Controllo dell'accesso con IAM

Vertex AI utilizza Identity and Access Management (IAM) per gestire l'accesso alle risorse. Puoi gestire l'accesso a livello di progetto o di risorsa. Per concedere l'accesso alle risorse a livello di progetto, assegna uno o più ruoli a un'entità (utente, gruppo o account di servizio). Per concedere l'accesso a una risorsa specifica, imposta un criterio IAM per la risorsa. La risorsa deve supportare i criteri a livello di risorsa. Il criterio definisce i ruoli assegnati alle entità.

In Vertex AI sono disponibili diversi tipi di ruoli IAM:

  • I ruoli predefiniti consentono di concedere un set di autorizzazioni correlate alle risorse Vertex AI a livello di progetto.

  • I ruoli di base (Proprietario, Editor e Visualizzatore) forniscono il controllo dell'accesso alle tue risorse Vertex AI a livello di progetto e sono comuni a tutti i servizi Google Cloud.

  • I ruoli personalizzati consentono di scegliere un insieme specifico di autorizzazioni, creare il tuo ruolo e assegnarle agli utenti della tua organizzazione.

Per aggiungere, aggiornare o rimuovere questi ruoli nel progetto Vertex AI, consulta la documentazione su concessione, modifica e revoca dell'accesso.

Ruoli predefiniti per Vertex AI

Ruolo Autorizzazioni

Amministratore Vertex AI Beta
(roles/aiplatform.admin)

Concede l'accesso completo a tutte le risorse di Vertex AI

  • aiplatform.annotationSpecs.*
  • aiplatform.annotations.*
  • aiplatform.artifacts.*
  • aiplatform.batchPredictionJobs.*
  • aiplatform.contexts.*
  • aiplatform.customJobs.*
  • aiplatform.dataItem.*
  • aiplatform.dataLabelingJobs.*
  • aiplatform.set.*
  • aiplatform.deploymentResourcePools.*
  • aiplatform.edgeDeploymentJobs.*
  • aiplatform.edgeDeviceDebugInfo.*
  • aiplatform.edgeDevices.*
  • aiplatform.endpoints.*
  • aiplatform.entityTypes.create
  • aiplatform.entityTypes.delete
  • aiplatform.entityTypes.exportFeatureValues
  • aiplatform.entityTypes.get
  • aiplatform.entityTypes.importFeatureValues
  • aiplatform.entityTypes.list
  • aiplatform.entityTypes.readFeatureValues
  • aiplatform.entityTypes.streamingReadFeatureValues
  • aiplatform.entityTypes.update
  • aiplatform.entityTypes.writeFeatureValues
  • aiplatform.executions.*
  • aiplatform.features.*
  • aiplatform.store di caratteristiche.batchReadFeatureValues
  • aiplatform.featurestores.create
  • aiplatform.featurestores.delete
  • aiplatform.featurestores.exportFeatures
  • aiplatform.featurestores.get
  • aiplatform.featurestores.importFunzionalità
  • aiplatform.featurestores.list
  • aiplatform.featurestores.readFeatures
  • aiplatform.featurestores.update
  • aiplatform.featurestores.writeFunzionalità
  • aiplatform.uma.InTheLoops.*
  • aiplatform.hyperparameterTuningJobs.*
  • aiplatform.indexEndpoints.*
  • aiplatform.indexes.*
  • aiplatform.locations.*
  • aiplatform.metadataSchemas.*
  • aiplatform.metadataStores.*
  • aiplatform.migratableResources.*
  • aiplatform.modelDeploymentMonitoringJobs.*
  • aiplatform.modelEvaluationSlices.*
  • aiplatform.modelEvaluations.*
  • aiplatform.models.*
  • aiplatform.nasJobs.*
  • aiplatform.operations.*
  • aiplatform.pipelineJobs.*
  • aiplatform.specialistPools.*
  • aiplatform.studies.*
  • aiplatform.tensorboardExperiments.*
  • aiplatform.tensorboardRuns.*
  • aiplatform.tensorboardTimeSeries.*
  • aiplatform.tensorboards.*
  • aiplatform.trainingPipelines.*
  • aiplatform.trials.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Proprietario entità entità Vertex AI Beta
(roles/aiplatform.entityTypeOwner)

Fornisce l'accesso completo a tutte le autorizzazioni per una particolare risorsa del tipo di entità.

