Vertex AI 使用 Identity and Access Management (IAM) 管理资源访问权限。您可以在项目级层或资源级层管理访问权限。如需在项目级层授予资源访问权限,请为主帐号(用户、群组或服务帐号)分配一个或多个角色。如需授予对特定资源的访问权限,请对该资源设置 IAM 政策:该资源必须支持资源级政策。政策定义了将哪些角色分配给哪些主帐号。
您可以在 Vertex AI 中使用不同类型的 IAM 角色:
预定义角色允许您在项目级向 Vertex AI 资源授予一组相关权限。
基本角色(Owner、Editor 和 Viewer)提供项目级层的 Vertex AI 资源的访问权限控制,并且适用于所有 Google Cloud 服务。
自定义角色让您可以基于一组特定权限创建具有这些权限的专属角色,然后将该角色授予组织中的用户。
如需在 Vertex AI 项目中添加、更新或移除这些角色,请参阅有关授予、更改和撤消访问权限的文档。
Vertex AI 的预定义角色
| 角色 | 权限 |
|---|---|
Vertex AI Administrator( 授予对 Vertex AI 中所有资源的完整访问权限 包含 3 项所有者权限 |
aiplatform.*
resourcemanager.projects.get resourcemanager.projects.list |
Vertex AI Feature Store EntityType owner Beta 版( 提供特定实体类型资源的完整访问权限。 您可以授予此角色的最低级层资源:
包含 1 项所有者权限 |
aiplatform.entityTypes.delete
aiplatform.
aiplatform. aiplatform.entityTypes.get
aiplatform.
aiplatform.
aiplatform.
aiplatform.
aiplatform. aiplatform.entityTypes.update
aiplatform. aiplatform.features.*
aiplatform. resourcemanager.projects.get resourcemanager.projects.list |
Vertex AI Feature Store Admin( 授予对 Vertex AI Feature Store 中所有资源的完整访问权限 您可以授予此角色的最低级层资源:
包含 2 项所有者权限 |
aiplatform.entityTypes.*
aiplatform.features.*
aiplatform.featurestores.*
aiplatform.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Vertex AI Feature Store Data Viewer Beta 版( 此角色提供读取特征数据的权限。 您可以授予此角色的最低级层资源:
|
aiplatform. aiplatform.entityTypes.get
aiplatform.
aiplatform. aiplatform.features.get aiplatform.features.list
aiplatform. resourcemanager.projects.get resourcemanager.projects.list |
Vertex AI Feature Store Data Writer Beta 版( 此角色提供读取和写入特征数据的权限。 您可以授予此角色的最低级层资源:
|
aiplatform.
aiplatform. aiplatform.entityTypes.get
aiplatform.
aiplatform.
aiplatform.
aiplatform. aiplatform.features.get aiplatform.features.list
aiplatform. resourcemanager.projects.get resourcemanager.projects.list |
Vertex AI Feature Store Instance Creator Beta 版( 可以管理 Featurestore 资源,但不能管理 Featurestore 下的子资源。 您可以授予此角色的最低级层资源:
|
aiplatform.
aiplatform. aiplatform.featurestores.get aiplatform.featurestores.list
aiplatform. |
Vertex AI Feature Store Resource Viewer Beta 版( 可以查看 Vertex AI Feature Store 中的所有资源,但不能对其执行更改。 您可以授予此角色的最低级层资源:
|
aiplatform.entityTypes.get aiplatform.entityTypes.list aiplatform.features.get aiplatform.features.list aiplatform.featurestores.get aiplatform.featurestores.list aiplatform.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Vertex AI Feature Store User Beta 版( 已弃用。请改用 featurestoreAdmin。 包含 2 项所有者权限 |
aiplatform.entityTypes.*
aiplatform.features.*
aiplatform.featurestores.*
aiplatform.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Vertex AI Migration Service User( 授予对 Vertex AI 中的迁移服务的使用权限 |
aiplatform.
|
Vertex AI Tensorboard Web App User Beta 版( 授予对 Vertex AI Tensorboard Web 应用的访问权限。使用该 Web 应用会产生费用。 包含 1 项所有者权限 |
aiplatform. |
Vertex AI User( 授予对 Vertex AI 中所有资源的使用权限 |
aiplatform.annotationSpecs.*
aiplatform.annotations.*
aiplatform.artifacts.*
aiplatform.
