In questa pagina viene descritto come utilizzare Identity and Access Management (IAM). per gestire l'accesso alle risorse Vertex AI. Per gestire l'accesso a Per le istanze di Vertex AI Workbench, vedi Istanze di Vertex AI Workbench il controllo dell'accesso.
Panoramica
Vertex AI utilizza IAM per gestire l'accesso alle risorse. Quando pianifichi il controllo dell'accesso per le tue risorse, tieni conto di quanto segue:
Puoi gestire l'accesso a livello di progetto o di risorsa. L'accesso a livello di progetto si applica a tutte le risorse in quel progetto. L'accesso a una risorsa specifica si applica solo a quella risorsa. Consulta la sezione Accesso a livello di progetto e a livello di risorsa.
Puoi concedere l'accesso assegnando i ruoli IAM alle entità. Sono disponibili ruoli predefiniti per semplificare la configurazione dell'accesso, ma si consigliano ruoli personalizzati perché li crei, quindi puoi limitandone l'accesso solo alle autorizzazioni necessarie. Consulta Ruoli IAM.
Ruoli IAM
Esistono diversi tipi di ruoli IAM che possono essere utilizzati in Vertex AI:
I ruoli personalizzati ti consentono di scegliere un insieme specifico di autorizzazioni, creare un ruolo con queste autorizzazioni e concedere il ruolo agli utenti della tua organizzazione.
I ruoli predefiniti ti consentono di concedere un insieme di autorizzazioni correlate alle tue risorse Vertex AI a livello di progetto.
I ruoli di base (Proprietario, Editor e Visualizzatore) offrono il controllo dell'accesso alle risorse Vertex AI a livello di progetto e sono comuni a tutti i servizi Google Cloud.
Per aggiungere, aggiornare o rimuovere questi ruoli nel tuo progetto Vertex AI, consulta la documentazione su come concedere, modificare e revocare l'accesso.
Ruoli personalizzati
I ruoli personalizzati ti consentono di scegliere un insieme specifico di autorizzazioni, creare il tuo ruolo con queste autorizzazioni e concederlo agli utenti della tua organizzazione. Per ulteriori informazioni, consulta Informazioni sui ruoli IAM personalizzati.
Utilizza ruoli personalizzati per concedere autorizzazioni con privilegi minimi
I ruoli predefiniti spesso contengono più autorizzazioni di quelle necessarie. Puoi creare ruoli personalizzati per concedere alle entità solo autorizzazioni specifiche richieste.
Ad esempio, puoi creare un ruolo personalizzato con
aiplatform.endpoints.predict
, quindi assegna il ruolo a
un account di servizio
su un endpoint. Questo concede all'account di servizio
di chiamare l'endpoint per le previsioni, ma non la capacità
controllare l'endpoint.
Ruoli predefiniti per Vertex AI
Role | Permissions |
---|---|
Vertex AI Administrator( Grants full access to all resources in Vertex AI |
|
Colab Enterprise Admin( Admin role of using colab enterprise. |
|
Colab Enterprise User( User role of using colab enterprise. |
|
Vertex AI Feature Store EntityType owner( Provides full access to all permissions for a particular entity type resource. Lowest-level resources where you can grant this role:
|
|
Vertex AI Platform Express Admin Beta( Grants admin access to Vertex AI Express |
|
Vertex AI Platform Express User Beta( Grants user access to Vertex AI Express |
|
Vertex AI Feature Store Admin( Grants full access to all resources in Vertex AI Feature Store Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Viewer( This role provides permissions to read Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Writer( This role provides permissions to read and write Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Instance Creator( Administrator of Featurestore resources, but not the child resources under Featurestores. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Resource Viewer( Viewer of all resources in Vertex AI Feature Store but cannot make changes. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store User Beta( Deprecated. Use featurestoreAdmin instead. |
|
Vertex AI Migration Service User( Grants access to use migration service in Vertex AI |
|
Notebook Executor User Beta( Grants users full access to schedules and notebook execution jobs. |
|
Notebook Runtime Admin( Grants full access to all runtime templates and runtimes in Notebook Service. |
|
Notebook Runtime User( Grants users permissions to create runtime resources using a runtime template and manage the runtime resources they created. |
|
Vertex AI Tensorboard Web App User Beta( Grants access to the Vertex AI TensorBoard web app. |
|
Vertex AI User( Grants access to use all resource in Vertex AI |
|
Vertex AI Viewer( Grants access to view all resource in Vertex AI |
|
Ruoli di base
I ruoli di base di Google Cloud precedenti sono comuni a tutti i servizi Google Cloud. Questi ruoli sono Proprietario, Editor e Visualizzatore.
