper permissions to function. |
|
Vertex AI Custom Code Service Agent( Gives Vertex AI Custom Code the proper permissions. |
|
Vertex AI Feature Store EntityType owner( Provides full access to all permissions for a particular entity type resource. Lowest-level resources where you can grant this role:
|
|
Vertex AI Platform Express Admin Beta( Grants admin access to Vertex AI Express |
|
Vertex AI Platform Express User Beta( Grants user access to Vertex AI Express |
|
Vertex AI Extension Custom Code Service Agent( Gives Vertex AI Extension that executes custom code the permissions it needs to function. |
|
Vertex AI Extension Service Agent( Gives Vertex AI Extension the permissions it needs to function. |
|
Vertex AI Feature Store Admin( Grants full access to all resources in Vertex AI Feature Store Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Viewer( This role provides permissions to read Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Writer( This role provides permissions to read and write Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Instance Creator( Administrator of Featurestore resources, but not the child resources under Featurestores. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Resource Viewer( Viewer of all resources in Vertex AI Feature Store but cannot make changes. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store User Beta( Deprecated. Use featurestoreAdmin instead. |
|
Vertex AI Migration Service User( Grants access to use migration service in Vertex AI |
|
Vertex AI Model Monitoring Service Agent( Gives Vertex AI Model Monitoring the permissions it needs to function. |
|
Notebook Executor User Beta( Grants users full access to schedules and notebook execution jobs. |
|
Notebook Runtime Admin( Grants full access to all runtime templates and runtimes in Notebook Service. |
|
Notebook Runtime User( Grants users permissions to create runtime resources using a runtime template and manage the runtime resources they created. |
|
Vertex AI Notebook Service Agent( Vertex AI Service Agent used to run Notebook managed resources in user project with restricted permissions. |
|
Vertex AI Online Prediction Service Agent( Gives Vertex AI Online Prediction the permissions it needs to function. |
|
Vertex AI Platform Provisioned Throughput Admin Beta( Grants access to use all resources related to Vertex AI Provisioned Throughput |
|
Vertex AI RAG Data Service Agent( Vertex AI Service Agent used by Vertex RAG to access user imported data, Vertex AI, Document AI processors in the project |
|
Vertex AI Rapid Eval Service Agent( Vertex AI Service Agent used by GenAI Rapid Evaluation Service to access publisher model endpoints in the user project |
|
Vertex AI Reasoning Engine Service Agent( Gives Vertex AI Reasoning Engine the proper permissions to function. |
|
Vertex AI Service Agent( Gives Vertex AI the permissions it needs to function. |
|
Vertex AI Telemetry Service Agent( Allows Vertex AI Telemetry Service Agent to access telemetry data. |
|
Vertex AI Tensorboard Web App User Beta( Grants access to the Vertex AI TensorBoard web app. |
|
Vertex AI Tuning Service Agent( Vertex AI Service Agent used for tuning in user project. |
|
Vertex AI User( Grants access to use all resource in Vertex AI |
|
Vertex AI Viewer( Grants access to view all resource in Vertex AI |
|
Funções básicas
As Google Cloud funções básicas mais antigas são comuns a todos os serviços Google Cloud . Estas funções são Proprietário, Editor e Visitante.
Acesso ao nível do projeto versus acesso ao nível do recurso
Pode gerir o acesso ao nível do projeto ou do recurso. Também pode ter a capacidade de gerir o acesso ao nível da pasta ou da organização.
Para a maioria dos recursos do Vertex AI, o acesso só pode ser controlado pelo projeto, pela pasta e pela organização. O acesso a recursos individuais só pode ser concedido para tipos de recursos específicos, por exemplo, um ponto final ou um Feature Store.
Os utilizadores partilham o controlo de todos os recursos aos quais podem aceder. Por exemplo, se um utilizador registar um modelo, todos os outros utilizadores autorizados no projeto podem aceder, alterar e eliminar o modelo.
Para conceder acesso a recursos ao nível do projeto, atribua uma ou mais funções a um principal (utilizador, grupo ou conta de serviço).
