Controle de acesso

A Vertex AI usa o Identity and Access Management (IAM) para gerenciar o acesso aos recursos. Para conceder acesso a um recurso, atribua um ou mais papéis a um usuário, um grupo ou uma conta de serviço.

Há diferentes tipos de papéis do IAM que podem ser usados na Vertex AI:

  • Os papéis predefinidos permitem conceder um conjunto de permissões relacionadas aos recursos da Vertex AI no nível do projeto.

  • Os papéis básicos (proprietário, editor e visualizador) fornecem controle de acesso aos recursos da Vertex AI no nível do projeto e são comuns a todos os serviços do Google Cloud.

  • Os papéis personalizados permitem escolher um conjunto específico de permissões, criar seu próprio papel com elas e concedê-lo aos usuários da organização.

Para adicionar, atualizar ou remover esses papéis do projeto da Vertex AI, consulte a documentação sobre como conceder, alterar e revogar acesso.

Papéis predefinidos da Vertex AI

Papel Permissões

Administrador da Vertex AI Beta
(roles/aiplatform.admin)

Concede acesso total a todos os recursos da Vertex AI

  • aiplatform.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador da Feature Store da Vertex AI Beta
(roles/aiplatform.featurestoreAdmin)

Concede acesso total a todos os recursos na Vertex AI Feature Store

  • aiplatform.entityTypes.*
  • aiplatform.features.*
  • aiplatform.featurestores.*
  • aiplatform.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Leitor de dados do Feature Store da Vertex AI Beta
(roles/aiplatform.featurestoreDataViewer)

Este papel fornece permissões para ler dados de atributos.

  • aiplatform.entityTypes.get
  • aiplatform.entityTypes.readFeatureValues
  • aiplatform.entityTypes.streamingReadFeatureValues
  • aiplatform.features.get
  • aiplatform.features.list
  • aiplatform.featurestores.batchReadFeatureValues

Gravador de dados do Feature Store da Vertex AI Beta
(roles/aiplatform.featurestoreDataWriter)

Este papel fornece permissões para ler e gravar dados de recursos.

  • aiplatform.entityTypes.get
  • aiplatform.entityTypes.importFeatureValues
  • aiplatform.entityTypes.readFeatureValues
  • aiplatform.entityTypes.streamingReadFeatureValues
  • aiplatform.entityTypes.writeFeatureValues
  • aiplatform.features.get
  • aiplatform.features.list
  • aiplatform.featurestores.batchReadFeatureValues

Criador de instância do Feature Store da Vertex AI Beta
(roles/aiplatform.featurestoreInstanceCreator)

Administrar recursos do Featurestore, mas não os recursos filhos do Featurestores.

  • aiplatform.featurestores.create
  • aiplatform.featurestores.delete
  • aiplatform.featurestores.get
  • aiplatform.featurestores.list
  • aiplatform.featurestores.update

Editor de recursos do Feature Store da Vertex AI Beta
(roles/aiplatform.featurestoreResourceEditor)

Gerenciar todos os recursos no Featurestores, mas não pode criar ou atualizar o Featurestores.

  • aiplatform.entityTypes.create
  • aiplatform.entityTypes.delete
  • aiplatform.entityTypes.get
  • aiplatform.entityTypes.list
  • aiplatform.entityTypes.update
  • aiplatform.features.*
  • aiplatform.featurestores.get
  • aiplatform.featurestores.list
  • aiplatform.operations.*

Leitor de recursos do Feature Store da Vertex AI Beta
(roles/aiplatform.featurestoreResourceViewer)

Leitor de todos os recursos no Feature Store do Vertex AI, mas não pode fazer alterações.

  • aiplatform.entityTypes.get
  • aiplatform.entityTypes.list
  • aiplatform.features.get
  • aiplatform.features.list
  • aiplatform.featurestores.get
  • aiplatform.featurestores.list
  • aiplatform.operations.*

Usuário da Feature Store da Vertex AI Beta
(roles/aiplatform.featurestoreUser)

Obsoleto. Em vez dele, use o featurestoreAdmin.

