Cette page explique comment utiliser la gestion de l'authentification et des accès (IAM) pour gérer l'accès aux ressources Vertex AI. Pour gérer l'accès aux instances Vertex AI Workbench, consultez Contrôle des accès aux instances Vertex AI Workbench.
Vertex AI utilise IAM pour gérer l'accès aux ressources. Vous pouvez gérer l'accès au niveau du projet ou des ressources. Pour accorder l'accès aux ressources au niveau du projet, attribuez un ou plusieurs rôles à un compte principal (utilisateur, groupe ou compte de service). Pour accorder l'accès à une ressource spécifique, définissez une stratégie IAM sur cette ressource (la ressource doit être compatible avec les stratégies au niveau des ressources). La stratégie définit quels rôles sont attribués à chaque compte principal.
Vous pouvez utiliser différents types de rôles IAM dans Vertex AI :
Les rôles prédéfinis vous permettent d'accorder à vos ressources Vertex AI un ensemble d'autorisations associées au niveau du projet.
Les rôles de base (Propriétaire, Éditeur et Lecteur) permettent de contrôler l'accès à vos ressources Vertex AI au niveau du projet et sont communs à tous les services Google Cloud.
Les rôles personnalisés vous permettent de choisir un ensemble d'autorisations spécifique, de créer un rôle disposant de ces autorisations et d'attribuer ce dernier à des utilisateurs de votre organisation.
Pour ajouter, mettre à jour ou supprimer ces rôles dans votre projet Vertex AI, consultez la page Accorder, modifier et révoquer les accès.
Rôles prédéfinis pour Vertex AI
Role | Permissions |
---|---|
Vertex AI Administrator( Grants full access to all resources in Vertex AI |
|
Colab Enterprise Admin( Admin role of using colab enterprise. |
|
Colab Enterprise User( User role of using colab enterprise. |
|
Vertex AI Feature Store EntityType owner( Provides full access to all permissions for a particular entity type resource. Lowest-level resources where you can grant this role:
|
|
Vertex AI Platform Express Admin Beta( Grants admin access to Vertex AI Express |
|
Vertex AI Platform Express User Beta( Grants user access to Vertex AI Express |
|
Vertex AI Feature Store Admin( Grants full access to all resources in Vertex AI Feature Store Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Viewer( This role provides permissions to read Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Writer( This role provides permissions to read and write Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Instance Creator( Administrator of Featurestore resources, but not the child resources under Featurestores. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Resource Viewer( Viewer of all resources in Vertex AI Feature Store but cannot make changes. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store User Beta( Deprecated. Use featurestoreAdmin instead. |
|
Vertex AI Migration Service User( Grants access to use migration service in Vertex AI |
|
Notebook Executor User Beta( Grants users full access to schedules and notebook execution jobs. |
|
Notebook Runtime Admin( Grants full access to all runtime templates and runtimes in Notebook Service. |
|
Notebook Runtime User( Grants users permissions to create runtime resources using a runtime template and manage the runtime resources they created. |
|
Vertex AI Tensorboard Web App User Beta( Grants access to the Vertex AI TensorBoard web app. |
|
Vertex AI User( Grants access to use all resource in Vertex AI |
|
Vertex AI Viewer( Grants access to view all resource in Vertex AI |
|
Rôles de base
Les rôles de base de Google Cloud sont communs à tous les services Google Cloud. Il s'agit des rôles Propriétaire, Éditeur et Lecteur.
Rôles personnalisés
Si les rôles IAM prédéfinis pour l'IA Vertex ne répondent pas à vos besoins, vous pouvez définir des rôles personnalisés. Les rôles personnalisés vous permettent de choisir un ensemble d'autorisations spécifique, de créer un rôle disposant de ces autorisations et d'attribuer ce rôle à des utilisateurs de votre organisation. Pour en savoir plus, consultez la page Comprendre les rôles personnalisés IAM.
Stratégies au niveau du projet et au niveau des ressources
La définition d'une stratégie au niveau des ressources n'affecte pas les stratégies au niveau du projet. Une ressource hérite de toutes ses stratégies de son ancêtre. Vous pouvez utiliser ces deux niveaux de précision pour personnaliser les autorisations. Par exemple, vous pouvez accorder aux utilisateurs des autorisations de lecture au niveau du projet afin qu'ils puissent lire toutes les ressources du projet, puis leur accorder des autorisations d'écriture par ressource (au niveau des ressources).
Les rôles et ressources prédéfinis de Vertex AI ne sont pas tous compatibles avec les stratégies au niveau des ressources. Pour savoir quels rôles peuvent être utilisés sur quelles ressources, affichez les descriptions de chaque rôle.
