Questa pagina descrive come utilizzare Identity and Access Management (IAM) per gestire l'accesso alle risorse Vertex AI. Per gestire l'accesso alle istanze di Vertex AI Workbench, consulta Controllo dell'accesso per le istanze di Vertex AI Workbench.
Vertex AI utilizza IAM per gestire l'accesso alle risorse. Puoi gestire l'accesso a livello di progetto o di risorsa. Per concedere l'accesso alle risorse a livello di progetto, assegna uno o più ruoli a un'entità (utente, gruppo o account di servizio). Per concedere l'accesso a una risorsa specifica, imposta un criterio IAM sulla risorsa. La risorsa deve supportare i criteri a livello di risorsa. Il criterio definisce i ruoli assegnati a ciascuna entità.
In Vertex AI possono essere utilizzati diversi tipi di ruoli IAM:
I ruoli predefiniti consentono di concedere un insieme di autorizzazioni correlate alle risorse Vertex AI a livello di progetto.
I ruoli di base (Proprietario, Editor e Visualizzatore) forniscono il controllo dell'accesso alle tue risorse Vertex AI a livello di progetto e sono comuni a tutti i servizi Google Cloud.
I ruoli personalizzati consentono di scegliere un insieme specifico di autorizzazioni, creare il proprio ruolo con tali autorizzazioni e concedere il ruolo agli utenti della tua organizzazione.
Per aggiungere, aggiornare o rimuovere questi ruoli nel progetto Vertex AI, consulta la documentazione su come concedere, modificare e revocare l'accesso.
Ruoli predefiniti per Vertex AI
| Role | Permissions |
|---|---|
Vertex AI Administrator( Grants full access to all resources in Vertex AI |
|
Colab Enterprise Admin( Admin role of using colab enterprise. |
|
Colab Enterprise User( User role of using colab enterprise. |
|
Vertex AI Feature Store EntityType owner( Provides full access to all permissions for a particular entity type resource. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Admin( Grants full access to all resources in Vertex AI Feature Store Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Viewer( This role provides permissions to read Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Writer( This role provides permissions to read and write Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Instance Creator( Administrator of Featurestore resources, but not the child resources under Featurestores. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Resource Viewer( Viewer of all resources in Vertex AI Feature Store but cannot make changes. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store User Beta( Deprecated. Use featurestoreAdmin instead. |
|
Vertex AI Migration Service User( Grants access to use migration service in Vertex AI |
|
Notebook Executor User Beta( Grants users full access to schedules and notebook execution jobs. |
|
Notebook Runtime Admin( Grants full access to all runtime templates and runtimes in Notebook Service. |
|
Notebook Runtime User( Grants users permissions to create runtime resources using a runtime template and manage the runtime resources they created. |
|
Vertex AI Tensorboard Web App User Beta( Grants access to the Vertex AI TensorBoard web app. |
|
Vertex AI User( Grants access to use all resource in Vertex AI |
|
Vertex AI Viewer( Grants access to view all resource in Vertex AI |
|
Ruoli di base
I ruoli di base precedenti di Google Cloud sono comuni a tutti i servizi Google Cloud. Questi ruoli sono Proprietario, Editor e Visualizzatore.
I ruoli di base forniscono le autorizzazioni su Google Cloud, non solo per Vertex AI. Per questo motivo, quando possibile, devi usare i ruoli di Vertex AI.
Ruoli personalizzati
Se i ruoli IAM predefiniti per Vertex AI non soddisfano le tue esigenze, puoi definire ruoli personalizzati. I ruoli personalizzati consentono di scegliere un insieme specifico di autorizzazioni, creare il tuo ruolo con quelle autorizzazioni e concedere il ruolo agli utenti della tua organizzazione. Per maggiori informazioni, consulta Informazioni sui ruoli IAM personalizzati.
Criteri a livello di progetto e a livello di risorsa
L'impostazione di un criterio a livello di risorsa non influisce sui criteri a livello di progetto. Una risorsa eredita tutti i criteri dalla discendenza. Puoi utilizzare questi due livelli di granularità per personalizzare le autorizzazioni. Ad esempio, puoi concedere agli utenti autorizzazioni di lettura a livello di progetto in modo che possano leggere tutte le risorse del progetto, quindi puoi concedere agli utenti autorizzazioni di scrittura per risorsa (a livello di risorsa).
Non tutti i ruoli e le risorse predefiniti di Vertex AI supportano i criteri a livello di risorsa. Per sapere quali ruoli possono essere utilizzati e su quali risorse, visualizza le descrizioni per ogni ruolo.