Risorse di livello inferiore in cui puoi concedere questo ruolo:

  • Tipo di entità
  • aiplatform.entityTypes.delete
  • aiplatform.entityTypes.exportFeatureValues
  • aiplatform.entityTypes.get
  • aiplatform.entityTypes.getIamPolicy
  • aiplatform.entityTypes.importFeatureValues
  • aiplatform.entityTypes.readFeatureValues
  • aiplatform.entityTypes.setIamPolicy
  • aiplatform.entityTypes.streamingReadFeatureValues
  • aiplatform.entityTypes.update
  • aiplatform.entityTypes.writeFeatureValues
  • aiplatform.features.*
  • aiplatform.store di caratteristiche.batchReadFeatureValues
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Amministratore Vertex AI Feature Store Beta
(roles/aiplatform.featurestoreAdmin)

Concede l'accesso completo a tutte le risorse di Vertex AI Feature Store

Risorse di livello inferiore in cui puoi concedere questo ruolo:

  • Tipo di entità
  • aiplatform.entityTypes.*
  • aiplatform.features.*
  • aiplatform.featurestores.*
  • aiplatform.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizzatore dati Feature Store Vertex AI Beta
(roles/aiplatform.featurestoreDataViewer)

Questo ruolo fornisce le autorizzazioni per leggere i dati delle caratteristiche.

Risorse di livello inferiore in cui puoi concedere questo ruolo:

  • Tipo di entità
  • aiplatform.entityTypes.exportFeatureValues
  • aiplatform.entityTypes.get
  • aiplatform.entityTypes.readFeatureValues
  • aiplatform.entityTypes.streamingReadFeatureValues
  • aiplatform.features.get
  • aiplatform.features.list
  • aiplatform.store di caratteristiche.batchReadFeatureValues
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Writer dati Vertex AI Feature Store Beta
(roles/aiplatform.featurestoreDataWriter)

Questo ruolo fornisce le autorizzazioni per leggere e scrivere dati delle caratteristiche.

Risorse di livello inferiore in cui puoi concedere questo ruolo:

  • Tipo di entità
  • aiplatform.entityTypes.exportFeatureValues
  • aiplatform.entityTypes.get
  • aiplatform.entityTypes.importFeatureValues
  • aiplatform.entityTypes.readFeatureValues
  • aiplatform.entityTypes.streamingReadFeatureValues
  • aiplatform.entityTypes.writeFeatureValues
  • aiplatform.features.get
  • aiplatform.features.list
  • aiplatform.store di caratteristiche.batchReadFeatureValues
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Creatore di istanze Feature Store Vertex AI Beta
(roles/aiplatform.featurestoreInstanceCreator)

Può amministrare le risorse di un archivio di caratteristiche, ma non le relative risorse figlio.

Risorse di livello inferiore in cui puoi concedere questo ruolo:

  • Featurestore
  • aiplatform.featurestores.create
  • aiplatform.featurestores.delete
  • aiplatform.featurestores.get
  • aiplatform.featurestores.list
  • aiplatform.featurestores.update

Visualizzatore risorse Feature Store Vertex AI Beta
(roles/aiplatform.featurestoreResourceViewer)

Può visualizzare tutte le risorse del Feature Store Vertex AI, ma non può apportare modifiche.

Risorse di livello inferiore in cui puoi concedere questo ruolo:

  • Tipo di entità
  • aiplatform.entityTypes.get
  • aiplatform.entityTypes.list
  • aiplatform.features.get
  • aiplatform.features.list
  • aiplatform.featurestores.get
  • aiplatform.featurestores.list
  • aiplatform.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Utente di Feature Store Vertex AI Beta
(roles/aiplatform.featurestoreUser)

Deprecato. Usa featurestoreAdmin.

