Halaman ini menjelaskan cara menggunakan Identity and Access Management (IAM) untuk mengelola akses ke resource Vertex AI. Untuk mengelola akses ke instance Vertex AI Workbench, lihat Kontrol akses instance Vertex AI Workbench.
Ringkasan
Vertex AI menggunakan IAM untuk mengelola akses ke resource. Saat Anda merencanakan kontrol akses untuk resource, pertimbangkan hal berikut:
Anda dapat mengelola akses di level project atau level resource. Akses tingkat project berlaku untuk semua resource dalam project tersebut. Akses ke resource tertentu hanya berlaku untuk resource tersebut. Lihat Akses tingkat project versus tingkat resource.
Anda memberikan akses dengan menetapkan peran IAM ke akun utama. Peran yang telah ditetapkan tersedia untuk mempermudah penyiapan akses, tetapi peran khusus direkomendasikan karena Anda membuatnya, sehingga Anda dapat membatasi aksesnya hanya ke izin yang diperlukan. Lihat Peran IAM.
Peran IAM
Ada berbagai jenis peran IAM yang dapat digunakan di Vertex AI:
Peran khusus memungkinkan Anda memilih serangkaian izin tertentu, membuat peran Anda sendiri dengan izin tersebut, dan memberikan peran tersebut kepada pengguna di organisasi Anda.
Peran yang telah ditetapkan memungkinkan Anda memberikan serangkaian izin terkait ke resource Vertex AI di level project.
Peran dasar (Pemilik, Editor, dan Viewer) memberikan kontrol akses ke resource Vertex AI Anda di level project, dan bersifat umum untuk semua layanan Google Cloud.
Untuk menambahkan, memperbarui, atau menghapus peran ini dalam project Vertex AI Anda, lihat dokumentasi tentang memberikan, mengubah, dan mencabut akses.
Peran khusus
Peran kustom memungkinkan Anda memilih serangkaian izin tertentu, membuat peran Anda sendiri dengan izin tersebut, dan memberikan peran tersebut kepada pengguna di organisasi Anda. Untuk informasi selengkapnya, lihat Memahami peran khusus IAM.
Menggunakan peran kustom untuk memberikan izin hak istimewa terendah
Peran bawaan sering kali berisi lebih banyak izin daripada yang Anda perlukan. Anda dapat membuat peran khusus untuk hanya memberikan izin tertentu yang diperlukan kepada akun utama.
Misalnya, Anda dapat membuat peran khusus dengan izin aiplatform.endpoints.predict, lalu menetapkan peran tersebut ke akun layanan di endpoint. Tindakan ini memberi akun layanan kemampuan untuk memanggil endpoint guna mendapatkan prediksi, tetapi tidak memberinya kemampuan untuk mengontrol endpoint.
Peran yang telah ditetapkan untuk Vertex AI
| Role | Permissions |
|---|---|
Vertex AI Administrator( Grants full access to all resources in Vertex AI |
|
Colab Enterprise Admin( Admin role of using colab enterprise. |
|
Colab Enterprise User( User role of using colab enterprise. |
|
Vertex AI Feature Store EntityType owner( Provides full access to all permissions for a particular entity type resource. Lowest-level resources where you can grant this role:
|
|
Vertex AI Platform Express Admin Beta( Grants admin access to Vertex AI Express |
|
Vertex AI Platform Express User Beta( Grants user access to Vertex AI Express |
|
Vertex AI Feature Store Admin( Grants full access to all resources in Vertex AI Feature Store Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Viewer( This role provides permissions to read Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Writer( This role provides permissions to read and write Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Instance Creator( Administrator of Featurestore resources, but not the child resources under Featurestores. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Resource Viewer( Viewer of all resources in Vertex AI Feature Store but cannot make changes. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store User Beta( Deprecated. Use featurestoreAdmin instead. |
|
Vertex AI Migration Service User( Grants access to use migration service in Vertex AI |
|
Notebook Executor User Beta( Grants users full access to schedules and notebook execution jobs. |
|
Notebook Runtime Admin( Grants full access to all runtime templates and runtimes in Notebook Service. |
|
Notebook Runtime User( Grants users permissions to create runtime resources using a runtime template and manage the runtime resources they created. |
|
Vertex AI Tensorboard Web App User Beta( Grants access to the Vertex AI TensorBoard web app. |
|
Vertex AI User( Grants access to use all resource in Vertex AI |
|
Vertex AI Viewer( Grants access to view all resource in Vertex AI |
|
Peran dasar
Peran dasar Google Cloud yang lama bersifat umum untuk semua layanan Google Cloud. Peran ini terdiri dari Pemilik, Editor, dan Viewer.