Risorse supportate
Vertex AI supporta risorse dell'archivio di caratteristiche e dei tipi di entità di Vertex AI Feature Store. Per ulteriori informazioni, consulta Controllare l'accesso alle risorse di Feature Store Vertex AI.
Dopo aver concesso o revocato l'accesso a una risorsa, la propagazione delle modifiche richiede del tempo. Per maggiori informazioni, consulta Propagazione delle modifiche dell'accesso.
Informazioni su account di servizio e agenti di servizio
Account di servizio
Un account di servizio è un account speciale utilizzato da un'applicazione o da un'istanza di macchina virtuale (VM), non da una persona. Puoi creare e assegnare autorizzazioni agli account di servizio per fornire autorizzazioni specifiche per una risorsa o un'applicazione.
Per informazioni sull'utilizzo di un account di servizio per personalizzare le autorizzazioni disponibili per un container di addestramento personalizzato o un container che fornisce le previsioni online per un modello con addestramento personalizzato, consulta Utilizzo di un account di servizio personalizzato.
Gli account di servizio sono identificati da un indirizzo email.
Agenti di servizio
Gli agenti di servizio sono account di servizio gestiti da Google che vengono forniti automaticamente e permettono a un servizio di accedere alle risorse per tuo conto.
Quando viene creato un agente di servizio, all'agente di servizio viene concesso un ruolo predefinito per il progetto. La seguente tabella elenca gli agenti di servizio Vertex AI, i relativi indirizzi email e i rispettivi ruoli:
| Nome | Utilizzato per | Indirizzo email | Ruolo |
|---|---|---|---|
| Agente di servizio Vertex AI | Funzionalità di Vertex AI | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
| Agente di servizio del codice personalizzato Vertex AI | Codice di addestramento personalizzato | service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com |
roles/aiplatform.customCodeServiceAgent |
| Agente di servizio estensione Vertex AI | Vertex Extensions | service-PROJECT_NUMBER@gcp-sa-vertex-ex.iam.gserviceaccount.com |
roles/aiplatform.extensionServiceAgent |
| Account di servizio Notebooks di Cloud AI Platform | Funzionalità di Vertex AI Workbench | service-PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com |
roles/notebooks.serviceAgent |
L'agente di servizio per codice personalizzato Vertex AI viene creato solo se esegui codice di addestramento personalizzato per addestrare un modello con addestramento personalizzato.
Ruoli e autorizzazioni dell'agente di servizio
Consulta i seguenti ruoli e autorizzazioni concessi agli agenti di servizio Vertex AI.
| Ruolo | Autorizzazioni |
|---|---|
Agente di servizio Vertex AI( Concede a Vertex AI le autorizzazioni necessarie per il funzionamento. |
|
Agente di servizio del codice personalizzato Vertex AI( Concede al codice personalizzato Vertex AI le autorizzazioni appropriate. |
|
Agente di servizio AI Platform Notebooks( Fornisce accesso per consentire all'agente di servizio Notebooks di gestire le istanze blocco note nei progetti degli utenti |
|
Concede agli agenti di servizio Vertex AI l'accesso ad altre risorse
A volte, è necessario concedere ruoli aggiuntivi a un agente di servizio Vertex AI. Ad esempio, se hai bisogno di Vertex AI per accedere a un bucket Cloud Storage in un altro progetto, dovrai concedere uno o più ruoli aggiuntivi all'agente di servizio.
Requisiti per l'aggiunta dei ruoli per BigQuery
La seguente tabella descrive i ruoli aggiuntivi richiesti che devono essere aggiunti all'agente di servizio Vertex AI per le tabelle BigQuery o per la visualizzazione in un altro progetto o supportati da un'origine dati esterna.
Il termine progetto home si riferisce al progetto in cui si trova il set di dati o il modello Vertex AI. Il termine progetto diverso si riferisce a qualsiasi altro progetto.