  • aiplatform.entityTypes.*
  • aiplatform.features.*
  • aiplatform.featurestores.*
  • aiplatform.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Utente del servizio di migrazione AI Vertex Beta
(roles/aiplatform.migrator)

Concede l'accesso per utilizzare il servizio di migrazione di Vertex AI

  • aiplatform.migratableResources.*

Utente app web Vertex AI TensorBoard Beta
(roles/aiplatform.tensorboardWebAppUser)

Concede l'accesso all'app web Vertex AI Tensorboard. L'utilizzo dell'app web comporta addebiti.

  • aiplatform.tensorboards.recordAccess

Utente Vertex AI Beta
(roles/aiplatform.user)

Concede l'accesso per utilizzare tutte le risorse di Vertex AI

  • aiplatform.annotationSpecs.*
  • aiplatform.annotations.*
  • aiplatform.artifacts.*
  • aiplatform.batchPredictionJobs.*
  • aiplatform.contexts.*
  • aiplatform.customJobs.*
  • aiplatform.dataItem.*
  • aiplatform.dataLabelingJobs.*
  • aiplatform.set.*
  • aiplatform.deploymentResourcePools.*
  • aiplatform.edgeDeploymentJobs.*
  • aiplatform.edgeDeviceDebugInfo.*
  • aiplatform.edgeDevices.*
  • aiplatform.endpoints.*
  • aiplatform.entityTypes.create
  • aiplatform.entityTypes.delete
  • aiplatform.entityTypes.exportFeatureValues
  • aiplatform.entityTypes.get
  • aiplatform.entityTypes.importFeatureValues
  • aiplatform.entityTypes.list
  • aiplatform.entityTypes.readFeatureValues
  • aiplatform.entityTypes.streamingReadFeatureValues
  • aiplatform.entityTypes.update
  • aiplatform.entityTypes.writeFeatureValues
  • aiplatform.executions.*
  • aiplatform.features.*
  • aiplatform.store di caratteristiche.batchReadFeatureValues
  • aiplatform.featurestores.create
  • aiplatform.featurestores.delete
  • aiplatform.featurestores.exportFeatures
  • aiplatform.featurestores.get
  • aiplatform.featurestores.importFunzionalità
  • aiplatform.featurestores.list
  • aiplatform.featurestores.readFeatures
  • aiplatform.featurestores.update
  • aiplatform.featurestores.writeFunzionalità
  • aiplatform.uma.InTheLoops.*
  • aiplatform.hyperparameterTuningJobs.*
  • aiplatform.indexEndpoints.*
  • aiplatform.indexes.*
  • aiplatform.locations.*
  • aiplatform.metadataSchemas.*
  • aiplatform.metadataStores.*
  • aiplatform.modelDeploymentMonitoringJobs.*
  • aiplatform.modelEvaluationSlices.*
  • aiplatform.modelEvaluations.*
  • aiplatform.models.*
  • aiplatform.nasJobs.*
  • aiplatform.operations.*
  • aiplatform.pipelineJobs.*
  • aiplatform.specialistPools.*
  • aiplatform.studies.*
  • aiplatform.tensorboardExperiments.*
  • aiplatform.tensorboardRuns.*
  • aiplatform.tensorboardTimeSeries.*
  • aiplatform.tensorboards.create
  • aiplatform.tensorboards.delete
  • aiplatform.tensorboards.get
  • aiplatform.tensorboards.list
  • aiplatform.tensorboards.update
  • aiplatform.trainingPipelines.*
  • aiplatform.trials.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizzatore Vertex AI Beta
(roles/aiplatform.viewer)