  • aiplatform.entityTypes.*
  • aiplatform.features.*
  • aiplatform.featurestores.*
  • aiplatform.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Usuário do serviço de migração da Vertex AI Beta
(roles/aiplatform.migrator)

Concede acesso ao serviço de migração na Vertex AI

  • aiplatform.migratableResources.*

Usuário da Vertex AI Beta
(roles/aiplatform.user)

Concede acesso para usar todos os recursos na Vertex AI

  • aiplatform.annotationSpecs.*
  • aiplatform.annotations.*
  • aiplatform.artifacts.*
  • aiplatform.batchPredictionJobs.*
  • aiplatform.contexts.*
  • aiplatform.customJobs.*
  • aiplatform.dataItems.*
  • aiplatform.dataLabelingJobs.*
  • aiplatform.datasets.*
  • aiplatform.edgeDeploymentJobs.*
  • aiplatform.edgeDeviceDebugInfo.*
  • aiplatform.edgeDevices.*
  • aiplatform.endpoints.*
  • aiplatform.entityTypes.*
  • aiplatform.executions.*
  • aiplatform.features.*
  • aiplatform.featurestores.*
  • aiplatform.humanInTheLoops.*
  • aiplatform.hyperparameterTuningJobs.*
  • aiplatform.indexEndpoints.*
  • aiplatform.indexes.*
  • aiplatform.locations.*
  • aiplatform.metadataSchemas.*
  • aiplatform.metadataStores.*
  • aiplatform.modelDeploymentMonitoringJobs.*
  • aiplatform.modelEvaluationSlices.*
  • aiplatform.modelEvaluations.*
  • aiplatform.models.*
  • aiplatform.nasJobs.*
  • aiplatform.operations.*
  • aiplatform.pipelineJobs.*
  • aiplatform.specialistPools.*
  • aiplatform.studies.*
  • aiplatform.tensorboardExperiments.*
  • aiplatform.tensorboardRuns.*
  • aiplatform.tensorboardTimeSeries.*
  • aiplatform.tensorboards.*
  • aiplatform.trainingPipelines.*
  • aiplatform.trials.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador da Vertex AI Beta
(roles/aiplatform.viewer)

Concede acesso para visualizar todos os recursos na Vertex AI

  • aiplatform.annotationSpecs.get
  • aiplatform.annotationSpecs.list
  • aiplatform.annotations.get
  • aiplatform.annotations.list
  • aiplatform.artifacts.get
  • aiplatform.artifacts.list
  • aiplatform.batchPredictionJobs.get
  • aiplatform.batchPredictionJobs.list
  • aiplatform.contexts.get
  • aiplatform.contexts.list
  • aiplatform.contexts.queryContextLineageSubgraph
  • aiplatform.customJobs.get
  • aiplatform.customJobs.list
  • aiplatform.dataItems.get
  • aiplatform.dataItems.list
  • aiplatform.dataLabelingJobs.get
  • aiplatform.dataLabelingJobs.list
  • aiplatform.datasets.get
  • aiplatform.datasets.list
  • aiplatform.edgeDeploymentJobs.get
  • aiplatform.edgeDeploymentJobs.list
  • aiplatform.edgeDeviceDebugInfo.*
  • aiplatform.edgeDevices.get
  • aiplatform.edgeDevices.list
  • aiplatform.endpoints.get
  • aiplatform.endpoints.list
  • aiplatform.entityTypes.get
  • aiplatform.entityTypes.list
  • aiplatform.executions.get
  • aiplatform.executions.list
  • aiplatform.executions.queryExecutionInputsAndOutputs
  • aiplatform.features.get
  • aiplatform.features.list
  • aiplatform.featurestores.get
  • aiplatform.featurestores.list
  • aiplatform.humanInTheLoops.get
  • aiplatform.humanInTheLoops.list
  • aiplatform.hyperparameterTuningJobs.get
  • aiplatform.hyperparameterTuningJobs.list
  • aiplatform.indexEndpoints.get
  • aiplatform.indexEndpoints.list
  • aiplatform.indexes.get
  • aiplatform.indexes.list
  • aiplatform.locations.*
  • aiplatform.metadataSchemas.get
  • aiplatform.metadataSchemas.list
  • aiplatform.metadataStores.get
  • aiplatform.metadataStores.list
  • aiplatform.modelDeploymentMonitoringJobs.get
  • aiplatform.modelDeploymentMonitoringJobs.list
  • aiplatform.modelDeploymentMonitoringJobs.searchStatsAnomalies
  • aiplatform.modelEvaluationSlices.*
  • aiplatform.modelEvaluations.get
  • aiplatform.modelEvaluations.list
  • aiplatform.models.get
  • aiplatform.models.list
  • aiplatform.nasJobs.get
  • aiplatform.nasJobs.list
  • aiplatform.operations.*
  • aiplatform.pipelineJobs.get
  • aiplatform.pipelineJobs.list
  • aiplatform.specialistPools.get
  • aiplatform.specialistPools.list
  • aiplatform.specialistPools.update
  • aiplatform.studies.get
  • aiplatform.studies.list
  • aiplatform.tensorboardExperiments.get
  • aiplatform.tensorboardExperiments.list
  • aiplatform.tensorboardRuns.get
  • aiplatform.tensorboardRuns.list
  • aiplatform.tensorboardTimeSeries.get
  • aiplatform.tensorboardTimeSeries.list
  • aiplatform.tensorboardTimeSeries.read
  • aiplatform.tensorboards.get
  • aiplatform.tensorboards.list
  • aiplatform.trainingPipelines.get
  • aiplatform.trainingPipelines.list
  • aiplatform.trials.get
  • aiplatform.trials.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Papéis básicos