Accesso a livello di progetto e di accesso a livello di risorsa
Puoi gestire l'accesso a livello di progetto o di risorsa. Tu potrebbe anche avere la possibilità di gestire l'accesso a livello di cartella o organizzazione.
Per la maggior parte delle risorse Vertex AI, l'accesso può essere controllato solo il progetto, la cartella e l'organizzazione. L'accesso alle singole risorse può essere concesso solo per tipi di risorse specifici, ad esempio un endpoint o un feature store.
Gli utenti condividono il controllo di tutte le risorse a cui possono accedere. Ad esempio, se un registra un modello, tutti gli altri utenti autorizzati nel progetto possono accedere, modificare ed eliminare il modello.
Per concedere l'accesso alle risorse a livello di progetto, assegna uno o più ruoli a un'entità (utente, gruppo o account di servizio).
Per le risorse Vertex AI che ti consentono di concedere l'accesso a livello di risorsa, imposta un criterio IAM su quella risorsa. Il criterio definisce quali ruoli vengono assegnati a quali entità.
L'impostazione di un criterio a livello di risorsa non influenzano i criteri a livello di progetto. Una risorsa eredita tutti i criteri di discendenza. Puoi utilizzare questi due livelli di granularità per personalizzare le autorizzazioni. Ad esempio, puoi concedere agli utenti autorizzazioni di lettura a livello di progetto, possono leggere tutte le risorse del progetto e tu puoi concedere agli utenti la possibilità di scrivere autorizzazioni per risorsa (a livello di risorsa).
Non tutti i ruoli e le risorse predefiniti di Vertex AI supportano a livello di risorsa. Per identificare i ruoli che possono essere utilizzati su quali risorse, consulta la tabella dei ruoli predefiniti.
Risorse supportate
Vertex AI supporta le risorse del Feature Store di Vertex AI e i tipi di entità. Per ulteriori informazioni, consulta Controllare l'accesso alle risorse di Vertex AI Feature Store.
Dopo aver concesso o revocato l'accesso a una risorsa, queste modifiche richiedono del tempo per essere propagate. Per scoprire di più, consulta Propagazione della modifica di accesso.
Risorse, account di servizio e agenti di servizio
I servizi Vertex AI spesso gestiscono risorse a lunga esecuzione che eseguono azioni, ad esempio l'esecuzione di un job di addestramento che legge i dati di addestramento, o di fornire un modello di machine learning (ML) che ne legge il peso. Queste risorse autonome hanno una propria identità quando l'esecuzione di azioni. Questa identità è diversa dall'identità l'entità che ha creato la risorsa. Le autorizzazioni concesse agli e risorse definiscono i dati e le altre risorse l'identità della risorsa può accedere, non le autorizzazioni dell'entità che ha creato la risorsa.
Per impostazione predefinita, le risorse Vertex AI utilizzano gli account di servizio gestiti da Vertex AI come identità della risorsa. Questi account di servizio sono chiamati agenti di servizio Vertex AI e sono collegati al progetto in cui viene creata la risorsa. Gli utenti con autorizzazioni Vertex AI specifiche possono creare risorse che utilizzano agenti di servizio Vertex AI. Per alcuni servizi puoi specificare un account di servizio da collegare alla risorsa. La risorsa utilizza questo account di servizio per accedere ad altre risorse e servizi. Per scoprire di più sugli account di servizio, consulta la sezione Account di servizio.
Vertex AI utilizza agenti di servizio diversi a seconda le API. Ogni agente di servizio dispone di autorizzazioni IAM specifiche per il progetto a cui è associato. Queste autorizzazioni vengono utilizzate dall'identità della risorsa per eseguire azioni, e le autorizzazioni possono includere l'accesso di sola lettura a tutti i Cloud Storage di risorse e dati BigQuery nel progetto.