Concede l'accesso per visualizzare tutte le risorse di Vertex AI

  • aiplatform.annotationSpecs.get
  • aiplatform.annotationSpecs.list
  • aiplatform.annotations.get
  • aiplatform.annotations.list
  • aiplatform.artifacts.get
  • aiplatform.artifacts.list
  • aiplatform.batchPredictionJobs.get
  • aiplatform.batchPredictionJobs.list
  • aiplatform.contexts.get
  • aiplatform.contexts.list
  • aiplatform.contexts.queryContextLineageSubgraph
  • aiplatform.customJobs.get
  • aiplatform.customJobs.list
  • aiplatform.dataitems.get
  • aiplatform.dataItem.list
  • aiplatform.dataLabelingJobs.get
  • aiplatform.dataLabelingJobs.list
  • aiplatform.set.get
  • aiplatform.set.list
  • aiplatform.deploymentResourcePools.get
  • aiplatform.deploymentResourcePools.list
  • aiplatform.deploymentResourcePools.queryDeploymentedmodels
  • aiplatform.edgeDeploymentJobs.get
  • aiplatform.edgeDeploymentJobs.list
  • aiplatform.edgeDeviceDebugInfo.*
  • aiplatform.edgeDevices.get
  • aiplatform.edgeDevices.list
  • aiplatform.endpoints.get
  • aiplatform.endpoints.list
  • aiplatform.entityTypes.get
  • aiplatform.entityTypes.list
  • aiplatform.executions.get
  • aiplatform.executions.list
  • aiplatform.executions.queryExecutionInputsAndOutputs
  • aiplatform.features.get
  • aiplatform.features.list
  • aiplatform.featurestores.get
  • aiplatform.featurestores.list
  • aiplatform.uma.InTheLoops.get
  • aiplatform.uma.InTheLoops.list
  • aiplatform.hyperparameterTuningJobs.get
  • aiplatform.hyperparameterTuningJobs.list
  • aiplatform.indexEndpoints.get
  • aiplatform.indexEndpoints.list
  • aiplatform.indexes.get
  • aiplatform.indexes.list
  • aiplatform.locations.*
  • aiplatform.metadataSchemas.get
  • aiplatform.metadataSchemas.list
  • aiplatform.metadataStores.get
  • aiplatform.metadataStores.list
  • aiplatform.modelDeploymentMonitoringJobs.get
  • aiplatform.modelDeploymentMonitoringJobs.Elenco
  • aiplatform.modelDeploymentMonitoringJobs.Anomalie di ricerca
  • aiplatform.modelEvaluationSlices.*
  • aiplatform.modelevaluations.get
  • aiplatform.modelEvaluations.list
  • aiplatform.models.get
  • aiplatform.models.list
  • aiplatform.nasJobs.get
  • aiplatform.nasJobs.list
  • aiplatform.operations.*
  • aiplatform.pipelineJobs.get
  • aiplatform.pipelineJobs.list
  • aiplatform.specialistPools.get
  • aiplatform.specialistPools.list
  • aiplatform.specialistPools.update
  • aiplatform.studies.get
  • aiplatform.studies.list
  • aiplatform.tensorboardExperiments.get
  • aiplatform.tensorboardExperiments.list
  • aiplatform.tensorboardRuns.get
  • aiplatform.tensorboardRuns.list
  • aiplatform.tensorboardTimeSeries.batchRead
  • aiplatform.tensorboardTimeSeries.get
  • aiplatform.tensorboardTimeSeries.list
  • aiplatform.tensorboardTimeSeries.read
  • aiplatform.tensorboards.get
  • aiplatform.tensorboards.list
  • aiplatform.trainingPipelines.get
  • aiplatform.trainingPipelines.list
  • aiplatform.trials.get
  • aiplatform.trials.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Ruoli di base

I ruoli di base di Google Cloud precedenti sono comuni a tutti i servizi Google Cloud. Questi ruoli sono Proprietario, Editor e Visualizzatore.

I ruoli di base forniscono le autorizzazioni su Google Cloud, non solo per Vertex AI. Per questo motivo, dovresti utilizzare i ruoli Vertex AI quando possibile.

Ruoli personalizzati

Se i ruoli IAM predefiniti per Vertex AI non soddisfano le tue esigenze, puoi definire ruoli personalizzati. I ruoli personalizzati consentono di scegliere un insieme specifico di autorizzazioni, creare il tuo ruolo con queste autorizzazioni e concedere il ruolo agli utenti della tua organizzazione. Per ulteriori informazioni, consulta Comprendere i ruoli personalizzati IAM.