Os papéis básicos mais antigos do Google Cloud são comuns a todos os serviços do Google Cloud. Esses papéis são de Proprietário, Editor e Visualizador.

Os papéis básicos fornecem permissões em todo o Google Cloud, não apenas na Vertex AI. Por esse motivo, use os papéis da Vertex AI sempre que possível.

Papéis personalizados

Se os papéis predefinidos do IAM para a Vertex AI não atenderem às suas necessidades, é possível definir papéis personalizados. Os papéis personalizados permitem escolher um conjunto específico de permissões, criar seu próprio papel com elas e concedê-lo aos usuários da organização. Para mais informações, consulte Noções básicas sobre papéis personalizados do IAM.

Sobre contas de serviço e agentes de serviço

Contas de serviço

Uma conta de serviço é um tipo especial de conta usada por um aplicativo ou instância de máquina virtual (VM), não uma pessoa. É possível criar e atribuir permissões a contas de serviço para fornecer permissões específicas a um recurso ou aplicativo.

Para informações sobre como usar uma conta de serviço para personalizar as permissões disponíveis para um contêiner de treinamento personalizado ou um contêiner que disponibilize predições on-line para um modelo treinado personalizado, leiaComo usar uma conta de serviço personalizada para criar um anexo da VLAN de monitoramento.

As contas de serviço são identificadas por um endereço de e-mail.

Agentes de serviço

Os agentes de serviço são contas de serviço gerenciadas pelo Google que são fornecidas automaticamente. eles permitem que um serviço acesse recursos em seu nome. A Vertex AI usa estes agentes de serviço:

Nome Usado para Endereço de e-mail
Agente de serviço da Vertex AI Funcionalidade da Vertex AI service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com
Agente de serviço de código personalizado da Vertex AI Código de treinamento personalizado service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com

O Agente de serviço de código personalizado da Vertex AI será criado somente se você executar um código de treinamento personalizado para treinar um modelo personalizado.

Quando criado, cada agente de serviço recebe um dos seguintes papéis predefinidos do projeto. Cada agente de serviço recebe o papel que corresponde ao nome.

Papel Nome Descrição Permissões
roles/aiplatform.serviceAgent Agente de serviço da Vertex AI

Concede à Vertex AI as permissões necessárias para funcionar.

  • aiplatform.annotationSpecs.*
  • aiplatform.annotations.*
  • aiplatform.artifacts.*
  • aiplatform.batchPredictionJobs.*
  • aiplatform.contexts.*
  • aiplatform.customJobs.*
  • aiplatform.dataItems.*
  • aiplatform.dataLabelingJobs.*
  • aiplatform.datasets.*
  • aiplatform.edgeDeploymentJobs.*
  • aiplatform.edgeDeviceDebugInfo.*
  • aiplatform.edgeDevices.*
  • aiplatform.endpoints.*
  • aiplatform.entityTypes.*
  • aiplatform.executions.*
  • aiplatform.features.*
  • aiplatform.featurestores.*
  • aiplatform.humanInTheLoops.*
  • aiplatform.hyperparameterTuningJobs.*
  • aiplatform.indexEndpoints.*
  • aiplatform.indexes.*
  • aiplatform.locations.*
  • aiplatform.metadataSchemas.*
  • aiplatform.metadataStores.*
  • aiplatform.modelDeploymentMonitoringJobs.*
  • aiplatform.modelEvaluationSlices.*
  • aiplatform.modelEvaluations.*
  • aiplatform.models.*
  • aiplatform.nasJobs.*
  • aiplatform.operations.*
  • aiplatform.pipelineJobs.*
  • aiplatform.specialistPools.*
  • aiplatform.studies.*
  • aiplatform.tensorboardExperiments.*
  • aiplatform.tensorboardRuns.*
  • aiplatform.tensorboardTimeSeries.*
  • aiplatform.tensorboards.*
  • aiplatform.trainingPipelines.*
  • aiplatform.trials.*
  • artifactregistry.repositories.create
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.get
  • artifactregistry.versions.get
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.list
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.tableSpecs.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.jobs.create
  • bigquery.jobs.get
  • bigquery.readsessions.create
  • bigquery.tables.create
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigtable.tables.get
  • bigtable.tables.list
  • bigtable.tables.readRows
  • compute.machineTypes.get
  • dataflow.*
  • datalabeling.annotateddatasets.get
  • datalabeling.datasets.export
  • datalabeling.datasets.get
  • datalabeling.datasets.list
  • datalabeling.operations.get
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.getAccessToken
  • logging.logEntries.create
  • ml.models.list
  • ml.operations.get
  • ml.versions.get
  • ml.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use
  • storage.buckets.create
  • storage.buckets.delete
  • storage.buckets.get
  • storage.buckets.list
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update
roles/aiplatform.customCodeServiceAgent Agente de serviço de código personalizado da Vertex AI

