Halaman ini menjelaskan cara menggunakan Identity and Access Management (IAM) untuk mengelola akses ke resource Vertex AI. Untuk mengelola akses ke instance Vertex AI Workbench, lihat Kontrol akses instance Vertex AI Workbench.
Vertex AI menggunakan IAM untuk mengelola akses ke resource. Anda dapat mengelola akses di level project atau level resource. Untuk memberikan akses ke resource di level project, tetapkan satu atau beberapa peran ke akun utama (pengguna, grup, atau akun layanan). Untuk memberikan akses ke resource tertentu, tetapkan kebijakan IAM pada resource tersebut; resource harus mendukung kebijakan tingkat resource. Kebijakan ini menentukan peran yang akan ditetapkan ke akun utama.
Ada berbagai jenis peran IAM yang dapat digunakan di Vertex AI:
Peran yang telah ditetapkan memungkinkan Anda memberikan serangkaian izin terkait ke resource Vertex AI di level project.
Peran dasar (Pemilik, Editor, dan Viewer) menyediakan kontrol akses ke resource Vertex AI Anda di level project, dan bersifat umum untuk semua layanan Google Cloud.
Peran kustom memungkinkan Anda memilih serangkaian izin tertentu, membuat peran Anda sendiri dengan izin tersebut, dan memberikan peran tersebut kepada pengguna di organisasi Anda.
Untuk menambahkan, memperbarui, atau menghapus peran ini dalam project Vertex AI Anda, lihat dokumentasi tentang memberikan, mengubah, dan mencabut akses.
Peran yang telah ditetapkan untuk Vertex AI
Role | Permissions |
---|---|
Vertex AI Administrator( Grants full access to all resources in Vertex AI |
|
Colab Enterprise Admin( Admin role of using colab enterprise. |
|
Colab Enterprise User( User role of using colab enterprise. |
|
Vertex AI Feature Store EntityType owner( Provides full access to all permissions for a particular entity type resource. Lowest-level resources where you can grant this role:
|
|
Vertex AI Platform Express Admin Beta( Grants admin access to Vertex AI Express |
|
Vertex AI Platform Express User Beta( Grants user access to Vertex AI Express |
|
Vertex AI Feature Store Admin( Grants full access to all resources in Vertex AI Feature Store Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Viewer( This role provides permissions to read Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Writer( This role provides permissions to read and write Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Instance Creator( Administrator of Featurestore resources, but not the child resources under Featurestores. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Resource Viewer( Viewer of all resources in Vertex AI Feature Store but cannot make changes. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store User Beta( Deprecated. Use featurestoreAdmin instead. |
|
Vertex AI Migration Service User( Grants access to use migration service in Vertex AI |
|
Notebook Executor User Beta( Grants users full access to schedules and notebook execution jobs. |
|
Notebook Runtime Admin( Grants full access to all runtime templates and runtimes in Notebook Service. |
|
Notebook Runtime User( Grants users permissions to create runtime resources using a runtime template and manage the runtime resources they created. |
|
Vertex AI Tensorboard Web App User Beta( Grants access to the Vertex AI TensorBoard web app. |
|
Vertex AI User( Grants access to use all resource in Vertex AI |
|
Vertex AI Viewer( Grants access to view all resource in Vertex AI |
|
Peran dasar
Peran dasar Google Cloud yang lama bersifat umum untuk semua layanan Google Cloud. Peran ini terdiri dari Pemilik, Editor, dan Viewer.
Peran dasar memberikan izin di seluruh Google Cloud, tidak hanya untuk Vertex AI. Karena alasan ini, Anda harus menggunakan peran Vertex AI jika memungkinkan.
Peran kustom
Jika peran IAM yang telah ditetapkan untuk Vertex AI tidak memenuhi kebutuhan Anda, Anda dapat menentukan peran kustom. Peran kustom memungkinkan Anda memilih serangkaian izin tertentu, membuat peran Anda sendiri dengan izin tersebut, dan memberikan peran tersebut kepada pengguna di organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Memahami peran kustom IAM.
Kebijakan tingkat project versus tingkat resource
Menetapkan kebijakan di level resource tidak memengaruhi kebijakan level project. Resource mewarisi semua kebijakan dari ancestry-nya. Anda dapat menggunakan dua tingkat perincian ini untuk menyesuaikan izin. Misalnya, Anda dapat memberikan izin baca kepada pengguna di level project sehingga mereka dapat membaca semua resource yang ada dalam project, kemudian Anda dapat memberikan izin tulis per resource kepada pengguna (di level resource).
Tidak semua peran dan resource Vertex AI yang telah ditetapkan mendukung kebijakan tingkat resource. Untuk mengetahui peran yang dapat digunakan pada resource tertentu, lihat deskripsi untuk setiap peran.