aiplatform.contexts.*
aiplatform.customJobs.*
aiplatform.dataItems.*
aiplatform.dataLabelingJobs.*
aiplatform.datasets.*
aiplatform.
aiplatform.
aiplatform. aiplatform.edgeDevices.*
aiplatform.endpoints.*
aiplatform.entityTypes.create aiplatform.entityTypes.delete
aiplatform.
aiplatform. aiplatform.entityTypes.get
aiplatform. aiplatform.entityTypes.list
aiplatform.
aiplatform. aiplatform.entityTypes.update
aiplatform. aiplatform.executions.*
aiplatform.features.*
aiplatform.
aiplatform.
aiplatform.
aiplatform. aiplatform.featurestores.get
aiplatform. aiplatform.featurestores.list
aiplatform.
aiplatform.
aiplatform. aiplatform.humanInTheLoops.*
aiplatform.
aiplatform.indexEndpoints.*
aiplatform.indexes.*
aiplatform.locations.*
aiplatform.metadataSchemas.*
aiplatform.metadataStores.*
aiplatform.
aiplatform.
aiplatform.modelEvaluations.*
aiplatform.models.*
aiplatform.nasJobs.*
aiplatform.operations.list aiplatform.pipelineJobs.*
aiplatform.specialistPools.*
aiplatform.studies.*
aiplatform.
aiplatform.tensorboardRuns.*
aiplatform.
aiplatform.tensorboards.create aiplatform.tensorboards.delete aiplatform.tensorboards.get aiplatform.tensorboards.list aiplatform.tensorboards.update aiplatform.trainingPipelines.*
aiplatform.trials.*
resourcemanager.projects.get resourcemanager.projects.list |
Vertex AI Viewer( 授予对 Vertex AI 中所有资源的查看权限 |
aiplatform.annotationSpecs.get
aiplatform. aiplatform.annotations.get aiplatform.annotations.list aiplatform.artifacts.get aiplatform.artifacts.list
aiplatform.
aiplatform. aiplatform.contexts.get aiplatform.contexts.list
aiplatform. aiplatform.customJobs.get aiplatform.customJobs.list aiplatform.dataItems.get aiplatform.dataItems.list
aiplatform.
aiplatform. aiplatform.datasets.get aiplatform.datasets.list
aiplatform.
aiplatform.
aiplatform.
aiplatform.
aiplatform.
aiplatform. aiplatform.edgeDevices.get aiplatform.edgeDevices.list aiplatform.endpoints.get aiplatform.endpoints.list aiplatform.entityTypes.get aiplatform.entityTypes.list aiplatform.executions.get aiplatform.executions.list
aiplatform. aiplatform.features.get aiplatform.features.list aiplatform.featurestores.get aiplatform.featurestores.list aiplatform.humanInTheLoops.get
aiplatform.
aiplatform.
aiplatform. aiplatform.indexEndpoints.get aiplatform.indexEndpoints.list aiplatform.indexes.get aiplatform.indexes.list aiplatform.locations.*
aiplatform.metadataSchemas.get
aiplatform. aiplatform.metadataStores.get aiplatform.metadataStores.list
aiplatform.
aiplatform.
aiplatform.
aiplatform.
aiplatform.
aiplatform. aiplatform.models.get aiplatform.models.list aiplatform.nasJobs.get aiplatform.nasJobs.list aiplatform.operations.list aiplatform.pipelineJobs.get aiplatform.pipelineJobs.list aiplatform.specialistPools.get
aiplatform.
aiplatform. aiplatform.studies.get aiplatform.studies.list
aiplatform.
aiplatform. aiplatform.tensorboardRuns.get
aiplatform.
aiplatform.
aiplatform.
aiplatform.
aiplatform. aiplatform.tensorboards.get aiplatform.tensorboards.list
aiplatform.