Akses level project versus level resource
Anda dapat mengelola akses di level project atau level resource. Anda juga mungkin memiliki kemampuan untuk mengelola akses di tingkat folder atau organisasi.
Untuk sebagian besar resource Vertex AI, akses hanya dapat dikontrol oleh project, folder, dan organisasi. Akses ke setiap resource hanya dapat diberikan untuk jenis resource tertentu, misalnya, endpoint atau featurestore.
Pengguna berbagi kontrol atas semua resource yang dapat mereka akses. Misalnya, jika pengguna mendaftarkan model, semua pengguna lain yang diberi otorisasi dalam project dapat mengakses, mengubah, dan menghapus model tersebut.
Untuk memberikan akses ke resource di level project, tetapkan satu atau beberapa peran ke akun utama (pengguna, grup, atau akun layanan).
Untuk resource Vertex AI yang memungkinkan Anda memberikan akses di tingkat resource, Anda menetapkan kebijakan IAM pada resource tersebut. Kebijakan ini menentukan peran yang ditetapkan ke akun utama.
Menetapkan kebijakan di level resource tidak memengaruhi kebijakan level project. Resource mewarisi semua kebijakan dari ancestry-nya. Anda dapat menggunakan dua tingkat perincian ini untuk menyesuaikan izin. Misalnya, Anda dapat memberikan izin baca kepada pengguna di level project sehingga mereka dapat membaca semua resource yang ada dalam project, kemudian Anda dapat memberikan izin tulis per resource kepada pengguna (di level resource).
Tidak semua peran dan resource Vertex AI yang telah ditetapkan mendukung kebijakan tingkat resource. Untuk mengidentifikasi peran yang dapat digunakan di resource tertentu, lihat Tabel peran bawaan.
Resource yang didukung
Vertex AI mendukung resource featurestore dan jenis entity Vertex AI Feature Store. Untuk mengetahui informasi selengkapnya, lihat Mengontrol akses ke resource Vertex AI Feature Store.
Setelah memberikan atau mencabut akses ke resource, perubahan tersebut memerlukan waktu untuk diterapkan. Untuk mengetahui informasi selengkapnya, lihat Penerapan perubahan akses.
Resource, akun layanan, dan agen layanan
Layanan Vertex AI sering kali mengelola resource yang berjalan lama yang melakukan tindakan, seperti menjalankan tugas pelatihan yang membaca data pelatihan, atau menayangkan model machine learning (ML) yang membaca bobot model. Resource mandiri tersebut memiliki identitas resource-nya sendiri saat melakukan tindakan. Identitas ini berbeda dengan identitas akun utama yang membuat resource. Izin yang diberikan ke identitas resource menentukan data dan resource lain yang dapat diakses oleh identitas resource, bukan izin akun utama yang membuat resource.
Secara default, resource Vertex AI menggunakan akun layanan yang dikelola oleh Vertex AI sebagai identitas resource. Akun layanan ini disebut agen layanan Vertex AI, dan dilampirkan ke project tempat resource dibuat. Pengguna dengan izin Vertex AI tertentu dapat membuat resource yang menggunakan agen layanan Vertex AI. Untuk beberapa layanan, Anda dapat menentukan akun layanan yang akan dilampirkan ke resource. Resource menggunakan akun layanan ini untuk mengakses resource dan layanan lainnya. Untuk mempelajari akun layanan lebih lanjut, lihat akun layanan.
Vertex AI menggunakan agen layanan yang berbeda bergantung pada API yang dipanggil. Setiap agen layanan memiliki izin IAM tertentu pada project yang terkait. Izin ini digunakan oleh identitas resource untuk melakukan tindakan, dan izin tersebut dapat mencakup akses hanya baca ke semua resource Cloud Storage dan data BigQuery dalam project.
Akun layanan
Akun layanan adalah akun khusus yang digunakan oleh aplikasi atau instance virtual machine (VM), bukan orang. Anda dapat membuat dan menetapkan izin ke akun layanan untuk memberikan izin khusus ke resource atau aplikasi.
