Nesta página, descrevemos como usar o Identity and Access Management (IAM) para gerenciar o acesso aos recursos do Vertex AI Workbench. Para gerenciar o acesso às instâncias do Vertex AI Workbench, consulte Controle de acesso de instâncias do Vertex AI Workbench.
O Vertex AI Workbench usa o IAM para gerenciar o acesso aos recursos. É possível gerenciar o acesso no nível do projeto ou do recurso. Para conceder acesso a recursos no nível do projeto, atribua um ou mais papéis a um principal (usuário, grupo ou conta de serviço). Para conceder acesso a um recurso específico, defina uma política do IAM nesse recurso: o recurso precisa ser compatível com políticas no nível do recurso. A política define quais papéis são atribuídos a quais principais.
Há diferentes tipos de papéis do IAM que podem ser usados na Vertex AI:
Os papéis predefinidos permitem conceder um conjunto de permissões relacionadas aos recursos da Vertex AI no nível do projeto.
Os papéis básicos (proprietário, editor e visualizador) fornecem controle de acesso aos recursos da Vertex AI no nível do projeto e são comuns a todos os serviços do Google Cloud.
Os papéis personalizados permitem escolher um conjunto específico de permissões, criar seu próprio papel com elas e concedê-lo aos usuários da organização.
Para adicionar, atualizar ou remover esses papéis do projeto da Vertex AI, consulte a documentação sobre como conceder, alterar e revogar acesso.
Papéis predefinidos da Vertex AI
| Role | Permissions |
|---|---|
Vertex AI Administrator( Grants full access to all resources in Vertex AI |
|
Colab Enterprise Admin( Admin role of using colab enterprise. |
|
Colab Enterprise User( User role of using colab enterprise. |
|
Vertex AI Feature Store EntityType owner( Provides full access to all permissions for a particular entity type resource. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Admin( Grants full access to all resources in Vertex AI Feature Store Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Viewer( This role provides permissions to read Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Writer( This role provides permissions to read and write Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Instance Creator( Administrator of Featurestore resources, but not the child resources under Featurestores. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Resource Viewer( Viewer of all resources in Vertex AI Feature Store but cannot make changes. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store User Beta( Deprecated. Use featurestoreAdmin instead. |
|
Vertex AI Migration Service User( Grants access to use migration service in Vertex AI |
|
Notebook Executor User Beta( Grants users full access to schedules and notebook execution jobs. |
|
Notebook Runtime Admin( Grants full access to all runtime templates and runtimes in Notebook Service. |
|
Notebook Runtime User( Grants users permissions to create runtime resources using a runtime template and manage the runtime resources they created. |
|
Vertex AI Tensorboard Web App User Beta( Grants access to the Vertex AI TensorBoard web app. |
|
Vertex AI User( Grants access to use all resource in Vertex AI |
|
Vertex AI Viewer( Grants access to view all resource in Vertex AI |
|
Papéis básicos
Os papéis básicos mais antigos do Google Cloud são comuns a todos os serviços do Google Cloud. Esses papéis são de Proprietário, Editor e Visualizador.
Os papéis básicos fornecem permissões em todo o Google Cloud, não apenas na Vertex AI. Por esse motivo, use os papéis da Vertex AI sempre que possível.
Papéis personalizados
Se os papéis predefinidos do IAM para a Vertex AI não atenderem às suas necessidades, é possível definir papéis personalizados. Os papéis personalizados permitem escolher um conjunto específico de permissões, criar seu próprio papel com elas e concedê-lo aos usuários da organização. Para mais informações, consulte Noções básicas sobre papéis personalizados do IAM.
Políticas no nível do projeto e no nível do recurso
Definir uma política no nível do recurso não afeta as políticas no nível do projeto. Um recurso herda todas as políticas do ancestral. Você pode usar esses dois níveis de granularidade para personalizar permissões. Por exemplo, é possível conceder aos usuários permissões de leitura no nível do projeto para que eles leiam todos os recursos no projeto. Em seguida, conceda aos usuários permissões de gravação por recurso (no nível do recurso).
Nem todos os papéis e recursos predefinidos da Vertex AI são compatíveis com políticas no nível do recurso. Para ver quais papéis podem ser usados em quais recursos, veja as descrições de cada um.
Recursos compatíveis
A Vertex AI é compatível com a featurestore e os recursos de tipo de entidade da Vertex AI Feature Store. Para mais informações, consulte Controlar o acesso aos recursos da Vertex AI Feature Store.