aiplatform. aiplatform.trials.get aiplatform.trials.list resourcemanager.projects.get resourcemanager.projects.list |
基本角色
旧版 Google Cloud 基本角色适用于所有 Google Cloud 服务。这些角色包括 Owner、Editor 和 Viewer。
这些基本角色可在整个 Google Cloud 中提供权限,而不仅仅是针对 Vertex AI。因此,您应尽可能使用 Vertex AI 角色。
自定义角色
如果 Vertex AI 的预定义 IAM 角色不符合您的需求,您可以定义自定义角色。自定义角色让您可以基于一组特定权限创建具有这些权限的专属角色,然后将该角色授予组织中的用户。如需了解详情,请参阅了解 IAM 自定义角色。
项目级层与资源级层的政策
在资源级层设置政策不会影响项目级政策。资源会继承其祖先的所有政策。您可以使用这两个粒度级别来自定义权限。例如,您可以在项目级层授予用户读取权限,以便他们可以读取项目中的所有资源,然后在资源级层授予用户各个资源的写入权限。
并非所有 Vertex AI 预定义角色和资源都支持资源级政策。如需了解哪些资源可以使用哪些角色,请查看每个角色的说明。
支持的资源
Vertex AI 支持 Vertex AI Feature Store 特征存储区和实体类型资源。如需了解详情,请参阅控制对 Vertex AI Feature Store 资源的访问权限。
授予或撤消对资源的访问权限后,这些更改需要一段时间才能传播。如需了解详情,请参阅 IAM 常见问题解答。
服务帐号和服务代理简介
服务帐号
服务帐号是由应用或虚拟机 (VM) 实例(而非单个用户)使用的特殊帐号。您可以创建服务帐号并向服务帐号分配权限,以便为资源或应用提供特定权限。
如需了解如何使用服务帐号自定义自定义训练容器可用的权限,或为自定义训练模型提供在线预测的容器,可参阅使用帐号。
服务帐号由电子邮件地址标识。
服务代理
服务代理是由 Google 自动管理的服务帐号;它们将代表您访问资源以启用服务。Vertex AI 使用以下服务代理:
| 名称 | 用于: | 电子邮件地址 |
|---|---|---|
| Vertex AI Service Agent | Vertex AI 功能 | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
| Vertex AI Custom Code Service Agent | 自定义训练代码 | service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com |
只有在您运行自定义训练代码来训练自定义训练模型时,系统才会创建 Vertex AI Custom Code Service Agent。
创建后,每个服务代理都会被授予项目的以下预定义角色之一。每个服务代理都会被授予与其名称匹配的角色。
| 角色 | 名称 | 说明 | 权限 |
|---|---|---|---|
roles/ |
Vertex AI Service Agent |
授予 Vertex AI 正常工作所需的权限。 |
aiplatform.annotationSpecs.*
aiplatform.annotations.*
aiplatform.artifacts.*
aiplatform.
aiplatform.contexts.*
aiplatform.customJobs.*
aiplatform.dataItems.*
aiplatform.dataLabelingJobs.*
aiplatform.datasets.*
aiplatform.
aiplatform.
aiplatform. aiplatform.edgeDevices.*
aiplatform.endpoints.*
aiplatform.entityTypes.create aiplatform.entityTypes.delete
aiplatform.
aiplatform. aiplatform.entityTypes.get
aiplatform. aiplatform.entityTypes.list
aiplatform.
aiplatform. aiplatform.entityTypes.update
aiplatform. aiplatform.executions.*
aiplatform.features.*
aiplatform.
aiplatform.
aiplatform.
aiplatform. aiplatform.featurestores.get
aiplatform. aiplatform.featurestores.list
aiplatform.
aiplatform.
aiplatform. aiplatform.humanInTheLoops.*
aiplatform.
aiplatform.indexEndpoints.*
aiplatform.indexes.*
aiplatform.locations.*
aiplatform.metadataSchemas.*
aiplatform.metadataStores.*
aiplatform.
aiplatform.
aiplatform.modelEvaluations.*
aiplatform.models.*
aiplatform.nasJobs.*
aiplatform.operations.list aiplatform.pipelineJobs.*
aiplatform.specialistPools.*
aiplatform.studies.*
aiplatform.
aiplatform.tensorboardRuns.*
aiplatform.
aiplatform.tensorboards.create aiplatform.tensorboards.delete aiplatform.tensorboards.get aiplatform.tensorboards.list aiplatform.tensorboards.update aiplatform.trainingPipelines.*
aiplatform.trials.*
artifactregistry.
artifactregistry.
artifactregistry.
artifactregistry.