Criteri a livello di progetto e a livello di risorsa

L'impostazione di un criterio a livello di risorsa non influisce sui criteri a livello di progetto. Una risorsa eredita tutti i criteri dalla sua origine. Puoi utilizzare questi due livelli di granularità per personalizzare le autorizzazioni. Ad esempio, puoi concedere agli utenti le autorizzazioni di lettura a livello di progetto in modo che possano leggere tutte le risorse del progetto e quindi concedere agli utenti le autorizzazioni di scrittura per risorsa (a livello di risorsa).

Non tutti i ruoli e le risorse predefiniti di Vertex AI supportano i criteri a livello di risorsa. Per vedere quali ruoli possono essere utilizzati nelle risorse, visualizza le descrizioni di ogni ruolo.

Risorse supportate

Vertex AI supporta l'archivio di caratteristiche e le risorse del tipo di entità di Vertex AI. Per ulteriori informazioni, consulta Controllare l'accesso alle risorse di Feature Store Vertex AI.

Dopo aver concesso o revocato l'accesso a una risorsa, le modifiche richiedono del tempo per propagarsi. Per ulteriori informazioni, consulta le domande frequenti su IAM.

Informazioni sugli account di servizio e sugli agenti di servizio

Account di servizio

Un account di servizio è un tipo speciale di account utilizzato da un'applicazione o da un'istanza di macchina virtuale (VM), non da una persona fisica. Puoi creare autorizzazioni e assegnarle agli account di servizio per fornire autorizzazioni specifiche a una risorsa o a un'applicazione.

Per informazioni sull'utilizzo di un account di servizio per personalizzare le autorizzazioni disponibili per un container di addestramento personalizzato o per un container che fornisce previsioni online per un modello addestrato personalizzato, consulta l'articolo Utilizzo di un account di servizio personalizzato.

Gli account di servizio sono identificati da un indirizzo email.

Agenti di servizio

Gli agenti di servizio sono account di servizio gestiti da Google che vengono forniti automaticamente; consentono a un servizio di accedere alle risorse per tuo conto. Vertex AI utilizza questi agenti di servizio:

Nome Utilizzato per Indirizzo email
Agente di servizio Vertex AI Funzionalità di Vertex AI service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com
Agente di servizio del codice personalizzato Vertex AI Codice di addestramento personalizzato service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com

L'agente di servizio codice personalizzato Vertex AI viene creato solo se esegui il codice di addestramento personalizzato per addestrare un modello personalizzato.

Una volta creato, a ogni agente di servizio viene concesso uno dei seguenti ruoli predefiniti per il tuo progetto. A ogni agente di servizio viene concesso il ruolo che corrisponde al suo nome.

Ruolo Titolo Descrizione Autorizzazioni
roles/aiplatform.serviceAgent Agente di servizio Vertex AI

Concede a Vertex AI le autorizzazioni necessarie per il funzionamento.