Untuk mengetahui informasi tentang penggunaan akun layanan guna menyesuaikan izin yang tersedia untuk container pelatihan kustom atau container yang menyalurkan prediksi online bagi model yang dilatih khusus, baca Menggunakan akun layanan kustom.
Akun layanan diidentifikasi dengan alamat email
Agen layanan
Agen layanan disediakan secara otomatis; agen layanan memungkinkan layanan mengakses resource atas nama Anda.
Saat dibuat, agen layanan akan diberi peran yang telah ditetapkan untuk project Anda. Tabel berikut mencantumkan agen layanan Vertex AI, alamat email mereka, dan peran masing-masing:
| Nama | Digunakan untuk | Alamat email | Peran |
|---|---|---|---|
| Agen Layanan Vertex AI | Kemampuan Vertex AI | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
| Agen Layanan Kode Kustom Vertex AI |
Kode pelatihan kustom Kode aplikasi Ray on Vertex AI |
service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com |
roles/aiplatform.customCodeServiceAgent |
| Agen Layanan Ekstensi Vertex AI | Ekstensi Vertex | service-PROJECT_NUMBER@gcp-sa-vertex-ex.iam.gserviceaccount.com |
roles/aiplatform.extensionServiceAgent |
| Akun Layanan Cloud AI Platform Notebooks | Kemampuan Vertex AI Workbench | service-PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com |
roles/notebooks.serviceAgent |
Agen Layanan Kode Kustom Vertex AI dibuat hanya jika Anda menjalankan kode pelatihan kustom untuk melatih model.
Peran dan izin agen layanan
Lihat peran dan izin berikut yang diberikan kepada agen layanan Vertex AI.
| Peran | Izin |
|---|---|
Agen Layanan Vertex AI( Memberikan Vertex AI izin yang diperlukan agar dapat berfungsi. |
|
Agen Layanan Kode Kustom Vertex AI( Memberikan Kode Kustom Vertex AI izin yang tepat. |
|
AI Platform Notebooks Service Agent( Memberikan agen layanan notebook akses untuk mengelola instance notebook di project pengguna |
|
Memberikan agen layanan Vertex AI akses ke resource lain
Terkadang Anda perlu memberikan peran tambahan ke agen layanan Vertex AI. Misalnya, jika Anda memerlukan Vertex AI untuk mengakses bucket Cloud Storage di project lain, Anda perlu memberikan satu atau beberapa peran tambahan kepada agen layanan.
Persyaratan penambahan peran untuk BigQuery
Tabel berikut menjelaskan peran tambahan yang perlu ditambahkan ke Agen Layanan Vertex AI untuk tabel atau tampilan BigQuery di project yang berbeda atau didukung oleh sumber data eksternal.
Istilah project rumah mengacu pada project tempat set data atau model Vertex AI berada. Istilah project yang berbeda mengacu pada project lainnya.
| Jenis tabel | Project tabel | Sumber data project | Penambahan peran yang diperlukan |
|---|---|---|---|
| Tabel BigQuery native | Project rumah | T/A | Tidak ada. |
| Tabel BigQuery native | Project yang berbeda | T/A | BigQuery Data Viewer untuk project yang berbeda. Pelajari lebih lanjut. |
| Tampilan BigQuery | Project rumah | T/A | Tidak ada. |
| Tampilan BigQuery | Project yang berbeda | T/A | BigQuery Data Viewer untuk project yang berbeda. Pelajari lebih lanjut. |
| Sumber data BigQuery eksternal yang didukung oleh Bigtable | Project rumah | Project rumah | Bigtable Reader untuk project rumah. Pelajari lebih lanjut. |
| Sumber data BigQuery eksternal yang didukung oleh Bigtable | Project rumah | Project yang berbeda | Bigtable Reader untuk project yang berbeda. Pelajari lebih lanjut. |
| Sumber data BigQuery eksternal yang didukung oleh Bigtable | Project yang berbeda | Project yang berbeda | BigQuery Reader dan Bigtable Reader untuk project yang berbeda. Pelajari lebih lanjut. |
| Sumber data BigQuery eksternal yang didukung oleh Cloud Storage | Project rumah | Project rumah | Tidak ada. |
| Sumber data BigQuery eksternal yang didukung oleh Cloud Storage | Project rumah | Project yang berbeda | Storage Object Viewer untuk project yang berbeda. Pelajari lebih lanjut. |
| Sumber data BigQuery eksternal yang didukung oleh Cloud Storage | Project yang berbeda | Project yang berbeda | Storage Object Viewer dan BigQuery Data Viewer untuk project yang berbeda. Pelajari lebih lanjut. |
| Sumber data BigQuery eksternal yang didukung oleh Google Spreadsheet | Project rumah | T/A | Bagikan file Spreadsheet Anda dengan akun layanan Vertex AI. Pelajari lebih lanjut. |
| Sumber data BigQuery eksternal yang didukung oleh Google Spreadsheet | Project yang berbeda | T/A | BigQuery Reader untuk berbagai project dan bagikan file Spreadsheet Anda dengan akun layanan Vertex AI. |
Persyaratan penambahan peran untuk Cloud Storage
Jika mengakses data di bucket Cloud Storage di project lain, Anda harus memberikan peran Storage > Storage Object Viewer ke Vertex AI dalam project tersebut. Pelajari lebih lanjut.