Account di servizio
Un account di servizio è un account speciale utilizzato da un'applicazione o da un'istanza di macchina virtuale (VM), non da una persona. Puoi creare e assegnare autorizzazioni al servizio per concedere autorizzazioni specifiche a una risorsa o a un'applicazione.
Per informazioni sull'utilizzo di un account di servizio per personalizzare le autorizzazioni disponibili per un contenitore di addestramento personalizzato o un contenitore che fornisce previsioni online per un modello con addestramento personalizzato, leggi Utilizzare un account di servizio personalizzato.
Gli account di servizio sono identificati da un indirizzo email.
Agenti di servizio
Gli agenti di servizio vengono automaticamente provided; consentono a un servizio di accedere alle risorse per tuo conto.
Quando viene creato un agente di servizio, a quest'ultimo viene concesso un ruolo predefinito per il progetto. La tabella seguente elenca Vertex AI agenti di servizio, i relativi indirizzi email e i rispettivi ruoli:
Nome | Utilizzato per | Indirizzo email | Ruolo |
---|---|---|---|
Vertex AI Service Agent | Funzionalità di Vertex AI | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
Vertex AI Custom Code Service Agent |
Codice di addestramento personalizzato Codice dell'applicazione Ray on Vertex AI |
service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com |
roles/aiplatform.customCodeServiceAgent |
Vertex AI Extension Service Agent | Estensioni Vertex | service-PROJECT_NUMBER@gcp-sa-vertex-ex.iam.gserviceaccount.com |
roles/aiplatform.extensionServiceAgent |
Account di servizio Cloud AI Platform Notebooks | Funzionalità di Vertex AI Workbench | service-PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com |
roles/notebooks.serviceAgent |
L'agente di servizio del codice personalizzato Vertex AI viene creato solo se esegui il codice di addestramento personalizzato per addestrare un modello con addestramento personalizzato.
Ruoli e autorizzazioni dell'agente di servizio
Vedi i ruoli e le autorizzazioni seguenti concessi a Agenti di servizio Vertex AI.
Ruolo | Autorizzazioni |
---|---|
Vertex AI Service Agent( Concede a Vertex AI le autorizzazioni necessarie per il funzionamento. |
|
Vertex AI Custom Code Service Agent( Concede al codice personalizzato Vertex AI le autorizzazioni appropriate. |
|
AI Platform Notebooks Service Agent( Fornisce accesso per consentire all'agente di servizio Notebooks di gestire le istanze notebook nei progetti degli utenti |
|
Concedi agli agenti di servizio Vertex AI l'accesso ad altre risorse
A volte è necessario concedere altri ruoli a un agente di servizio Vertex AI. Ad esempio, se hai bisogno di Vertex AI per accedere a in un altro progetto, dovrai assegnare uno o più ruoli aggiuntivi all'agente di servizio.
Requisiti per l'aggiunta di ruoli per BigQuery
La tabella seguente descrive i ruoli aggiuntivi necessari da aggiungere all'agente di servizio Vertex AI per le tabelle o le visualizzazioni BigQuery in un progetto diverso o supportate da un'origine dati esterna.
Il termine progetto principale si riferisce al progetto in cui si trova il set di dati o il modello Vertex AI. Il termine diverso progetto si riferisce a qualsiasi altro progetto.
