本頁面由 Cloud Translation API 翻譯而成。

為團隊設定專案

本頁提供範例，說明如何為使用 Vertex AI 的團隊設定專案。本頁面假設您已熟悉「運用 IAM 執行 Vertex AI 存取控管」和「與存取權管理相關的概念」一文中所述的 Identity and Access Management (IAM) 概念，例如政策、角色、權限和主體。

這些範例可供一般使用。請考量團隊的特定需求，並據此調整專案設定方式。

總覽

Vertex AI 會使用 IAM 管理資源存取權。規劃資源的存取權控管時，請考量下列事項：

您可以管理專案層級或資源層級的存取權。專案層級存取權會套用至該專案中的所有資源。特定資源的存取權僅適用於該資源。
您可以將 IAM 角色指派給主體，藉此授予存取權。您可以使用預先定義的角色來簡化存取權設定，但建議您建立自訂角色，這樣您就能限制角色的存取權，只授予必要的權限。

如要進一步瞭解存取權控管，請參閱「運用 IAM 控管 Vertex AI 存取權」。

單一專案，可共用資料和 Vertex AI 資源的存取權

在這個範例中，團隊會共用單一專案，其中包含他們的資料和 Vertex AI 資源。

如果團隊的資料、容器和其他 Vertex AI 資源可供專案的所有使用者共用，您可以採用這種方式設定專案。

您的專案 IAM 允許政策可能類似以下內容：

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/aiplatform.user",
      "members": [
        "user:USER1_EMAIL_ADDRESS",
        "user:USER2_EMAIL_ADDRESS"
      ]
    },
    {
      "role": "roles/storage.admin",
      "members": [
        "user:USER1_EMAIL_ADDRESS",
        "user:USER2_EMAIL_ADDRESS"
      ]
    },
    {
      "role": "roles/aiplatform.serviceAgent",
      "members": [
        "user:service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com"
      ]
    }
  ]
}

以這種方式設定專案後，團隊就能更輕鬆地協同合作，訓練模型、偵錯程式碼、部署模型，以及觀察端點。所有使用者都會看到相同的資源，並可使用相同的資料進行訓練。Vertex AI 資源是在單一專案中運作，因此您不需要授予專案以外的資源存取權。配額會在團隊中共用。

如要為團隊專案設定存取權控管，請參閱「管理專案、資料夾和機構的存取權」。

分開資料和 Vertex AI 資源

在這個範例中，團隊的資料位於 Vertex AI 資源以外的專案中。

您可能會在下列情況下，以這種方式設定專案：

團隊的資料很難遷移至與 Vertex AI 資源相同的專案。
團隊的資料需要特定的存取權控管機制。

在這種情況下，建議您為資料和 Vertex AI 資源建立專案。團隊開發人員會共用含有 Vertex AI 資源的專案。這些專案會使用 Vertex AI 資源存取及處理儲存在其他專案中的資料。資料管理員可透過服務代理人或自訂服務帳戶授予 Vertex AI 資源存取權。

舉例來說，您可以授予預設 Vertex AI 服務代理存取 Cloud Storage 值區的權限，並使用以下類似的許可政策：

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/storage.objectViewer",
      "members": [
        "user:service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com",
        "user:service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com"
      ]
    }
  ]
}

請盡可能在建立 Vertex AI 資源時，指定要用來做為資源身分的服務帳戶，並使用該服務帳戶管理存取權控管。這樣一來，您就能更輕鬆地授予特定資源存取資料的權限，並隨時間管理權限。

舉例來說，您可以使用以下政策授予服務帳戶 BigQuery 存取權：

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/bigquery.user",
      "members": [
        "user:SERVICE_ACCOUNT_NAME@PROJECT_NUMBER.iam.gserviceaccount.com"
      ]
    }
  ]
}

如要設定服務帳戶的存取權控管機制，請參閱「管理服務帳戶的存取權」。

在含有 Vertex AI 資源的專案中，管理員可以授予使用者指定服務帳戶的服務帳戶使用者角色 (roles/iam.serviceAccountUser)，讓使用者存取資料。

在其他獨立專案中隔離信任程度較低的程式碼

模型、預測容器和訓練容器都是程式碼。請務必將較不受信任的程式碼與機密模型和資料隔離。在專屬專案中部署端點和訓練階段、使用權限非常有限的專屬服務帳戶，並使用 VPC Service Controls 將這些項目隔離，降低授予這些容器和模型的存取權所造成的影響。

後續步驟

如要進一步瞭解端點存取權控管，請參閱「控管 Vertex AI 端點的存取權」。
如要進一步瞭解如何使用自訂服務帳戶控管特定資源的存取權，請參閱「使用自訂服務帳戶」一文。