Benutzerdefiniertes Dienstkonto verwenden

In diesem Leitfaden wird beschrieben, wie Vertex AI für die Verwendung eines benutzerdefinierten Dienstkontos in den folgenden Szenarien konfiguriert wird:

Wann sollte ein benutzerdefiniertes Dienstkonto verwendet werden?

Wenn Vertex AI ausgeführt wird, erfolgt dies in der Regel mit den Berechtigungen von einem von mehreren Dienstkonten, die Google für Ihr Google Cloud-Projekt erstellt und verwaltet. Wenn Sie Vertex AI in bestimmten Kontexten Zugriff auf andere Google Cloud-Dienste gewähren möchten, können Sie den Dienst-Agents von Vertex AI bestimmte Rollen hinzufügen.

Eine Anpassung der Berechtigungen von Dienst-Agents ermöglicht jedoch unter Umständen nicht die gewünschte genau abgestimmte Zugriffssteuerung. Typische Anwendungsfälle:

  • Weniger Berechtigungen für Vertex AI-Jobs und -Modelle zulassen. Der Vertex AI-Standarddienst-Agent hat Zugriff auf BigQuery und Cloud Storage.
  • Unterschiedlichen Jobs Zugriff auf unterschiedliche Ressourcen gewähren. Möglicherweise möchten Sie vielen Nutzern erlauben, Jobs in einem einzelnen Projekt zu starten, aber den Jobs jedes Nutzers nur Zugriff auf eine bestimmte BigQuery-Tabelle oder einen bestimmten Cloud Storage-Bucket gewähren.

Beispielsweise möchten Sie eventuell jeden ausgeführten benutzerdefinierten Trainingsjob individuell konfigurieren, um Zugriff auf verschiedene Google Cloud-Ressourcen außerhalb Ihres Projekts zu erhalten.

Darüber hinaus ändern sich durch das Anpassen der Berechtigungen von Dienst-Agents nicht die Berechtigungen eines Containers, mit dem Vorhersagen von einem benutzerdefinierten Model bereitgestellt werden.

Wenn Sie den Zugriff jedes Mal anpassen möchten, wenn Sie ein benutzerdefiniertes Training ausführen, oder um die Berechtigungen des Vorhersagecontainers eines benutzerdefinierten Model anzupassen, müssen Sie ein benutzerdefiniertes Dienstkonto verwenden.

Standardzugriff

In diesem Abschnitt wird der Standardzugriff für benutzerdefinierte Trainings- und Vorhersagecontainer von benutzerdefinierten Model-Ressourcen erläutert. Wenn Sie ein benutzerdefiniertes Dienstkonto verwenden, überschreiben Sie diesen Zugriff für eine bestimmte Ressource vom Typ CustomJob, HyperparameterTuningJob, TrainingPipeline oder DeployedModel.

Trainingscontainer

Wenn Sie einen CustomJob, HyperparameterTuningJob oder eine benutzerdefinierte TrainingPipeline erstellen, wird der Trainingscontainer standardmäßig mit dem Dienst-Agent des benutzerdefinierten Vertex AI-Codes Ihres Google Cloud-Projekts ausgeführt.

Weitere Informationen erhalten Sie unter Dienst-Agent des benutzerdefinierten Vertex AI-Codes. Hier wird auch gezeigt, wie Sie ihm Zugriff auf zusätzliche Google Cloud-Ressourcen gewähren.

Vorhersagecontainer

Wenn Sie ein benutzerdefiniertes Model für einen Endpoint bereitstellen, wird der Vorhersagecontainer mit einem Dienstkonto ausgeführt, das von Vertex AI verwaltet wird. Dieses Dienstkonto unterscheidet sich von den Vertex AI-Agents.