Ressources compatibles
Vertex AI est compatible avec les ressources de magasin de caractéristiques et de types d'entités Vertex AI Feature Store. Pour en savoir plus, consultez la page Contrôler l'accès aux ressources de Vertex AI Feature Store.
Une fois que vous avez accordé ou révoqué l'accès à une ressource, la propagation de ces modifications prend du temps. Pour en savoir plus, consultez la page Propagation des modifications d'accès.
À propos des comptes de service et des agents de service
Comptes de service
Un compte de service est un compte particulier utilisé par une application ou une instance de machine virtuelle (VM), et non par une personne. Vous pouvez créer et attribuer des autorisations aux comptes de service afin d'accorder des autorisations spécifiques à une ressource ou à une application.
Pour savoir comment utiliser un compte de service pour personnaliser les autorisations disponibles pour un conteneur d'entraînement personnalisé ou pour un conteneur qui diffuse des prédictions en ligne pour un modèle entraîné, consultez la sectionUtiliser un compte de service personnalisé.
Les comptes de service sont identifiés par une adresse e-mail.
Agents de service
Les agents de service sont fournis automatiquement et permettent à un service d'accéder aux ressources en votre nom.
Lorsqu'un agent de service est créé, il se voit attribuer un rôle prédéfini pour votre projet. Le tableau suivant répertorie les agents de service de Vertex AI, leurs adresses e-mail et leurs rôles respectifs :
Nom | Utilisation | Adresse e-mail | Rôle |
---|---|---|---|
Agent de service Vertex AI | Fonctionnalités de Vertex AI | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
Agent de service de code personnalisé Vertex AI |
Code d'entraînement personnalisé Code d'application Ray sur Vertex AI |
service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com |
roles/aiplatform.customCodeServiceAgent |
Agent de service Vertex AI Extensions | Extensions Vertex | service-PROJECT_NUMBER@gcp-sa-vertex-ex.iam.gserviceaccount.com |
roles/aiplatform.extensionServiceAgent |
Compte de service Cloud AI Platform Notebooks | Fonctionnalités de Vertex AI Workbench | service-PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com |
roles/notebooks.serviceAgent |
L'agent de service de code personnalisé Vertex AI n'est créé que si vous exécutez du code d'entraînement personnalisé pour l'entraînement personnalisé d'un modèle.
Rôles et autorisations des agents de service
Consultez les rôles et les autorisations suivants accordés aux agents de service Vertex AI.
Rôle | Autorisations |
---|---|
Agent de service Vertex AI( Fournit à Vertex AI les autorisations requises pour son fonctionnement. |
|
Agent de service de code personnalisé Vertex AI( Fournit les autorisations appropriées au code personnalisé Vertex AI. |
|
Agent de service AI Platform Notebooks( Fournit à l'agent de service Notebooks un accès permettant de gérer les instances de notebook des projets utilisateur. |
|
Accorder aux agents de service Vertex AI l'accès à d'autres ressources
Vous devez parfois attribuer des rôles supplémentaires à un agent de service Vertex AI. Par exemple, si vous avez besoin de fournir à Vertex AI l'accès à un bucket Cloud Storage situé dans un autre projet, vous devez attribuer un ou plusieurs rôles supplémentaires à l'agent de service.
Exigences applicables à l'ajout de rôles pour BigQuery
Le tableau suivant décrit les rôles supplémentaires à ajouter à l'agent de service Vertex AI pour accéder à des tables ou vues BigQuery dans un autre projet ou sauvegardées par une source de données externe.
Le terme projet de base fait référence au projet dans lequel se trouve l'ensemble de données ou le modèle Vertex AI. Le terme projet différent fait référence à tout autre projet.