  • aiplatform.annotationSpecs.*
  • aiplatform.annotations.*
  • aiplatform.artifacts.*
  • aiplatform.batchPredictionJobs.*
  • aiplatform.contexts.*
  • aiplatform.customJobs.*
  • aiplatform.dataItem.*
  • aiplatform.dataLabelingJobs.*
  • aiplatform.set.*
  • aiplatform.deploymentResourcePools.*
  • aiplatform.edgeDeploymentJobs.*
  • aiplatform.edgeDeviceDebugInfo.*
  • aiplatform.edgeDevices.*
  • aiplatform.endpoints.*
  • aiplatform.entityTypes.create
  • aiplatform.entityTypes.delete
  • aiplatform.entityTypes.exportFeatureValues
  • aiplatform.entityTypes.get
  • aiplatform.entityTypes.importFeatureValues
  • aiplatform.entityTypes.list
  • aiplatform.entityTypes.readFeatureValues
  • aiplatform.entityTypes.streamingReadFeatureValues
  • aiplatform.entityTypes.update
  • aiplatform.entityTypes.writeFeatureValues
  • aiplatform.executions.*
  • aiplatform.features.*
  • aiplatform.store di caratteristiche.batchReadFeatureValues
  • aiplatform.featurestores.create
  • aiplatform.featurestores.delete
  • aiplatform.featurestores.exportFeatures
  • aiplatform.featurestores.get
  • aiplatform.featurestores.importFunzionalità
  • aiplatform.featurestores.list
  • aiplatform.featurestores.readFeatures
  • aiplatform.featurestores.update
  • aiplatform.featurestores.writeFunzionalità
  • aiplatform.uma.InTheLoops.*
  • aiplatform.hyperparameterTuningJobs.*
  • aiplatform.indexEndpoints.*
  • aiplatform.indexes.*
  • aiplatform.locations.*
  • aiplatform.metadataSchemas.*
  • aiplatform.metadataStores.*
  • aiplatform.modelDeploymentMonitoringJobs.*
  • aiplatform.modelEvaluationSlices.*
  • aiplatform.modelEvaluations.*
  • aiplatform.models.*
  • aiplatform.nasJobs.*
  • aiplatform.operations.*
  • aiplatform.pipelineJobs.*
  • aiplatform.specialistPools.*
  • aiplatform.studies.*
  • aiplatform.tensorboardExperiments.*
  • aiplatform.tensorboardRuns.*
  • aiplatform.tensorboardTimeSeries.*
  • aiplatform.tensorboards.create
  • aiplatform.tensorboards.delete
  • aiplatform.tensorboards.get
  • aiplatform.tensorboards.list
  • aiplatform.tensorboards.update
  • aiplatform.trainingPipelines.*
  • aiplatform.trials.*
  • artifactregistry.repositories.create
  • artefatti.repository.downloadartefatti
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artefatti.repository.uploadArtifact
  • artifactregistry.tags.get
  • artifactregistry.versions.get
  • automl.set.export
  • automl.set.get
  • automl.set.list
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.tableSpecs.get
  • bigquery.set.create
  • bigquery.set.get
  • bigquery.jobs.create
  • bigquery.jobs.get
  • bigquery.models.export
  • bigquery.readsessions.create
  • bigquery.tables.create
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigtable.tables.get
  • bigtable.tables.list
  • bigtable.tables.readRows
  • compute.machineTypes.get
  • Flusso di lavoro.*
  • json.messages.*
  • Dataflow.metrics.*
  • Dataflow.snapshots.*
  • datalabeling.annotatedset.get
  • datalabeling.set.export
  • datalabeling.set.get
  • datalabeling.set.list
  • datalabeling.operations.get
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.getAccessToken
  • logging.logEntries.create
  • ml.models.list
  • ml.operations.get
  • ml.versions.get
  • ml.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use
  • storage.buckets.create
  • storage.buckets.delete
  • storage.buckets.get
  • storage.buckets.list
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update
roles/aiplatform.customCodeServiceAgent Agente di servizio del codice personalizzato Vertex AI

Concede al codice personalizzato Vertex AI le autorizzazioni appropriate.