Das Dienstkonto, das standardmäßig vom Vorhersagecontainer verwendet wird, ist berechtigt, Modellartefakte zu lesen, die von Vertex AI unter einem URI verfügbar gemacht werden, der in der Umgebungsvariable AIP_STORAGE_URI gespeichert ist. Wenn Sie andere Berechtigungen benötigen, ist dafür das Dienstkonto nicht geeignet. Die Berechtigungen des Dienstkontos können nicht angepasst werden.

Benutzerdefiniertes Dienstkonto konfigurieren

In den folgenden Abschnitten wird gezeigt, wie Sie ein benutzerdefiniertes Dienstkonto für die Verwendung mit Vertex AI einrichten und wie Sie CustomJob, HyperparameterTuningJob, TrainingPipeline oder DeployedModel für die Verwendung des Dienstkontos konfigurieren.

Benutzerdefiniertes Dienstkonto einrichten

So richten Sie ein benutzerdefiniertes Dienstkonto ein:

  1. Erstellen Sie ein vom Nutzer verwaltetes Dienstkonto. Das nutzerverwaltete Dienstkonto muss sich im selben Projekt wie Ihre Vertex AI-Ressourcen befinden.

  2. Weisen Sie dem neuen Dienstkonto IAM-Rollen zu, die Zugriff auf die Google Cloud-Dienste und -Ressourcen gewähren, die Vertex AI für das benutzerdefinierte Training oder die Vorhersage verwenden soll.

  3. Suchen Sie in dem Projekt, in dem Sie Vertex AI verwenden, die E-Mail-Adresse des Vertex AI-Dienst-Agents des Projekts. Diese E-Mail-Adresse hat folgendes Format:

    service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com
    

    PROJECT_NUMBER muss durch die Projektnummer für Ihr Google Cloud-Projekt ersetzt werden.

    Sie finden das Dienstkonto auf der IAM-Seite in der Google Cloud Console:

    Zur IAM-Seite

  4. Wenn Sie das benutzerdefinierte Dienstkonto nur für das Training verwenden möchten, überspringen Sie diesen Schritt. Wenn Sie das benutzerdefinierte Dienstkonto für einen Vorhersagecontainer verwenden möchten, weisen Sie ihm eine zusätzliche Rolle zu:

    Weisen Sie in dem Projekt, in dem Sie Vertex AI verwenden, dem Vertex AI-Dienst-Agent des Projekts die Rolle „Dienstkontoadministrator“ (roles/iam.serviceAccountAdmin) für Ihr neues benutzerdefiniertes Dienstkonto zu. Verwenden Sie dazu das gcloud-Tool, um den folgenden Befehl auszuführen:

    gcloud iam service-accounts add-iam-policy-binding \
      --role=roles/iam.serviceAccountAdmin \
      --member=serviceAccount:AI_PLATFORM_SERVICE_AGENT \
      CUSTOM_SERVICE_ACCOUNT
    

    Ersetzen Sie in diesem Befehl die folgenden Platzhalter:

    • AI_PLATFORM_SERVICE_AGENT ist die E-Mail-Adresse des Dienst-Agents von Vertex AI für Ihr Projekt, die Sie im vorherigen Schritt dieses Abschnitts ermittelt haben.

    • CUSTOM_SERVICE_ACCOUNT ist die E-Mail-Adresse des neuen benutzerverwalteten Dienstkontos, das Sie im ersten Schritt dieses Abschnitts erstellt haben.

Benutzerdefiniertes Dienstkonto für Vertex AI-Ressourcen angeben

Das Konfigurieren von Vertex AI für die Verwendung eines bestimmten Dienstkontos für eine Ressource wird als Anhängen des Dienstkontos an die Ressource bezeichnet. In den folgenden Abschnitten wird gezeigt, wie Sie das im vorherigen Abschnitt erstellte Dienstkonto an mehrere Vertex AI-Ressourcen anhängen.