| Tipo di tabella | Progetto tabella | Progetto origine dati | Aggiunta del ruolo obbligatoria |
|---|---|---|---|
| Tabella BigQuery nativa | Progetto Home | N/D | Nessuno. |
| Tabella BigQuery nativa | Progetto diverso | N/D | BigQuery Data Viewer per un altro progetto. Scopri di più. |
| Vista BigQuery | Progetto Home | N/D | Nessuno. |
| Vista BigQuery | Progetto diverso | N/D | BigQuery Data Viewer per un altro progetto. Scopri di più. |
| Origine dati BigQuery esterna supportata da Bigtable | Progetto Home | Progetto Home | Bigtable Reader per il progetto della casa. Scopri di più. |
| Origine dati BigQuery esterna supportata da Bigtable | Progetto Home | Progetto diverso | Bigtable Reader per un altro progetto. Scopri di più. |
| Origine dati BigQuery esterna supportata da Bigtable | Progetto diverso | Progetto diverso | BigQuery Reader e Bigtable Reader per un altro progetto. Scopri di più. |
| Origine dati BigQuery esterna supportata da Cloud Storage | Progetto Home | Progetto Home | Nessuno. |
| Origine dati BigQuery esterna supportata da Cloud Storage | Progetto Home | Progetto diverso | Storage Object Viewer per un altro progetto. Scopri di più. |
| Origine dati BigQuery esterna supportata da Cloud Storage | Progetto diverso | Progetto diverso | Storage Object Viewer e BigQuery Data Viewer per un altro progetto. Scopri di più. |
| Origine dati BigQuery esterna supportata da Fogli Google | Progetto Home | N/D | Condividi il file di Fogli con l'account di servizio Vertex AI. Scopri di più. |
| Origine dati BigQuery esterna supportata da Fogli Google | Progetto diverso | N/D | BigQuery Reader per un altro progetto e condividi il file di Fogli con l'account di servizio Vertex AI. |
Requisiti per l'aggiunta dei ruoli per Cloud Storage
Se stai accedendo ai dati di un bucket Cloud Storage in un altro progetto, devi assegnare il ruolo Storage > Storage Object Viewer a Vertex AI nel progetto. Scopri di più.
Se utilizzi un bucket Cloud Storage per ricevere i dati dal tuo computer locale per un'operazione di importazione e il bucket si trova in un progetto diverso dal progetto Google Cloud, devi concedere il ruolo Storage > Storage Object Creator a Vertex AI nel progetto. Scopri di più.
Concedi l'accesso a Vertex AI alle risorse nel tuo progetto principale
Per concedere ruoli aggiuntivi a un agente di servizio per Vertex AI nel tuo progetto principale:
Vai alla pagina IAM della console Google Cloud per il tuo progetto principale.
Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Determina l'agente di servizio a cui vuoi concedere le autorizzazioni e fai clic sull'icona a forma di matita .
Puoi filtrare Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com per trovare gli agenti di servizio Vertex AI.
Concedi i ruoli richiesti all'account di servizio e salva le modifiche.
Concedi l'accesso a Vertex AI alle risorse di un altro progetto
Quando utilizzi origini dati o destinazioni in un altro progetto, devi concedere le autorizzazioni dell'account di servizio Vertex AI nel progetto. L'account di servizio Vertex AI viene creato dopo l'avvio del primo job asincrono (ad esempio, la creazione di un endpoint). Puoi anche creare esplicitamente l'account di servizio Vertex AI utilizzando gcloud CLI seguendo queste istruzioni. Questo comando gcloud creerà sia l'account di servizio predefinito sia l'account di servizio del codice personalizzato, anche se nella risposta verrà restituito solo l'account di servizio predefinito.
Per aggiungere autorizzazioni a Vertex AI in un altro progetto:
Vai alla pagina IAM della console Google Cloud per il tuo progetto principale (il progetto in cui utilizzi Vertex AI).
Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Determina l'agente di servizio a cui vuoi concedere le autorizzazioni e copia il relativo indirizzo email (elencato in Entità).
Puoi filtrare Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com per trovare gli agenti di servizio Vertex AI.
Modifica i progetti nel progetto in cui devi concedere le autorizzazioni.
Fai clic su Aggiungi e inserisci l'indirizzo email in Nuove entità.
Aggiungi tutti i ruoli richiesti e fai clic su Salva.
Fornire l'accesso a Fogli Google
Se utilizzi un'origine dati BigQuery esterna supportata da Fogli Google, devi condividere il foglio con l'account di servizio Vertex AI. L'account di servizio Vertex AI viene creato dopo l'avvio del primo job asincrono (ad esempio, la creazione di un endpoint). Puoi anche creare esplicitamente l'account di servizio Vertex AI utilizzando gcloud CLI seguendo questa istruzione.
Per autorizzare Vertex AI ad accedere al tuo file Fogli:
Vai alla pagina IAM della console Google Cloud.
Cerca l'account di servizio con il nome
Vertex AI Service Agente copia il relativo indirizzo email (elencato sotto Entità).Apri il file di Fogli e condividilo con quell'indirizzo.
Passaggi successivi
- Scopri di più su IAM.
- Scopri di più sulle autorizzazioni IAM specifiche e sulle operazioni supportate.
- Panoramica di Vertex AI.