  • aiplatform.annotationSpecs.*
  • aiplatform.annotations.*
  • aiplatform.artifacts.*
  • aiplatform.batchPredictionJobs.*
  • aiplatform.contexts.*
  • aiplatform.customJobs.*
  • aiplatform.dataItem.*
  • aiplatform.dataLabelingJobs.*
  • aiplatform.set.*
  • aiplatform.deploymentResourcePools.*
  • aiplatform.edgeDeploymentJobs.*
  • aiplatform.edgeDeviceDebugInfo.*
  • aiplatform.edgeDevices.*
  • aiplatform.endpoints.*
  • aiplatform.entityTypes.create
  • aiplatform.entityTypes.delete
  • aiplatform.entityTypes.exportFeatureValues
  • aiplatform.entityTypes.get
  • aiplatform.entityTypes.importFeatureValues
  • aiplatform.entityTypes.list
  • aiplatform.entityTypes.readFeatureValues
  • aiplatform.entityTypes.streamingReadFeatureValues
  • aiplatform.entityTypes.update
  • aiplatform.entityTypes.writeFeatureValues
  • aiplatform.executions.*
  • aiplatform.features.*
  • aiplatform.store di caratteristiche.batchReadFeatureValues
  • aiplatform.featurestores.create
  • aiplatform.featurestores.delete
  • aiplatform.featurestores.exportFeatures
  • aiplatform.featurestores.get
  • aiplatform.featurestores.importFunzionalità
  • aiplatform.featurestores.list
  • aiplatform.featurestores.readFeatures
  • aiplatform.featurestores.update
  • aiplatform.featurestores.writeFunzionalità
  • aiplatform.uma.InTheLoops.*
  • aiplatform.hyperparameterTuningJobs.*
  • aiplatform.indexEndpoints.*
  • aiplatform.indexes.*
  • aiplatform.locations.*
  • aiplatform.metadataSchemas.*
  • aiplatform.metadataStores.*
  • aiplatform.modelDeploymentMonitoringJobs.*
  • aiplatform.modelEvaluationSlices.*
  • aiplatform.modelEvaluations.*
  • aiplatform.models.*
  • aiplatform.nasJobs.*
  • aiplatform.operations.*
  • aiplatform.pipelineJobs.*
  • aiplatform.specialistPools.*
  • aiplatform.studies.*
  • aiplatform.tensorboardExperiments.*
  • aiplatform.tensorboardRuns.*
  • aiplatform.tensorboardTimeSeries.*
  • aiplatform.tensorboards.create
  • aiplatform.tensorboards.delete
  • aiplatform.tensorboards.get
  • aiplatform.tensorboards.list
  • aiplatform.tensorboards.update
  • aiplatform.trainingPipelines.*
  • aiplatform.trials.*
  • artefatti.repository.downloadartefatti
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.tags.get
  • artifactregistry.versions.get
  • bigquery.set.create
  • bigquery.set.get
  • bigquery.jobs.create
  • bigquery.jobs.get
  • bigquery.readsessions.create
  • bigquery.readsessions.getData
  • bigquery.tables.create
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.update
  • bigquery.tables.updateData
  • iam.serviceAccounts.get
  • iam.serviceAccounts.getAccessToken
  • iam.serviceAccounts.getOpenIdToken
  • iam.serviceAccounts.implicitDelegation
  • iam.serviceAccounts.list
  • iam.serviceAccounts.signBlob
  • iam.serviceAccounts.signJwt
  • logging.logEntries.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use
  • storage.buckets.create
  • storage.buckets.delete
  • storage.buckets.get
  • storage.buckets.list
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update

Concedere agli agenti di servizio Vertex AI l'accesso ad altre risorse

A volte è necessario concedere ruoli aggiuntivi a un agente di servizio Vertex AI. Ad esempio, se hai bisogno di Vertex AI per accedere a un bucket Cloud Storage in un progetto diverso, devi concedere uno o più ruoli aggiuntivi all'agente di servizio.

Requisiti per l'aggiunta di ruoli per BigQuery

Nella tabella seguente sono descritti i ruoli aggiuntivi richiesti che devono essere aggiunti alle tabelle o alla visualizzazione dell'agente di servizio Vertex AI per BigQuery in un progetto diverso o supportati da un'origine dati esterna.

Il termine progetto a casa si riferisce al progetto in cui si trova il set di dati o il modello AI Verx. Il termine progetto diverso fa riferimento a qualsiasi altro progetto.

Tipo di tabella Progetto di tabella Progetto origine dati Aggiunta del ruolo obbligatoria
Tabella BigQuery nativa Progetto di casa N/A Nessuno.
Tabella BigQuery nativa Progetto diverso N/A BigQuery Data Viewer per un progetto diverso. Scopri di più.
Vista BigQuery Progetto di casa N/A Nessuno.
Vista BigQuery Progetto diverso N/A BigQuery Data Viewer per un progetto diverso. Scopri di più.
Origine dati BigQuery esterna supportata da Bigtable Progetto di casa Progetto di casa Bigtable Reader per il progetto domestico. Scopri di più.
Origine dati BigQuery esterna supportata da Bigtable Progetto di casa Progetto diverso Bigtable Reader per un progetto diverso. Scopri di più.
Origine dati BigQuery esterna supportata da Bigtable Progetto diverso Progetto diverso BigQuery Reader e Bigtable Reader per un progetto diverso. Scopri di più.
Origine dati BigQuery esterna supportata da Cloud Storage Progetto di casa Progetto di casa Nessuno.
Origine dati BigQuery esterna supportata da Cloud Storage Progetto di casa Progetto diverso Storage Object Viewer per un progetto diverso. Scopri di più.
Origine dati BigQuery esterna supportata da Cloud Storage Progetto diverso Progetto diverso Storage Object Viewer e BigQuery Data Viewer per un progetto diverso. Scopri di più.
Origine dati BigQuery esterna supportata da Fogli Google Progetto di casa N/A Condividi il tuo file di Fogli con l'account di servizio Vertex AI. Scopri di più.
Origine dati BigQuery esterna supportata da Fogli Google Progetto diverso N/A BigQuery Reader per un progetto diverso e condividi il tuo file di Fogli con l'account di servizio Vertex AI.

