Auf dieser Seite finden Sie Beispiele dafür, wie Sie ein Projekt für ein Team einrichten können, das mit Vertex AI arbeitet. Auf dieser Seite wird davon ausgegangen, dass Sie mit IAM-Konzepten wie Richtlinien, Rollen, Berechtigungen und Hauptkonten vertraut sind, wie unter Vertex AI-Zugriffssteuerung mit IAM und Konzepte der Zugriffsverwaltung beschrieben.
Diese Beispiele sind allgemeingültig. Berücksichtigen Sie die spezifischen Anforderungen des Teams und passen Sie die Einrichtung des Projekts entsprechend an.
Übersicht
Vertex AI verwendet IAM, um den Zugriff auf Ressourcen zu verwalten. Berücksichtigen Sie bei der Planung der Zugriffssteuerung für Ihre Ressourcen Folgendes:
Sie können den Zugriff auf Projekt- oder Ressourcenebene verwalten. Der Zugriff auf Projektebene gilt für alle Ressourcen in diesem Projekt. Der Zugriff auf eine bestimmte Ressource gilt nur für diese Ressource.
Sie gewähren Zugriff, indem Sie Hauptkonten IAM-Rollen zuweisen. Vordefinierte Rollen erleichtern die Einrichtung des Zugriffs. Wir empfehlen jedoch benutzerdefinierte Rollen, da Sie diese erstellen und den Zugriff auf die erforderlichen Berechtigungen beschränken können.
Weitere Informationen zur Zugriffssteuerung finden Sie unter Vertex AI-Zugriffssteuerung mit IAM.
Einzelnes Projekt mit freigegebenem Zugriff auf Daten und Vertex AI-Ressourcen
In diesem Beispiel gibt ein Team ein einzelnes Projekt frei, das seine Daten und Vertex AI-Ressourcen enthält.
Sie können ein Projekt so einrichten, wenn die Daten, Container und anderen Vertex AI-Ressourcen des Teams für alle Nutzer des Projekts freigegeben werden können.
Die IAM-Zulassungsrichtlinie Ihres Projekts könnte in etwa so aussehen:
{
"version": 1,
"etag": "BwWKmjvelug=",
"bindings": [
{
"role": "roles/aiplatform.user",
"members": [
"user:USER1_EMAIL_ADDRESS",
"user:USER2_EMAIL_ADDRESS"
]
},
{
"role": "roles/storage.admin",
"members": [
"user:USER1_EMAIL_ADDRESS",
"user:USER2_EMAIL_ADDRESS"
]
},
{
"role": "roles/aiplatform.serviceAgent",
"members": [
"user:service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com"
]
}
]
}
Wenn Sie ein Projekt so einrichten, kann ein Team einfacher zusammenarbeiten, um Modelle zu trainieren, Code zu debuggen, Modelle bereitzustellen und Endpunkte zu beobachten. Alle Nutzer sehen dieselben Ressourcen und können mit denselben Daten trainieren. Vertex AI-Ressourcen werden innerhalb eines einzelnen Projekts ausgeführt. Sie müssen also keinen Zugriff auf Ressourcen außerhalb des Projekts gewähren. Das Kontingent wird auf das gesamte Team verteilt.
Informationen zum Einrichten der Zugriffssteuerung für das Projekt Ihres Teams finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Daten und Vertex AI-Ressourcen trennen
In diesem Beispiel befinden sich die Daten des Teams in einem Projekt, das von den Vertex AI-Ressourcen getrennt ist.
Sie können ein Projekt auf diese Weise einrichten, wenn:
Die Daten des Teams lassen sich nicht einfach in dasselbe Projekt wie Ihre Vertex AI-Ressourcen verschieben.
Für die Daten des Teams muss genau festgelegt werden, wer darauf zugreifen darf.
In diesen Fällen empfehlen wir, ein Projekt für die Daten und ein Projekt für Vertex AI-Ressourcen zu erstellen. Die Entwickler des Teams teilen das Projekt, das die Vertex AI-Ressourcen enthält. Sie verwenden die Vertex AI-Ressourcen, um auf die im anderen Projekt gespeicherten Daten zuzugreifen und sie zu verarbeiten. Datenadministratoren gewähren den Vertex AI-Ressourcen Zugriff über Dienst-Agents oder benutzerdefinierte Dienstkonten.
Sie können den Standard-Vertex AI-Dienst-Agents beispielsweise Zugriff auf einen Cloud Storage-Bucket mit einer Zulassungsrichtlinie gewähren, die so aussieht:
{
"version": 1,
"etag": "BwWKmjvelug=",
"bindings": [
{
"role": "roles/storage.objectViewer",
"members": [
"user:service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com",
"user:service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com"
]
}
]
}
Geben Sie beim Erstellen von Vertex AI-Ressourcen nach Möglichkeit ein Dienstkonto als Ressourcenidentität an und verwenden Sie dieses Dienstkonto, um die Zugriffssteuerung zu verwalten. So können Sie bestimmten Ressourcen leichter Zugriff auf die Daten gewähren und Berechtigungen im Laufe der Zeit verwalten.
So können Sie beispielsweise einem Dienstkonto mit einer Richtlinie wie der folgenden Zugriff auf BigQuery gewähren:
{
"version": 1,
"etag": "BwWKmjvelug=",
"bindings": [
{
"role": "roles/bigquery.user",
"members": [
"user:SERVICE_ACCOUNT_NAME@PROJECT_NUMBER.iam.gserviceaccount.com"
]
}
]
}
Informationen zum Einrichten der Zugriffssteuerung für Dienstkonten finden Sie unter Zugriff auf Dienstkonten verwalten.
Im Projekt mit den Vertex AI-Ressourcen können Administratoren Nutzern Zugriff auf die Daten gewähren, indem sie ihnen die Rolle „Dienstkontonutzer“ (roles/iam.serviceAccountUser) für die angegebenen Dienstkonten zuweisen.
Weniger vertrauenswürdigen Code in zusätzlichen separaten Projekten isolieren
Modelle, Vorhersagecontainer und Trainingscontainer sind Code. Es ist wichtig, weniger vertrauenswürdigen Code von sensiblen Modellen und Daten zu isolieren. Sie sollten Endpunkte und Trainingsphasen in eigenen Projekten bereitstellen, ein spezielles Dienstkonto mit sehr eingeschränkten Berechtigungen verwenden und VPC Service Controls nutzen, um sie zu isolieren und die Auswirkungen des Zugriffs auf solche Container und Modelle zu verringern.
Nächste Schritte
Weitere Informationen zur Endpunktzugriffssteuerung finden Sie unter Zugriff auf Vertex AI-Endpunkte steuern.
Weitere Informationen zum Steuern des Zugriffs auf bestimmte Ressourcen mit einem benutzerdefinierten Dienstkonto finden Sie unter Benutzerdefiniertes Dienstkonto verwenden.