Jika Anda menggunakan bucket Cloud Storage guna menerima data dari komputer lokal untuk operasi impor, dan bucket ini berada dalam project yang berbeda dengan project Google Cloud, Anda harus memberikan peran Storage > Storage Object Creator terhadap Vertex AI dalam project tersebut. Pelajari lebih lanjut.
Memberikan Vertex AI akses ke resource di project rumah Anda
Untuk memberikan peran tambahan kepada agen layanan untuk Vertex AI di project rumah Anda:
Buka halaman IAM di Konsol Google Cloud untuk project rumah Anda.
Centang kotak Include Google-provided role grants.
Tentukan agen layanan yang ingin Anda beri izin, lalu klik ikon pensil .
Anda dapat memfilter Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com untuk menemukan agen layanan Vertex AI.
Berikan peran yang diperlukan ke akun layanan dan simpan perubahan Anda.
Memberikan Vertex AI akses ke resource di project yang berbeda
Saat menggunakan sumber data atau tujuan di project yang berbeda, Anda harus memberikan izin ke akun layanan Vertex AI dalam project tersebut. Akun layanan Vertex AI dibuat setelah Anda memulai tugas asinkron pertama (misalnya membuat endpoint). Anda juga dapat secara eksplisit membuat akun layanan Vertex AI menggunakan gcloud CLI dengan mengikuti petunjuk ini. Perintah gcloud ini akan membuat akun layanan default dan akun layanan kode kustom, meskipun hanya akun layanan default yang akan ditampilkan dalam respons.
Untuk menambahkan izin ke Vertex AI di project yang berbeda:
Buka halaman IAM di Konsol Google Cloud untuk project rumah Anda (project tempat Anda menggunakan Vertex AI).
Centang kotak Include Google-provided role grants.
Tentukan agen layanan yang ingin Anda beri izin dan salin alamat emailnya (tercantum di bagian Principal).
Anda dapat memfilter Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com untuk menemukan agen layanan Vertex AI.
Ubah project ke project yang perlu Anda berikan izin.
Klik Add, dan masukkan alamat email di New principals.
Tambahkan semua peran yang diperlukan, lalu klik Save.
Memberikan akses ke Google Spreadsheet
Jika menggunakan sumber data BigQuery eksternal yang didukung oleh Google Spreadsheet, Anda harus membagikan sheet dengan akun layanan Vertex AI. Akun layanan Vertex AI dibuat setelah Anda memulai tugas asinkron pertama (misalnya, membuat endpoint). Anda juga dapat secara eksplisit membuat akun layanan Vertex AI menggunakan gcloud CLI dengan mengikuti petunjuk ini.
Untuk memberikan otorisasi kepada Vertex AI agar dapat mengakses file Spreadsheet Anda:
Buka halaman IAM di Konsol Google Cloud.
Cari akun layanan dengan nama
Vertex AI Service Agent, lalu salin alamat emailnya (tercantum di bagian Principal).Buka file Spreadsheet dan bagikan kepada alamat tersebut.
Langkah berikutnya
- Pelajari lebih lanjut tentang IAM.
- Pelajari izin IAM tertentu dan operasi yang didukungnya.
- Untuk mempelajari cara yang direkomendasikan dalam menyiapkan project untuk tim, lihat Menyiapkan project untuk tim.
- Dapatkan ringkasan tentang Vertex AI.