artifactregistry. artifactregistry.tags.get artifactregistry.versions.get automl.datasets.export automl.datasets.get automl.datasets.list automl.modelEvaluations.list automl.models.get automl.models.list automl.operations.get automl.tableSpecs.get bigquery.datasets.create bigquery.datasets.get bigquery.jobs.create bigquery.jobs.get bigquery.models.create bigquery.models.export bigquery.models.getData bigquery.readsessions.create bigquery.readsessions.getData bigquery.tables.create bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.update bigquery.tables.updateData bigtable.tables.get bigtable.tables.list bigtable.tables.readRows compute.machineTypes.get dataflow.jobs.*
dataflow.messages.list dataflow.metrics.get dataflow.snapshots.*
datalabeling. datalabeling.datasets.export datalabeling.datasets.get datalabeling.datasets.list datalabeling.operations.get iam.serviceAccounts.actAs
iam. logging.logEntries.create ml.models.list ml.operations.get ml.versions.get ml.versions.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use storage.buckets.create storage.buckets.delete storage.buckets.get storage.buckets.list storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update |
roles/ |
Vertex AI Custom Code Service Agent |
为 Vertex AI Custom Code 授予适当的权限。 |
aiplatform.annotationSpecs.*
aiplatform.annotations.*
aiplatform.artifacts.*
aiplatform.
aiplatform.contexts.*
aiplatform.customJobs.*
aiplatform.dataItems.*
aiplatform.dataLabelingJobs.*
aiplatform.datasets.*
aiplatform.
aiplatform.
aiplatform. aiplatform.edgeDevices.*
aiplatform.endpoints.*
aiplatform.entityTypes.create aiplatform.entityTypes.delete
aiplatform.
aiplatform. aiplatform.entityTypes.get
aiplatform. aiplatform.entityTypes.list
aiplatform.
aiplatform. aiplatform.entityTypes.update
aiplatform. aiplatform.executions.*
aiplatform.features.*
aiplatform.
aiplatform.
aiplatform.
aiplatform. aiplatform.featurestores.get
aiplatform. aiplatform.featurestores.list
aiplatform.
aiplatform.
aiplatform. aiplatform.humanInTheLoops.*
aiplatform.
aiplatform.indexEndpoints.*
aiplatform.indexes.*
aiplatform.locations.*
aiplatform.metadataSchemas.*
aiplatform.metadataStores.*
aiplatform.
aiplatform.
aiplatform.modelEvaluations.*
aiplatform.models.*
aiplatform.nasJobs.*
aiplatform.operations.list aiplatform.pipelineJobs.*
aiplatform.specialistPools.*
aiplatform.studies.*
aiplatform.
aiplatform.tensorboardRuns.*
aiplatform.
aiplatform.tensorboards.create aiplatform.tensorboards.delete aiplatform.tensorboards.get aiplatform.tensorboards.list aiplatform.tensorboards.update aiplatform.trainingPipelines.*
aiplatform.trials.*
artifactregistry.
artifactregistry.
artifactregistry. artifactregistry.tags.get artifactregistry.versions.get bigquery.datasets.create bigquery.datasets.get bigquery.jobs.create bigquery.jobs.get bigquery.readsessions.create bigquery.readsessions.getData bigquery.tables.create bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.update bigquery.tables.updateData iam.serviceAccounts.get
iam.
iam.