Depois de conceder ou revogar o acesso a um recurso, essas alterações levam algum tempo para serem propagadas. Para mais informações, consulte Propagação de alteração de acesso.
Sobre contas de serviço e agentes de serviço
Contas de serviço
Uma conta de serviço é um tipo especial de conta usada por um aplicativo ou instância de máquina virtual (VM), não uma pessoa. É possível criar e atribuir permissões a contas de serviço para fornecer permissões específicas a um recurso ou aplicativo.
Para informações sobre como usar uma conta de serviço para personalizar as permissões disponíveis para um contêiner de treinamento personalizado ou um contêiner que disponibilize predições on-line para um modelo treinado personalizado, leiaComo usar uma conta de serviço personalizada para criar um anexo da VLAN de monitoramento.
As contas de serviço são identificadas por um endereço de e-mail.
Agentes de serviço
Os agentes de serviço são contas de serviço gerenciadas pelo Google que são fornecidas automaticamente. eles permitem que um serviço acesse recursos em seu nome.
Quando um agente de serviço é criado, ele recebe um papel predefinido para o projeto. A tabela a seguir lista os agentes de serviço da Vertex AI, os endereços de e-mail e os respectivos papéis:
| Nome | Usado para | Endereço de e-mail | Papel |
|---|---|---|---|
| Agente de serviço da Vertex AI | Recursos da Vertex AI | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
| Agente de serviço de código personalizado da Vertex AI | Código de treinamento personalizado | service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com |
roles/aiplatform.customCodeServiceAgent |
| Agente de serviço da extensão Vertex AI | Extensões do Vertex | service-PROJECT_NUMBER@gcp-sa-vertex-ex.iam.gserviceaccount.com |
roles/aiplatform.extensionServiceAgent |
| Conta de serviços do AI Platform Notebooks do Cloud | Recursos do Vertex AI Workbench | service-PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com |
roles/notebooks.serviceAgent |
O Agente de serviço de código personalizado da Vertex AI será criado somente se você executar um código de treinamento personalizado para treinar um modelo personalizado.
Papéis e permissões do agente de serviço
Confira os seguintes papéis e permissões concedidos aos agentes de serviço da Vertex AI.
| Papel | Permissões |
|---|---|
Agente de serviço da Vertex AI( Concede à Vertex AI as permissões necessárias para funcionar. |
|
Agente de serviço de código personalizado da Vertex AI( Concede as permissões adequadas ao código personalizado da Vertex AI. |
|
Agente de serviço do AI Platform Notebooks( Concede acesso de gerenciamento de instâncias de notebooks em projetos de usuário para agentes de serviço de notebooks |
|
Conceder aos agentes de serviço da Vertex AI acesso a outros recursos
Às vezes, é preciso conceder outros papéis a um agente de serviço da Vertex AI. Por exemplo, se você precisar que a Vertex AI acesse um bucket do Cloud Storage em um projeto diferente, será necessário conceder um ou mais papéis adicionais ao agente de serviço.
Requisitos de adição de papéis do BigQuery
A tabela a seguir descreve os papéis adicionais necessários para serem adicionados ao Agente de serviços da Vertex AI para tabelas do BigQuery ou visualização em um projeto diferente ou apoiado por uma fonte de dados externa.
O termo projeto inicial refere-se ao projeto em que o conjunto de dados ou o modelo da Vertex AI está localizado. O termo projeto diferente refere-se a qualquer outro projeto.