Concede ao Vertex AI Custom Code as permissões adequadas.

  • aiplatform.annotationSpecs.*
  • aiplatform.annotations.*
  • aiplatform.artifacts.*
  • aiplatform.batchPredictionJobs.*
  • aiplatform.contexts.*
  • aiplatform.customJobs.*
  • aiplatform.dataItems.*
  • aiplatform.dataLabelingJobs.*
  • aiplatform.datasets.*
  • aiplatform.edgeDeploymentJobs.*
  • aiplatform.edgeDeviceDebugInfo.*
  • aiplatform.edgeDevices.*
  • aiplatform.endpoints.*
  • aiplatform.entityTypes.*
  • aiplatform.executions.*
  • aiplatform.features.*
  • aiplatform.featurestores.*
  • aiplatform.humanInTheLoops.*
  • aiplatform.hyperparameterTuningJobs.*
  • aiplatform.indexEndpoints.*
  • aiplatform.indexes.*
  • aiplatform.locations.*
  • aiplatform.metadataSchemas.*
  • aiplatform.metadataStores.*
  • aiplatform.modelDeploymentMonitoringJobs.*
  • aiplatform.modelEvaluationSlices.*
  • aiplatform.modelEvaluations.*
  • aiplatform.models.*
  • aiplatform.nasJobs.*
  • aiplatform.operations.*
  • aiplatform.pipelineJobs.*
  • aiplatform.specialistPools.*
  • aiplatform.studies.*
  • aiplatform.tensorboardExperiments.*
  • aiplatform.tensorboardRuns.*
  • aiplatform.tensorboardTimeSeries.*
  • aiplatform.tensorboards.*
  • aiplatform.trainingPipelines.*
  • aiplatform.trials.*
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.tags.get
  • artifactregistry.versions.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.jobs.create
  • bigquery.jobs.get
  • bigquery.readsessions.create
  • bigquery.readsessions.getData
  • bigquery.tables.create
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.update
  • bigquery.tables.updateData
  • iam.serviceAccounts.get
  • iam.serviceAccounts.getAccessToken
  • iam.serviceAccounts.getOpenIdToken
  • iam.serviceAccounts.implicitDelegation
  • iam.serviceAccounts.list
  • iam.serviceAccounts.signBlob
  • iam.serviceAccounts.signJwt
  • logging.logEntries.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use
  • storage.buckets.create
  • storage.buckets.delete
  • storage.buckets.get
  • storage.buckets.list
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update

Conceder aos agentes de serviço da Vertex AI acesso a outros recursos

Às vezes, é preciso conceder outros papéis a um agente de serviço da Vertex AI. Por exemplo, se você precisar que a Vertex AI acesse um bucket do Cloud Storage em um projeto diferente, será necessário conceder um ou mais papéis adicionais ao agente de serviço.

Requisitos de adição de papéis do BigQuery

A tabela a seguir descreve os papéis adicionais necessários para serem adicionados ao Agente de serviços da Vertex AI para tabelas do BigQuery ou visualização em um projeto diferente ou apoiado por uma fonte de dados externa.

O termo projeto inicial refere-se ao projeto em que o conjunto de dados ou o modelo da Vertex AI está localizado. O termo projeto estrangeira refere-se a qualquer outro projeto.