iam. iam.serviceAccounts.list iam.serviceAccounts.signBlob iam.serviceAccounts.signJwt logging.logEntries.create resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use storage.buckets.create storage.buckets.delete storage.buckets.get storage.buckets.list storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update |
授予 Vertex AI 服务代理对其他资源的访问权限
有时,您需要向 Vertex AI 服务代理授予其他角色。例如,如果您需要 Vertex AI 访问其他项目中的 Cloud Storage 存储分区,则需要向服务代理授予一个或多个其他角色。
BigQuery 的角色添加要求
下表介绍了针对其他项目中的 BigQuery 表或视图或由外部数据源支持的 BigQuery 表或视图,需要向 Vertex AI Service Agent 添加的必需的额外角色。
术语“主项目”是指 Vertex AI 数据集或模型所在的项目。“其他项目”一词指的是任何其他项目。
| 表类型 | 表项目 | 数据源项目 | 需要添加的角色 |
|---|---|---|---|
| 原生 BigQuery 表格 | 主项目 | 不适用 | 无。 |
| 原生 BigQuery 表格 | 其他项目 | 不适用 | BigQuery Data Viewer(针对其他项目)。了解详情。 |
| BigQuery 视图 | 主项目 | 不适用 | 无。 |
| BigQuery 视图 | 其他项目 | 不适用 | BigQuery Data Viewer(针对其他项目)。了解详情。 |
| Bigtable 支持的外部 BigQuery 数据源 | 主项目 | 主项目 | Bigtable Reader(针对主项目)。了解详情。 |
| Bigtable 支持的外部 BigQuery 数据源 | 主项目 | 其他项目 | Bigtable Reader(针对其他项目)。了解详情。 |
| Bigtable 支持的外部 BigQuery 数据源 | 其他项目 | 其他项目 | BigQuery Reader 和 Bigtable Reader(针对其他项目)。了解详情。 |
| Cloud Storage 支持的外部 BigQuery 数据源 | 主项目 | 主项目 | 无。 |
| Cloud Storage 支持的外部 BigQuery 数据源 | 主项目 | 其他项目 | Storage Object Viewer(针对其他项目)。了解详情。 |
| Cloud Storage 支持的外部 BigQuery 数据源 | 其他项目 | 其他项目 | Storage Object Viewer 和 BigQuery Data Viewer(针对其他项目)。了解详情。 |
| Google Sheets 支持的外部 BigQuery 数据源 | 主项目 | 不适用 | 与 Vertex AI 服务帐号共享表格文件。了解详情。 |
| Google Sheets 支持的外部 BigQuery 数据源 | 其他项目 | 不适用 | BigQuery Reader(针对其他项目),并与 Vertex AI 服务帐号共享表格文件。 |
Cloud Storage 的角色添加要求
如果您要访问不同项目的 Cloud Storage 存储分区中的数据,则必须对该项目中的 Vertex AI 授予 Storage > Storage Object Viewer 角色。了解详情。
如果您使用 Cloud Storage 存储分区接收导入操作从本地计算机接收的数据,并且该存储分区与 Cloud 项目不同,则必须为该项目中的 Vertex AI 提供 Storage > Storage Object Creator 角色。了解详情。
向主项目中的资源授予 Vertex AI 访问权限
如需向主项目中的 Vertex AI 服务代理授予其他角色,请执行以下操作:
前往主项目对应的 Google Cloud 控制台 IAM 页面。
选中包括 Google 提供的角色授权复选框。
确定要授予权限的服务代理,然后点击 铅笔图标。
您可以过滤 Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com 以查找 Vertex AI 服务代理。
向服务帐号授予所需角色并保存所做的更改。
向不同项目中的资源授予 Vertex AI 访问权限
当您在其他项目中使用数据源或目标时,您必须在该项目中授予 Vertex AI 服务帐号权限。Vertex AI 服务帐号是在启动第一个异步作业(例如创建端点)后创建的。您还可以按照这些说明使用 gcloud CLI 明确创建 Vertex AI 服务帐号。
如需在其他项目中添加 Vertex AI 的权限,请执行以下操作:
前往主项目(您使用 Vertex AI 的项目)的 Google Cloud 控制台 IAM 页面。
选中包括 Google 提供的角色授权复选框。
确定要授予相应权限的服务代理,并复制其电子邮件地址(在主帐号下方列出)。
您可以过滤 Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com 以查找 Vertex AI 服务代理。
将项目更改为需要授予权限的项目。
点击添加,并在新建主帐号中输入电子邮件地址。
添加所有必需的角色,并点击保存。
提供对 Google 表格的访问权限
如果您使用由 Google 表格提供支持的外部 BigQuery 数据源,则必须与 Vertex AI 服务帐号共享表格。Vertex AI 服务帐号是在启动第一个异步作业(例如创建端点)后创建的。您还可以按照此说明使用 gcloud 明确创建 Vertex AI 服务帐号。
如需授权 Vertex AI 访问您的表格文件,请执行以下操作:
在 Google Cloud 控制台中,前往 IAM 页面。
查找名为
Vertex AI Service Agent的服务帐号并复制其电子邮件地址(在主帐号下方列出)。打开您的表格文件并与该地址共享。