Para os recursos do Vertex AI que lhe permitem conceder acesso ao nível do recurso, define uma política IAM nesse recurso. A política define as funções que são atribuídas a que responsáveis.
A definição de uma política ao nível do recurso não afeta as políticas ao nível do projeto. Um recurso herda todas as políticas da respetiva hierarquia. Pode usar estes dois níveis de detalhe para personalizar as autorizações. Por exemplo, pode conceder aos utilizadores autorizações de leitura ao nível do projeto para que possam ler todos os recursos no projeto e, em seguida, pode conceder aos utilizadores autorizações de escrita por recurso (ao nível do recurso).
Nem todas as funções e recursos predefinidos da Vertex AI suportam políticas ao nível do recurso. Para identificar que funções podem ser usadas em que recursos, consulte a tabela de funções predefinidas.
Recursos suportados
O Vertex AI suporta recursos do Vertex AI Feature Store featurestore e do tipo de entidade. Para mais informações, consulte o artigo Controle o acesso aos recursos do Vertex AI Feature Store.
Depois de conceder ou revogar o acesso a um recurso, essas alterações demoram algum tempo a serem propagadas. Para mais informações, consulte o artigo Propagação das alterações de acesso.
Recursos, contas de serviço e agentes de serviço
Os serviços Vertex AI gerem frequentemente recursos de execução prolongada que realizam ações, como executar uma tarefa de preparação que lê dados de preparação ou apresentar um modelo de aprendizagem automática (ML) que lê o peso do modelo. Estes recursos autónomos têm a sua própria identidade de recurso quando realizam ações. Esta identidade é distinta da identidade do principal que criou o recurso. As autorizações concedidas à identidade do recurso definem os dados e outros recursos aos quais a identidade do recurso pode aceder, e não as autorizações do principal que criou o recurso.
Por predefinição, os recursos da Vertex AI usam contas de serviço geridas pela Vertex AI como uma identidade de recurso. Estas contas de serviço são denominadas agentes de serviço do Vertex AI e estão anexadas ao projeto onde o recurso é criado. Os utilizadores com autorizações específicas da Vertex AI podem criar recursos que usam agentes de serviço da Vertex AI. Para alguns serviços, pode especificar uma conta de serviço a anexar ao recurso. O recurso usa esta conta de serviço para aceder a outros recursos e serviços. Para saber mais sobre as contas de serviço, consulte o artigo Contas de serviço.
O Vertex AI usa diferentes agentes de serviço consoante as APIs que estão a ser chamadas. Cada agente de serviço tem autorizações IAM específicas no projeto ao qual está associado. Estas autorizações são usadas pela identidade do recurso para realizar ações, e as autorizações podem incluir acesso só de leitura a todos os recursos do Cloud Storage e dados do BigQuery no projeto.
Contas de serviço
Uma conta de serviço é uma conta especial usada por uma aplicação ou uma instância de máquina virtual (MV) e não por uma pessoa. Pode criar e atribuir autorizações a contas de serviço para fornecer autorizações específicas a um recurso ou uma aplicação.
Para obter informações sobre a utilização de uma conta de serviço para personalizar as autorizações disponíveis para um contentor de preparação personalizado ou um contentor que forneça previsões online para um modelo preparado de forma personalizada, leia o artigo Use uma conta de serviço personalizada.
As contas de serviço são identificadas por um endereço de email.
Agentes do serviço
Os agentes de serviço são fornecidos automaticamente e permitem que um serviço aceda a recursos em seu nome.