Resource yang didukung
Vertex AI mendukung resource featurestore dan jenis entity Vertex AI Feature Store. Untuk mengetahui informasi selengkapnya, lihat Mengontrol akses ke resource Vertex AI Feature Store.
Setelah memberikan atau mencabut akses ke resource, perubahan tersebut memerlukan waktu untuk diterapkan. Untuk mengetahui informasi selengkapnya, lihat Proagasi perubahan akses.
Tentang akun layanan dan agen layanan
Akun layanan
Akun layanan adalah akun khusus yang digunakan oleh aplikasi atau instance virtual machine (VM), bukan orang. Anda dapat membuat dan menetapkan izin ke akun layanan untuk memberikan izin khusus ke resource atau aplikasi.
Untuk mengetahui informasi tentang penggunaan akun layanan guna menyesuaikan izin yang tersedia untuk container pelatihan kustom atau container yang menyalurkan prediksi online bagi model yang dilatih khusus, baca Menggunakan akun layanan khusus.
Akun layanan diidentifikasi dengan alamat email
Agen layanan
Agen layanan adalah akun layanan yang dikelola Google dan disediakan secara otomatis; mereka memungkinkan layanan untuk mengakses resource atas nama Anda.
Saat agen layanan dibuat, agen layanan tersebut diberi peran yang telah ditetapkan untuk project Anda. Tabel berikut mencantumkan agen layanan Vertex AI, alamat email, dan peran masing-masing:
Nama | Digunakan untuk | Alamat email | Peran |
---|---|---|---|
Agen Layanan Vertex AI | Kemampuan Vertex AI | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
Agen Layanan Kode Kustom Vertex AI | Kode pelatihan kustom | service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com |
roles/aiplatform.customCodeServiceAgent |
Agen Layanan Ekstensi Vertex AI | Ekstensi Vertex | service-PROJECT_NUMBER@gcp-sa-vertex-ex.iam.gserviceaccount.com |
roles/aiplatform.extensionServiceAgent |
Akun Layanan Cloud AI Platform Notebooks | Kemampuan Vertex AI Workbench | service-PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com |
roles/notebooks.serviceAgent |
Agen Layanan Kode Kustom Vertex AI dibuat hanya jika Anda menjalankan kode pelatihan kustom untuk melatih model.
Peran dan izin agen layanan
Lihat peran dan izin berikut yang diberikan ke agen layanan Vertex AI.
Peran | Izin |
---|---|
Agen Layanan Vertex AI( Memberikan Vertex AI izin yang diperlukan agar dapat berfungsi. |
|
Agen Layanan Kode Kustom Vertex AI( Memberikan Kode Kustom Vertex AI izin yang tepat. |
|
AI Platform Notebooks Service Agent( Memberikan agen layanan notebook akses untuk mengelola instance notebook di project pengguna |
|
Memberikan agen layanan Vertex AI akses ke resource lain
Terkadang Anda perlu memberikan peran tambahan ke agen layanan Vertex AI. Misalnya, jika Anda memerlukan Vertex AI untuk mengakses bucket Cloud Storage di project lain, Anda perlu memberikan satu atau beberapa peran tambahan kepada agen layanan.
Persyaratan penambahan peran untuk BigQuery
Tabel berikut menjelaskan peran tambahan yang perlu ditambahkan ke Agen Layanan Vertex AI untuk tabel atau tampilan BigQuery di project yang berbeda atau didukung oleh sumber data eksternal.
Istilah project rumah mengacu pada project tempat set data atau model Vertex AI berada. Istilah project yang berbeda mengacu pada project lainnya.