Type de table | Projet de table | Projet de source de données | Ajout de rôle requis |
---|---|---|---|
Table BigQuery native | Projet de base | N/A | Aucune. |
Table BigQuery native | Projet différent | N/A | BigQuery Data Viewer pour un projet différent. En savoir plus |
Vue BigQuery | Projet de base | N/A | Aucune. |
Vue BigQuery | Projet différent | N/A | BigQuery Data Viewer pour un projet différent. En savoir plus |
Source de données BigQuery externe sauvegardée par Bigtable | Projet de base | Projet de base | Bigtable Reader pour le projet de base. En savoir plus |
Source de données BigQuery externe sauvegardée par Bigtable | Projet de base | Projet différent | Bigtable Reader pour un projet différent. En savoir plus |
Source de données BigQuery externe sauvegardée par Bigtable | Projet différent | Projet différent | BigQuery Reader et Bigtable Reader pour un projet différent. En savoir plus |
Source de données BigQuery externe sauvegardée par Cloud Storage | Projet de base | Projet de base | Aucune. |
Source de données BigQuery externe sauvegardée par Cloud Storage | Projet de base | Projet différent | Storage Object Viewer pour un projet différent. En savoir plus |
Source de données BigQuery externe sauvegardée par Cloud Storage | Projet différent | Projet différent | Storage Object Viewer et BigQuery Data Viewer pour un projet différent. En savoir plus |
Source de données BigQuery externe sauvegardée par Google Sheets | Projet de base | N/A | Partager votre fichier Sheets avec le compte de service Vertex AI. En savoir plus |
Source de données BigQuery externe sauvegardée par Google Sheets | Projet différent | N/A | BigQuery Reader pour un projet différent et partager votre fichier Sheets avec le compte de service Vertex AI. |
Exigences applicables à l'ajout de rôles pour Cloud Storage
Si vous accédez aux données d'un bucket Cloud Storage situé dans un autre projet, vous devez attribuer le rôle Storage > Storage Object Viewer
à Vertex AI dans ce projet. En savoir plus
Si vous utilisez un bucket Cloud Storage pour recevoir des données de votre ordinateur local pour une opération d'importation et que le bucket se trouve dans un projet différent de celui de Google Cloud, vous devez attribuer le rôle Storage > Storage Object Creator
à Vertex AI dans ce projet. En savoir plus
Accorder l'accès à Vertex AI aux ressources de votre projet de base
Pour attribuer des rôles supplémentaires à un agent de service pour l'IA Vertex dans votre projet de base, procédez comme suit :
Accédez à la page IAM de la console Google Cloud pour votre projet de base.
Cochez la case Inclure les attributions de rôles fournies par Google.
Déterminez l'agent de service auquel vous souhaitez accorder les autorisations, puis cliquez sur l'icône en forme de crayon .
Utilisez le filtre Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com pour trouver les agents de service Vertex AI.
Attribuez les rôles requis au compte de service et enregistrez vos modifications.
Accorder l'accès à Vertex AI aux ressources d'un autre projet
Lorsque vous utilisez des sources de données ou des destinations dans un autre projet, vous devez accorder des autorisations au compte de service Vertex AI dans ce projet. Le compte de service Vertex AI est créé après le démarrage de la première tâche asynchrone (par exemple, création d'un point de terminaison). Vous pouvez également créer explicitement le compte de service Vertex AI à l'aide de gcloud CLI en suivant ces instructions. Cette commande gcloud créera à la fois le compte de service par défaut et le compte de service de code personnalisé, bien que seul le compte de service par défaut soit renvoyé dans la réponse.
Pour ajouter des autorisations à Vertex AI dans un autre projet, procédez comme suit :
Accédez à la page IAM de la console Google Cloud pour votre projet de base (le projet dans lequel vous utilisez Vertex AI).
Cochez la case Inclure les attributions de rôles fournies par Google.
Déterminez l'agent de service auquel vous souhaitez accorder les autorisations et copiez son adresse e-mail (répertoriée sous Membre).
Utilisez le filtre Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com pour trouver les agents de service Vertex AI.
Changez les projets pour le projet dans lequel vous devez accorder les autorisations.
Cliquez sur Ajouter, puis saisissez l'adresse e-mail dans Nouveaux membres.
Ajoutez tous les rôles requis, puis cliquez sur Enregistrer.
Accorder l'accès à Google Sheets
Si vous utilisez une source de données BigQuery externe sauvegardée par Google Sheets, vous devez partager votre feuille de calcul avec le compte de service Vertex AI. Le compte de service Vertex AI est créé après le démarrage de la première tâche asynchrone (par exemple, création d'un point de terminaison). Vous pouvez également créer explicitement le compte de service Vertex AI gcloud CLI en suivant cette instruction.
Pour autoriser Vertex AI à accéder à votre fichier Sheets :
Accédez à la page IAM de la console Google Cloud.
Recherchez le compte de service intitulé
Vertex AI Service Agent
et copiez son adresse e-mail (répertoriée sous Membre).Ouvrez votre fichier Google Sheets et partagez-le à l'aide de cette adresse.
Étape suivante
- Apprenez-en plus sur IAM.
- Découvrez les autorisations IAM spécifiques et les opérations qu'elles acceptent.
- Obtenez un aperçu de Vertex AI.