Quando é criado um agente de serviço, é concedido ao agente de serviço uma função predefinida para o seu projeto. A tabela seguinte apresenta os agentes de serviço do Vertex AI, os respetivos endereços de email e as respetivas funções:
Nome | Utilizado para | Endereço de email | Função |
---|---|---|---|
Agente de serviço da Vertex AI | Capacidades da Vertex AI | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
Agente de serviço de dados RAG da Vertex AI | A RAG do Vertex AI acede aos dados importados pelo utilizador, ao Vertex AI e aos processadores do Document AI no projeto | service-PROJECT_NUMBER@gcp-sa-vertex-rag.iam.gserviceaccount.com |
roles/ |
Vertex AI Custom Code Service Agent |
Código de formação personalizado Código da aplicação do Ray on Vertex AI |
service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com |
roles/aiplatform.customCodeServiceAgent |
Agente do Vertex AI Extension Service | Extensões do Vertex | service-PROJECT_NUMBER@gcp-sa-vertex-ex.iam.gserviceaccount.com |
|
Conta de serviço do Cloud AI Platform Notebooks | Capacidades do Vertex AI Workbench | service-PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com |
roles/notebooks.serviceAgent |
O agente do serviço de código personalizado do Vertex AI só é criado se executar código de preparação personalizado para preparar um modelo preparado de forma personalizada.
Funções e autorizações de agentes do serviço
Veja as seguintes funções e autorizações concedidas aos agentes de serviço da Vertex AI.
Função | Autorizações |
---|---|
Agente de serviço da Vertex AI( Concede à Vertex AI as autorizações de que necessita para funcionar. |
|
Agente de serviço de dados RAG da Vertex AI( Agente de serviço da Vertex AI usado pelo Vertex RAG para aceder aos dados importados pelo utilizador, à Vertex AI e aos processadores do Document AI no projeto |
|
Vertex AI Custom Code Service Agent( Concede ao código personalizado da Vertex AI as autorizações adequadas. |
|
Agente do Vertex AI Extension Service( Concede à extensão do Vertex AI as autorizações de que precisa para funcionar. |
|
Agente de serviço do AI Platform Notebooks( Forneça acesso ao agente do serviço de blocos de notas para gerir instâncias de blocos de notas em projetos de utilizadores |
|
Conceda aos agentes de serviço da Vertex AI acesso a outros recursos
Por vezes, tem de conceder funções adicionais a um agente do serviço Vertex AI. Por exemplo, se precisar que a Vertex AI aceda a um contentor do Cloud Storage num projeto diferente, tem de conceder uma ou mais funções adicionais ao agente do serviço.
Requisitos de adição de funções para o BigQuery
A tabela seguinte descreve as funções adicionais necessárias para serem adicionadas ao agente de serviço do Vertex AI para tabelas ou visualização do BigQuery num projeto diferente ou suportadas por uma origem de dados externa.
O termo projeto principal refere-se ao projeto onde se encontra o conjunto de dados ou o modelo do Vertex AI. O termo projeto diferente refere-se a qualquer outro projeto.
Tipo de tabela | Projeto de tabela | Projeto de origem de dados | É necessária a adição de funções |
---|---|---|---|
Tabela nativa do BigQuery | Projeto doméstico | N/A | Nenhum. |
Tabela nativa do BigQuery | Projeto diferente | N/A | BigQuery Data Viewer para um projeto diferente. Saiba mais. |
Vista do BigQuery | Projeto doméstico | N/A | Nenhum. |
Vista do BigQuery | Projeto diferente | N/A | BigQuery Data Viewer para um projeto diferente. Saiba mais. |
Origem de dados externa do BigQuery com tecnologia Bigtable | Projeto doméstico | Projeto doméstico | Bigtable Reader para projeto doméstico. Saiba mais. |
Origem de dados externa do BigQuery com tecnologia Bigtable | Projeto doméstico | Projeto diferente | Bigtable Reader para um projeto diferente. Saiba mais. |
Origem de dados externa do BigQuery com tecnologia Bigtable | Projeto diferente | Projeto diferente | BigQuery Reader e Bigtable Reader para um projeto diferente. Saiba mais. |
Origem de dados externa do BigQuery com tecnologia do Cloud Storage | Projeto doméstico | Projeto doméstico | Nenhum. |
Origem de dados externa do BigQuery com tecnologia do Cloud Storage | Projeto doméstico | Projeto diferente | Storage Object Viewer para um projeto diferente. Saiba mais. |
Origem de dados externa do BigQuery com tecnologia do Cloud Storage | Projeto diferente | Projeto diferente | Storage Object Viewer e BigQuery Data Viewer para um projeto diferente. Saiba mais. |
Origem de dados do BigQuery externa suportada pelo Google Sheets | Projeto doméstico | N/A | Partilhe o seu ficheiro do Sheets com a conta de serviço do Vertex AI. Saiba mais. |
Origem de dados do BigQuery externa suportada pelo Google Sheets | Projeto diferente | N/A | BigQuery Reader para um projeto diferente e partilhe o seu ficheiro do Sheets com a conta de serviço do Vertex AI. |
Requisitos de adição de funções para o Cloud Storage
Se estiver a aceder a dados num contentor do Cloud Storage num projeto diferente, tem de atribuir a função Storage > Storage Object Viewer
ao Vertex AI nesse projeto. Saiba mais.