Requisiti per l'aggiunta di ruoli per Cloud Storage

Se accedi ai dati in un bucket Cloud Storage in un progetto diverso, devi assegnare il ruolo Storage > Storage Object Viewer a Vertex AI in tale progetto. Scopri di più.

Se utilizzi un bucket Cloud Storage per ricevere dati dal computer locale per un'operazione di importazione e il bucket si trova in un progetto diverso da quello del progetto Cloud, devi assegnare il ruolo Storage > Storage Object Creator a Vertex AI in tale progetto. Scopri di più.

Concedi l'accesso a Vertex AI alle risorse nel tuo progetto per la casa

Per concedere ruoli aggiuntivi a un agente di servizio per Vertex AI nel tuo progetto home:

  1. Vai alla pagina IAM di Cloud Console per il tuo progetto home.

    Vai alla pagina IAM

  2. Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.

  3. Stabilisci l'agente di servizio a cui vuoi concedere le autorizzazioni e fai clic sull'icona a forma di matita .

    Puoi filtrare per Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com per trovare gli agenti di servizio Vertex AI.

  4. Concedi i ruoli necessari all'account di servizio e salva le modifiche.

Concedi l'accesso a Vertex AI alle risorse in un altro progetto

Quando utilizzi origini dati o destinazioni in un progetto diverso, devi concedere le autorizzazioni all'account di servizio Vertex AI nel progetto. L'account di servizio Vertex AI viene creato dopo l'avvio del primo job asincrono (ad esempio, la creazione di un endpoint). Puoi anche creare esplicitamente l'account di servizio Vertex AI tramite gcloud seguendo queste istruzioni.

Per aggiungere autorizzazioni a Vertex AI in un progetto diverso:

  1. Vai alla pagina IAM di Cloud Console per il tuo progetto home (il progetto in cui utilizzi Vertex AI).

    Vai alla pagina IAM

  2. Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.

  3. Stabilisci l'agente di servizio a cui vuoi concedere le autorizzazioni e copiarne l'indirizzo email (elencato in Entità).

    Puoi filtrare per Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com per trovare gli agenti di servizio Vertex AI.

  4. Cambia i progetti nel progetto in cui devi concedere le autorizzazioni.

  5. Fai clic su Aggiungi e inserisci l'indirizzo email in Nuove entità.

  6. Aggiungi tutti i ruoli richiesti e fai clic su Salva.

Fornisci accesso a Fogli Google

Se utilizzi un'origine dati BigQuery esterna supportata da Fogli Google, devi condividere il foglio con l'account di servizio Vertex AI. L'account di servizio Vertex AI viene creato dopo aver avviato il primo job asincrono (ad esempio durante la creazione di un endpoint). Puoi anche creare esplicitamente l'account di servizio Vertex AI tramite gcloud seguendo questa istruzione.

Per autorizzare Vertex AI ad accedere al tuo file di Fogli:

  1. Vai alla pagina IAM di Cloud Console.

    Vai alla pagina IAM

  2. Cerca l'account di servizio con il nome Vertex AI Service Agent e copiane l'indirizzo email (elencato in Principal).

  3. Apri il file di Fogli e condividilo con quell'indirizzo.

Passaggi successivi