Jenis tabel | Project tabel | Sumber data project | Penambahan peran yang diperlukan |
---|---|---|---|
Tabel BigQuery native | Project rumah | T/A | Tidak ada. |
Tabel BigQuery native | Project yang berbeda | T/A | BigQuery Data Viewer untuk project yang berbeda. Pelajari lebih lanjut. |
Tampilan BigQuery | Project rumah | T/A | Tidak ada. |
Tampilan BigQuery | Project yang berbeda | T/A | BigQuery Data Viewer untuk project yang berbeda. Pelajari lebih lanjut. |
Sumber data BigQuery eksternal yang didukung oleh Bigtable | Project rumah | Project rumah | Bigtable Reader untuk project rumah. Pelajari lebih lanjut. |
Sumber data BigQuery eksternal yang didukung oleh Bigtable | Project rumah | Project yang berbeda | Bigtable Reader untuk project yang berbeda. Pelajari lebih lanjut. |
Sumber data BigQuery eksternal yang didukung oleh Bigtable | Project yang berbeda | Project yang berbeda | BigQuery Reader dan Bigtable Reader untuk project yang berbeda. Pelajari lebih lanjut. |
Sumber data BigQuery eksternal yang didukung oleh Cloud Storage | Project rumah | Project rumah | Tidak ada. |
Sumber data BigQuery eksternal yang didukung oleh Cloud Storage | Project rumah | Project yang berbeda | Storage Object Viewer untuk project yang berbeda. Pelajari lebih lanjut. |
Sumber data BigQuery eksternal yang didukung oleh Cloud Storage | Project yang berbeda | Project yang berbeda | Storage Object Viewer dan BigQuery Data Viewer untuk project yang berbeda. Pelajari lebih lanjut. |
Sumber data BigQuery eksternal yang didukung oleh Google Spreadsheet | Project rumah | T/A | Bagikan file Spreadsheet Anda dengan akun layanan Vertex AI. Pelajari lebih lanjut. |
Sumber data BigQuery eksternal yang didukung oleh Google Spreadsheet | Project yang berbeda | T/A | BigQuery Reader untuk berbagai project dan bagikan file Spreadsheet Anda dengan akun layanan Vertex AI. |
Persyaratan penambahan peran untuk Cloud Storage
Jika mengakses data di bucket Cloud Storage di project lain, Anda harus memberikan peran Storage > Storage Object Viewer
ke Vertex AI dalam project tersebut. Pelajari lebih lanjut.
Jika Anda menggunakan bucket Cloud Storage guna menerima data dari komputer lokal untuk operasi impor, dan bucket ini berada dalam project yang berbeda dengan project Google Cloud, Anda harus memberikan peran Storage > Storage Object Creator
terhadap Vertex AI dalam project tersebut. Pelajari lebih lanjut.
Memberikan Vertex AI akses ke resource di project rumah Anda
Untuk memberikan peran tambahan kepada agen layanan untuk Vertex AI di project rumah Anda:
Buka halaman IAM di Konsol Google Cloud untuk project rumah Anda.
Centang kotak Include Google-provided role grants.
Tentukan agen layanan yang ingin Anda beri izin, lalu klik ikon pensil .
Anda dapat memfilter Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com untuk menemukan agen layanan Vertex AI.
Berikan peran yang diperlukan ke akun layanan dan simpan perubahan Anda.
Memberikan Vertex AI akses ke resource di project yang berbeda
Saat menggunakan sumber data atau tujuan di project yang berbeda, Anda harus memberikan izin ke akun layanan Vertex AI dalam project tersebut. Akun layanan Vertex AI dibuat setelah Anda memulai tugas asinkron pertama (misalnya membuat endpoint). Anda juga dapat secara eksplisit membuat akun layanan Vertex AI menggunakan gcloud CLI dengan mengikuti petunjuk ini. Perintah gcloud ini akan membuat akun layanan default dan akun layanan kode kustom, meskipun hanya akun layanan default yang akan ditampilkan dalam respons.
Untuk menambahkan izin ke Vertex AI di project yang berbeda:
Buka halaman IAM di Konsol Google Cloud untuk project rumah Anda (project tempat Anda menggunakan Vertex AI).
Centang kotak Include Google-provided role grants.
Tentukan agen layanan yang ingin Anda beri izin dan salin alamat emailnya (tercantum di bagian Principal).
Anda dapat memfilter Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com untuk menemukan agen layanan Vertex AI.
Ubah project ke project yang perlu Anda berikan izin.
Klik Add, dan masukkan alamat email di New principals.
Tambahkan semua peran yang diperlukan, lalu klik Save.
Memberikan akses ke Google Spreadsheet
Jika menggunakan sumber data BigQuery eksternal yang didukung oleh Google Spreadsheet, Anda harus membagikan sheet dengan akun layanan Vertex AI. Akun layanan Vertex AI dibuat setelah Anda memulai tugas asinkron pertama (misalnya, membuat endpoint). Anda juga dapat secara eksplisit membuat akun layanan Vertex AI menggunakan gcloud CLI dengan mengikuti petunjuk ini.
Untuk memberikan otorisasi kepada Vertex AI agar dapat mengakses file Spreadsheet Anda:
Buka halaman IAM di Konsol Google Cloud.
Cari akun layanan dengan nama
Vertex AI Service Agent
, lalu salin alamat emailnya (tercantum di bagian Principal).Buka file Spreadsheet dan bagikan kepada alamat tersebut.
Langkah selanjutnya
- Pelajari lebih lanjut tentang IAM.
- Pelajari izin IAM tertentu dan operasi yang didukungnya.
- Dapatkan ringkasan tentang Vertex AI.