Dienstkonto an eine benutzerdefinierte Trainingsressource anhängen

Zum Konfigurieren von Vertex AI für die Verwendung Ihres neuen Dienstkontos beim benutzerdefinierten Training geben Sie in das Feld serviceAccount einer CustomJobSpec-Nachricht die E-Mail-Adresse des Dienstkontos ein, wenn Sie ein benutzerdefiniertes Training starten. Abhängig vom Typ der benutzerdefinierten Trainingsressource, die Sie erstellen, unterscheidet sich die Platzierung dieses Felds in der API-Anfrage:

  • Wenn Sie einen CustomJob erstellen, geben Sie die E-Mail-Adresse des Dienstkontos in CustomJob.jobSpec.serviceAccount an.

    Weitere Informationen erhalten Sie im Abschnitt über das Erstellen eines CustomJob.

  • Wenn Sie einen HyperparameterTuningJob erstellen, geben Sie die E-Mail-Adresse des Dienstkontos in HyperparameterTuningJob.trialJobSpec.serviceAccount an.

    Weitere Informationen im Abschnitt über das Erstellen eines HyperparameterTuningJob.

  • Wenn Sie eine benutzerdefinierte TrainingPipeline ohne Hyperparameter-Abstimmung erstellen, geben Sie die E-Mail-Adresse des Dienstkontos in TrainingPipeline.trainingTaskInputs.serviceAccount an.

  • Wenn Sie eine benutzerdefinierte TrainingPipeline mit Hyperparameter-Abstimmung erstellen, geben Sie die E-Mail-Adresse des Dienstkontos in TrainingPipeline.trainingTaskInputs.trialJobSpec.serviceAccount an.

Dienstkonto an einen Container für Onlinevorhersagen anhängen

Um einen Vorhersagecontainer für ein benutzerdefiniertes Model für die Verwendung Ihres neuen Dienstkontos zu konfigurieren, geben Sie die E-Mail-Adresse des Dienstkontos an, wenn Sie das Model für einen Endpoint bereitstellen:

Console

Folgen Sie den Erläuterungen unter Modell mit der Cloud Console bereitstellen. Beim Festlegen von Modelleinstellungen wählen Sie das Dienstkonto in der Drop-down-Liste Dienstkonto aus.

gcloud

Modell mithilfe der Vertex AI API bereitstellen Verwenden Sie beim Ausführen des Befehls gcloud ai endpoints deploy-model das Flag --service-account, um die E-Mail-Adresse Ihres Dienstkontos anzugeben.

Beispiel:

gcloud ai endpoints deploy-model ENDPOINT_ID \
--region=LOCATION \
--model=MODEL_ID \
--display-name=DEPLOYED_MODEL_NAME \
--machine-type=MACHINE_TYPE \
--min-replica-count=MIN_REPLICA_COUNT \
--max-replica-count=MAX_REPLICA_COUNT \
--traffic-split=0=100 \
--service-account=CUSTOM_SERVICE_ACCOUNT

Ersetzen Sie CUSTOM_SERVICE_ACCOUNT durch die E-Mail-Adresse des Dienstkontos.

API

Modell mithilfe der Vertex AI API bereitstellen Wenn Sie die Anfrage projects.locations.endpoints.deployModel senden, legen Sie für das Feld deployedModel.serviceAccount die E-Mail-Adresse des Dienstkontos fest.

Über den Code auf Google Cloud-Dienste zugreifen

Wenn Sie Vertex AI für die Verwendung eines benutzerdefinierten Dienstkontos gemäß der Anleitung in den vorherigen Abschnitten konfigurieren, kann Ihr Trainings- oder Vorhersagecontainer auf alle Google Cloud-Dienste und -Ressourcen zugreifen, auf die das Dienstkonto Zugriff hat.

Um auf Google Cloud-Dienste zuzugreifen, legen Sie in Ihrem Trainingscode oder in Ihrem Code zur Vorhersagebereitstellung die Verwendung von Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) fest und geben Sie explizit die Projekt-ID oder Projektnummer der Ressource an, auf die Sie zugreifen möchten. Weitere Informationen zum Schreiben von Code für den Zugriff auf andere Google Cloud-Dienste

Nächste Schritte