Tipo de tabela Projeto de tabela Projeto de origem de dados Adição de papel obrigatória
Tabela nativa do BigQuery Projeto inicial N/A Nenhum
Tabela nativa do BigQuery Projeto externo N/A BigQuery Data Viewer para projeto externo. Saiba mais
Visualização do BigQuery Projeto inicial N/A Nenhum
Visualização do BigQuery Projeto externo N/A BigQuery Data Viewer para projeto externo. Saiba mais
Fonte de dados externa do BigQuery com suporte do Bigtable Projeto inicial Projeto inicial Bigtable Reader para projeto inicial. Saiba mais
Fonte de dados externa do BigQuery com suporte do Bigtable Projeto inicial Projeto externo Bigtable Reader para projeto externo. Saiba mais
Fonte de dados externa do BigQuery com suporte do Bigtable Projeto externo Projeto externo BigQuery Reader e Bigtable Reader para projetos externos. Saiba mais
Fonte de dados externa do BigQuery com suporte do Cloud Storage Projeto inicial Projeto inicial Nenhum
Fonte de dados externa do BigQuery com suporte do Cloud Storage Projeto inicial Projeto externo Storage Object Viewer para projeto externo. Saiba mais
Fonte de dados externa do BigQuery com suporte do Cloud Storage Projeto externo Projeto externo Storage Object Viewer e BigQuery Data Viewer para projetos externos. Saiba mais
Fonte de dados externa do BigQuery com suporte do Planilhas Google Projeto inicial N/A Compartilhe o arquivo do Planilhas com a conta de serviço da Vertex AI. Saiba mais.
Fonte de dados externa do BigQuery com suporte do Planilhas Google Projeto externo N/A BigQuery Reader para projeto externo e compartilhe o arquivo do Planilhas com a conta de serviço da Vertex AI.

Requisitos de adição de papéis para o Cloud Storage

Se você estiver acessando dados em um bucket do Cloud Storage em um projeto diferente, será preciso conceder o papel Storage > Storage Object Viewer à Vertex AI nesse projeto. Saiba mais

Se você estiver usando um bucket do Cloud Storage para receber dados do computador local para uma operação de importação e o bucket estiver em um projeto diferente do projeto do Cloud, conceda o papel Storage > Storage Object Creator à Vertex AI nesse projeto. Saiba mais

Conceder à Vertex AI acesso aos recursos no projeto inicial

Para conceder outros papéis a um agente de serviços da Vertex AI no projeto inicial:

  1. Acesse a página do IAM no Console do Cloud para ver o projeto inicial.

    Acessar a página do IAM

  2. Marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.

  3. Determine o agente de serviços a que você quer conceder as permissões e clique no ícone de lápis .

    É possível filtrar por Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com para encontrar os agentes de serviço da Vertex IA.

  4. Conceda os papéis necessários à conta de serviço e salve as alterações.

Conceder à Vertex AI acesso aos recursos em um projeto diferente

Ao usar fontes de dados ou destinos em um projeto diferente, é preciso fornecer as permissões da conta de serviço da Vertex AI nesse projeto. A conta de serviço da Vertex AI é criada automaticamente quando você ativa a API Vertex AI.

Para adicionar permissões à Vertex AI em um projeto diferente:

  1. Acesse a página IAM do Console do Cloud do projeto inicial (o projeto em que você está usando a Vertex AI).

    Acessar a página do IAM

  2. Marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.

  3. Determine o agente de serviços a que você quer conceder as permissões e copie o endereço de e-mail, listado em Principal.

    É possível filtrar por Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com para encontrar os agentes de serviço da Vertex IA.

  4. Mude os projetos para aquele em que você precisa conceder as permissões.

  5. Clique em Adicionar e insira o endereço de e-mail em Novos principais.

  6. Adicione todos os papéis necessários e clique em Salvar.

Conceder acesso ao Planilhas Google

Se você estiver usando uma fonte de dados externa do BigQuery com suporte do Planilhas Google, compartilhe as planilhas com a conta de serviço da Vertex AI. A conta de serviço da Vertex AI é criada automaticamente quando você ativa a API Vertex AI.

Para autorizar a Vertex AI a acessar o arquivo do Planilhas:

  1. Acesse a página do IAM no Console do Cloud.

    Acessar a página do IAM

  2. Procure a conta de serviço com o nome Vertex AI Service Agent e copie o endereço de e-mail, listado em Principal.

  3. Abra o arquivo do Planilhas Google e compartilhe-o com esse endereço.

A seguir