| Tipo de tabela | Projeto de tabela | Projeto de origem de dados | Adição de papel obrigatória |
|---|---|---|---|
| Tabela nativa do BigQuery | Projeto inicial | N/A | Nenhum |
| Tabela nativa do BigQuery | Projeto diferente | N/A | BigQuery Data Viewer para projetos diferentes. Saiba mais |
| Visualização do BigQuery | Projeto inicial | N/A | Nenhum |
| Visualização do BigQuery | Projeto diferente | N/A | BigQuery Data Viewer para projetos diferentes. Saiba mais |
| Fonte de dados externa do BigQuery com suporte do Bigtable | Projeto inicial | Projeto inicial | Bigtable Reader para projeto inicial. Saiba mais |
| Fonte de dados externa do BigQuery com suporte do Bigtable | Projeto inicial | Projeto diferente | Bigtable Reader para projetos diferentes. Saiba mais |
| Fonte de dados externa do BigQuery com suporte do Bigtable | Projeto diferente | Projeto diferente | BigQuery Reader e Bigtable Reader para projetos diferentes. Saiba mais |
| Fonte de dados externa do BigQuery com suporte do Cloud Storage | Projeto inicial | Projeto inicial | Nenhum |
| Fonte de dados externa do BigQuery com suporte do Cloud Storage | Projeto inicial | Projeto diferente | Storage Object Viewer para projetos diferentes. Saiba mais |
| Fonte de dados externa do BigQuery com suporte do Cloud Storage | Projeto diferente | Projeto diferente | Storage Object Viewer e BigQuery Data Viewer para projetos diferentes. Saiba mais |
| Fonte de dados externa do BigQuery com suporte do Planilhas Google | Projeto inicial | N/A | Compartilhe o arquivo do Planilhas com a conta de serviço da Vertex AI. Saiba mais. |
| Fonte de dados externa do BigQuery com suporte do Planilhas Google | Projeto diferente | N/A | BigQuery Reader para projeto diferente e compartilhe o arquivo do Planilhas com a conta de serviço da Vertex AI. |
Requisitos de adição de papéis para o Cloud Storage
Se você estiver acessando dados em um bucket do Cloud Storage em um projeto
diferente, será preciso conceder o papel Storage > Storage Object Viewer à
Vertex AI nesse projeto. Saiba mais.
Se você estiver usando um bucket do Cloud Storage a fim de receber dados do seu
computador local para uma operação de importação e esse bucket estiver em um projeto diferente do
projeto do Google Cloud, será preciso atribuir o papel Storage > Storage Object Creator
à Vertex AI nesse projeto. Saiba mais.
Conceder à Vertex AI acesso aos recursos no projeto inicial
Para conceder outros papéis a um agente de serviços da Vertex AI no projeto inicial:
Acesse a página do IAM no Console do Google Cloud para ver o projeto inicial.
Marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.
Determine o agente de serviços a que você quer conceder as permissões e clique no ícone de lápis .
É possível filtrar por Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com para encontrar os agentes de serviço da Vertex AI.
Conceda os papéis necessários à conta de serviço e salve as alterações.
Conceder à Vertex AI acesso aos recursos em um projeto diferente
Ao usar fontes de dados ou destinos em um projeto diferente, é preciso fornecer as permissões da conta de serviço da Vertex AI nesse projeto. A conta de serviço do Vertex AI é criada depois que você inicia o primeiro job assíncrono, como ao criar um endpoint, por exemplo. Também é possível criar explicitamente a conta de serviço da Vertex AI usando a CLI do gcloud seguindo estas instruções. Esse comando cria as contas de serviço padrão e de código personalizado, embora somente a conta de serviço padrão seja retornada na resposta.
Para adicionar permissões à Vertex AI em um projeto diferente:
Acesse a página do IAM no Console do Google Cloud para ver o projeto (em que você está usando o Vertex AI).
Marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.
Determine o agente de serviços a que você quer conceder as permissões e copie o endereço de e-mail, listado em Principal.
É possível filtrar por Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com para encontrar os agentes de serviço da Vertex AI.
Mude os projetos para aquele em que você precisa conceder as permissões.
Clique em Adicionar e insira o endereço de e-mail em Novos principais.
Adicione todos os papéis necessários e clique em Salvar.
Conceder acesso ao Planilhas Google
Se você estiver usando uma fonte de dados externa do BigQuery com suporte do Planilhas Google, compartilhe as planilhas com a conta de serviço da Vertex AI. A conta de serviço do Vertex AI é criada depois que você inicia o primeiro job assíncrono, como ao criar um endpoint, por exemplo. Também é possível criar explicitamente a conta de serviço da Vertex AI usando a CLI gcloud seguindo esta instrução.
Para autorizar a Vertex AI a acessar o arquivo do Planilhas:
Acesse a página IAM do Console do Google Cloud.
Procure a conta de serviço com o nome
Vertex AI Service Agente copie o endereço de e-mail, listado em Principal.Abra o arquivo do Planilhas Google e compartilhe-o com esse endereço.
A seguir
- Saiba mais sobre o IAM.
- Saiba mais sobre permissões específicas do IAM e as operações compatíveis.
- Tenha uma visão geral do Vertex AI.