Tipo di tabella | Progetto tabella | Progetto origine dati | Aggiunta di ruoli richiesta |
---|---|---|---|
Tabella BigQuery nativa | Progetto di casa | N/D | Nessuno. |
Tabella BigQuery nativa | Progetto diverso | N/D | BigQuery Data Viewer per un progetto diverso. Scopri di più. |
Vista BigQuery | Progetto casa | N/D | Nessuno. |
Vista BigQuery | Progetto diverso | N/D | BigQuery Data Viewer per un progetto diverso. Scopri di più. |
Origine dati BigQuery esterna basata su Bigtable | Progetto di casa | Progetto casa | Bigtable Reader per il progetto Home. Scopri di più. |
Origine dati BigQuery esterna supportata da Bigtable | Progetto di casa | Progetto diverso | Bigtable Reader per un altro progetto. Scopri di più. |
Origine dati BigQuery esterna supportata da Bigtable | Progetto diverso | Progetto diverso | BigQuery Reader e Bigtable Reader per progetti diversi. Scopri di più. |
Origine dati BigQuery esterna basata su Cloud Storage | Progetto casa | Progetto di casa | Nessuno. |
Origine dati BigQuery esterna supportata da Cloud Storage | Progetto di casa | Progetto diverso | Storage Object Viewer per un progetto diverso. Scopri di più. |
Origine dati BigQuery esterna supportata da Cloud Storage | Progetto diverso | Progetto diverso | Storage Object Viewer e BigQuery Data Viewer per un altro progetto. Scopri di più. |
Origine dati BigQuery esterna supportata da Fogli Google | Progetto di casa | N/D | Condividi il file di Fogli con l'account di servizio Vertex AI. Scopri di più. |
Origine dati BigQuery esterna supportata da Fogli Google | Progetto diverso | N/D | BigQuery Reader per un progetto diverso e condividi il file di Fogli con l'account di servizio Vertex AI. |
Requisiti per l'aggiunta di ruoli per Cloud Storage
Se accedi ai dati in un bucket Cloud Storage di un altro progetto, devi assegnare il ruolo Storage > Storage Object Viewer
a Vertex AI in quel progetto. Scopri di più.
Se utilizzi un bucket Cloud Storage per ricevere dati dalla tua
computer per un'operazione di importazione e il bucket si trova in un progetto diverso da
progetto Google Cloud, devi fornire Storage > Storage Object Creator
a Vertex AI in quel progetto. Scopri di più.
Concedi l'accesso a Vertex AI alle risorse nel tuo progetto principale
Per concedere ruoli aggiuntivi a un agente di servizio per Vertex AI nel tuo progetto principale:
Vai alla pagina IAM della console Google Cloud per il tuo progetto home.
Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Stabilisci l'agente di servizio a cui vuoi concedere l'accesso autorizzazioni e fai clic sull'icona a forma di matita .
Puoi filtrare per Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com per trovare gli agenti di servizio Vertex AI.
Concedi i ruoli richiesti all'account di servizio e salva le modifiche.
Concedi l'accesso a Vertex AI alle risorse di un altro progetto
Quando utilizzi origini dati o destinazioni in un altro progetto, devi fornire le autorizzazioni dell'account di servizio Vertex AI in quel progetto. L'account di servizio Vertex AI viene creato dopo l'avvio del primo job asincrono (ad esempio, la creazione di un endpoint). Puoi anche creare esplicitamente l'account di servizio Vertex AI utilizzando gcloud CLI seguendo queste istruzioni. Questo comando gcloud creerà sia l'account di servizio predefinito sia l'account di servizio con codice personalizzato, anche se nella risposta verrà restituito solo l'account di servizio predefinito.
Per aggiungere autorizzazioni a Vertex AI in un altro progetto:
Vai alla pagina IAM della console Google Cloud per il tuo progetto principale (il progetto in cui utilizzi Vertex AI).
Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Determina l'agente di servizio a cui vuoi concedere le autorizzazioni e copia il relativo indirizzo email (elencato in Entità).
Puoi filtrare in base a Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com per trovare gli agenti di servizio Vertex AI.
Cambia progetto nel progetto in cui devi concedere le autorizzazioni.
Fai clic su Aggiungi e inserisci l'indirizzo email in Nuove entità.
Aggiungi tutti i ruoli richiesti e fai clic su Salva.
Fornire l'accesso a Fogli Google
Se utilizzi un'origine dati BigQuery esterna supportata da Fogli Google, devi condividere il foglio con l'account di servizio Vertex AI. L'account di servizio Vertex AI viene creato dopo l'avvio il primo job asincrono (ad esempio, la creazione di un endpoint). Puoi anche esplicitamente crea l'account di servizio Vertex AI mediante gcloud CLI seguendo questo istruzioni.
Per autorizzare Vertex AI ad accedere al file di Fogli:
Vai alla pagina IAM della console Google Cloud.
Cerca l'account di servizio con nome
Vertex AI Service Agent
e copia il relativo indirizzo email (indicato in Entità).Apri il file di Fogli e condividilo con quell'indirizzo.
Passaggi successivi
- Scopri di più su IAM.
- Scopri autorizzazioni IAM specifiche e le operazioni supportate.
- Per informazioni sui modi consigliati per configurare un progetto per un team, consulta Configura un progetto per un team.
- Panoramica di Vertex AI.