控制对 Model Garden 模型的访问权限

借助 Model Garden 的组织政策，您可以集中控制用户可以访问的模型以及他们可以执行的操作。默认情况下，任何具有使用 Vertex AI 权限的用户都可以使用 Model Garden 发现、自定义和部署各种 Google 和第三方模型。

例如，如果您有一组已获批准的 Google 模型和第三方模型，并且可在生产环境中使用，那么设置模型花园政策可能会很有用。您可以在组织、文件夹或项目级层定义政策，以便您的用户只能访问已获批准的模型。政策适用于所有主账号。组织政策不是针对每个用户的政策。如需了解详情，请参阅组织政策服务简介。

政策评估

在评估时，系统会审核为特定资源做出贡献的所有政策，并仅合并并评估适用的政策。任何显式拒绝值都优先于任何显式允许值。

例如，假设您有一条禁止特定模型的文件夹政策和一条允许该模型的项目政策。假设这些政策已合并，则系统会在项目级别拒绝对模型的访问，因为文件夹级别的明确拒绝政策优先。不过，如果您将项目政策设置为替换所有父政策，则允许在项目级别访问模型。

如需了解详情，请参阅 Resource Manager 文档中的了解层次结构评估。

注意事项

• Model Garden 组织政策仅适用于 Model Garden 中的模型。例如，此政策不适用于在 Vertex AI Model Registry 中注册的模型。
• 组织政策中的允许值和拒绝值不得超过 500 个。
• 对于自定义政策，您必须单独指定每个模型。您无法允许或拒绝一组模型。例如，您无法拒绝所有第三方模型，也无法仅针对 Google 模型允许预测操作。
• 对于 Gemini 模型，您可以允许或拒绝特定的模型版本，例如 gemini-1.5-pro-002。其他 Google 模型不支持此级别的细分。例如，text-bison 政策适用于 text-bison 模型的所有版本。

政策详情

设置政策时，您可以定义以下某项操作：

• 允许所有型号。
• 拒绝所有模型。
• 设置自定义政策规则，以允许或拒绝特定的模型列表。

默认情况下，如果未设置或继承任何政策，则允许使用所有模型和操作。

对于自定义拒绝政策，您可以明确拒绝列出的模型，并隐式允许所有其他模型。同样，对于自定义允许政策，您可以明确允许一组模型，并隐式拒绝所有其他模型。

如需在自定义政策中指定模型，并可选择指定特定模型操作，请使用以下格式：

publishers/PUBLISHER/models/MODEL_NAME:ACTION

替换以下内容：

• PUBLISHER：拥有您的政策适用对象的模型的发布商的名称。
• MODE_NAME：要允许或拒绝的模型的名称。
• ACTION：要与政策一起使用的模型操作。

例如，如需针对 gemini-1.5-pro-002 模型定义预测政策规则，请指定 publishers/google/models/gemini-1.5-pro-002:predict。

完全限定 ID (publishers/PUBLISHER/models/MODEL_NAME) 也称为模型 ID。如需查找模型的模型 ID，请前往 Model Garden 中的模型卡片。如需查看模型卡片的链接，请参阅在 Model Garden 中探索 AI 模型中的模型列表。

模型操作

对于每种模型，您可以允许或拒绝以下操作：

• predict：用于指定用户能否使用受管 API（模型即服务）对模型进行在线和批量预测。
• deploy：对于没有托管式 API 的模型，用于指定用户是否可以在 Google Cloud 上部署模型。例如，此操作适用于 Google Cloud 控制台中的一键式部署。
• tune：指定用户是否可以调优模型。

设置政策

您可以使用 Google Cloud 控制台或 Google Cloud CLI 为 Model Garden 设置政策。该约束条件的名称为 vertexai.allowedModels。如需详细了解如何设置政策，请参阅 Resource Manager 文档中的以下主题：

• 如需了解 Google Cloud 控制台说明，请参阅创建和管理组织政策。
• 如需查看 gcloud CLI 说明，请参阅使用限制条件。

示例政策

以下政策示例采用 YAML 格式，您可在通过 gcloud CLI 设置政策时使用。

拒绝一组模型并允许所有其他模型

以下示例拒绝对一组特定模型执行操作。

name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels
spec:
  rules:
    values:
      deniedValues:
      - publishers/google/models/gemini-1.5-pro-002:predict
      - publishers/meta/models/llama3:deploy
      - publishers/google/models/gemini-pro:tune
      - publishers/hf-google/models/gemma-2b:deploy

将 ORGANIZATION_ID 替换为您的 Google Cloud 组织的 ID。如需了解详情，请参阅获取组织资源。

允许一组模型并拒绝所有其他模型

以下示例允许对特定模型集执行操作。

name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels
spec:
  rules:
    values:
      allowedValues:
      - publishers/google/models/gemini-1.5-pro-002:predict
      - publishers/meta/models/llama3:deploy
      - publishers/google/models/gemini-pro:tune
      - publishers/hf-google/models/gemma-2b

允许特定版本的 Gemini 模型

您可以指定 Gemini 模型的特定视图。例如，您可以针对以下情况设置政策：

• 所有 Gemini Pro 模型
• Gemini 1.5 Pro 模型的所有版本
• Gemini 1.5 Pro 模型的特定版本

对于所有其他模型，您无法指定特定版本。

name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels
spec:
  rules:
    values:
      allowedValues:
      - publishers/google/models/gemini-pro:predict
      - publishers/google/models/gemini-1.5-pro:predict
      - publishers/google/models/gemini-1.5-pro-002:predict

后续步骤

了解 Model Garden 及其产品。