Se estiver a usar um contentor do Cloud Storage para receber dados do seu computador local para uma operação de importação e o contentor estiver num projeto diferente do projetoGoogle Cloud , tem de atribuir a função Storage > Storage Object Creator
ao Vertex AI nesse projeto. Saiba mais.
Conceda acesso à Vertex AI a recursos no seu projeto principal
Para conceder funções adicionais a um agente de serviço para o Vertex AI no seu projeto principal:
Aceda à página IAM da Google Cloud consola do seu projeto principal.
Selecione a caixa de verificação Incluir concessões de funções fornecidas pela Google.
Determine o agente de serviços ao qual quer conceder as autorizações e clique no ícone de lápis .
Pode filtrar por Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com para encontrar os agentes de serviço do Vertex AI.
Conceda as funções necessárias ao agente do serviço e guarde as alterações.
Conceda acesso do Vertex AI a recursos num projeto diferente
Quando usa origens de dados ou destinos num projeto diferente, tem de conceder autorizações ao agente do serviço do Vertex AI nesse projeto. O agente de serviço da Vertex AI é criado depois de iniciar a primeira tarefa assíncrona (por exemplo, criar um ponto final). Também pode criar explicitamente o agente do serviço Vertex AI. Para mais informações, consulte o artigo gcloud beta services identity create. Este comando da CLI do Google Cloud cria o agente de serviço principal e o agente de serviço de código personalizado. No entanto, apenas o agente de serviço principal é devolvido na resposta.
Para adicionar autorizações à Vertex AI num projeto diferente:
Aceda à página IAM da Google Cloud consola do seu projeto principal (o projeto onde está a usar o Vertex AI).
Selecione a caixa de verificação Incluir concessões de funções fornecidas pela Google.
Determine o agente de serviço ao qual quer conceder as autorizações e copie o respetivo endereço de email (indicado em Principal).
Pode filtrar por Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com para encontrar os agentes de serviço do Vertex AI.
Altere os projetos para o projeto onde tem de conceder as autorizações.
Clique em Adicionar e introduza o endereço de email em Novos diretores.
Adicione todas as funções necessárias e clique em Guardar.
Conceda acesso ao Google Sheets
Se usar uma origem de dados do BigQuery externa baseada no Google Sheets, tem de partilhar a sua folha com a conta de serviço do Vertex AI. A conta de serviço da Vertex AI é criada depois de iniciar a primeira tarefa assíncrona (por exemplo, criar um ponto final). Também pode criar explicitamente a conta de serviço do Vertex AI através da CLI gcloud seguindo esta instrução.
Para autorizar o Vertex AI a aceder ao seu ficheiro do Sheets:
Aceda à página IAM da Google Cloud consola.
Procure a conta de serviço com o nome
Vertex AI Service Agent
e copie o respetivo endereço de email (indicado em Principal).Abra o ficheiro do Sheets e partilhe-o com esse endereço.
O que se segue?
- Saiba mais sobre a IAM.
- Saiba mais sobre autorizações de IAM específicas e as operações que suportam.
- Para saber mais sobre as formas recomendadas de configurar um projeto para uma equipa, consulte o artigo Configure um projeto para uma equipa.
- Veja uma vista geral do Vertex AI.