Model Garden の組織のポリシーを使用すると、ユーザーがアクセスできるモデルと実行できるアクションを一元的に制御できます。デフォルトでは、Vertex AI の使用権限を持つすべてのユーザーが Model Garden を使用して、さまざまな Google モデルとサードパーティ モデルを検出してカスタマイズし、デプロイできます。
Model Garden ポリシーを設定すると、たとえば、本番環境で使用できる承認済みの Google モデルとサードパーティ モデルのセットが存在する場合に役立ちます。組織、フォルダ、プロジェクト レベルでポリシーを定義して、ユーザーが承認済みのモデルにのみアクセスできるようにできます。ポリシーはすべてのプリンシパルに適用されます。組織のポリシーはユーザーごとのポリシーではありません。詳細については、組織ポリシー サービスの概要をご覧ください。
ポリシーの評価
評価時に、特定のリソースに影響するすべてのポリシーが確認され、適用可能なポリシーのみが統合されて評価されます。明示的な拒否値は、明示的な許可値よりも優先されます。
たとえば、特定のモデルを拒否するフォルダ ポリシーと、同じモデルを許可するプロジェクト ポリシーがあるとします。ポリシーが統合されていると仮定すると、フォルダレベルの明示的な拒否ポリシーが優先されるため、モデルへのアクセスはプロジェクト レベルで拒否されます。ただし、すべての親ポリシーをオーバーライドするようにプロジェクト ポリシーを設定すると、プロジェクト レベルでモデルへのアクセスが許可されます。
詳細については、Resource Manager ドキュメントの階層評価についてをご覧ください。
考慮事項
- Model Garden 組織のポリシーは、Model Garden のモデルにのみ適用されます。たとえば、このポリシーは Vertex AI Model Registry に登録されているモデルには適用されません。
- 組織のポリシーで許可または拒否する値は 500 個までです。
- カスタム ポリシーの場合は、各モデルを個別に指定する必要があります。モデルのグループを許可または拒否することはできません。たとえば、すべてのサードパーティ モデルを拒否することや、Google モデルのみに予測アクションを許可することはできません。
- Gemini モデルの場合、
gemini-1.5-pro-002などの特定のモデル バージョンを許可または拒否できます。他の Google モデルでは、このレベルの粒度はサポートされていません。たとえば、text-bisonポリシーはtext-bisonモデルのすべてのバージョンに適用されます。
ポリシーの詳細
ポリシーを設定するときに、次のいずれかのアクションを定義します。
- すべてのモデルを許可する。
- すべてのモデルを拒否する。
- 特定のモデルのリストを許可または拒否するカスタム ポリシー ルールを設定する。
デフォルトでは、ポリシーが設定または継承されていない場合、すべてのモデルとアクションが許可されます。
カスタム拒否ポリシーでは、モデルのリストを明示的に拒否し、他のすべてのモデルを暗黙的に許可します。同様に、カスタム許可ポリシーでは、モデルのリストを明示的に許可し、他のすべてのモデルを暗黙的に拒否します。
カスタム ポリシーでモデルを指定し、必要に応じて特定のモデル アクションも指定するには、次の形式を使用します。
publishers/PUBLISHER/models/MODEL_NAME:ACTION
次のように置き換えます。
PUBLISHER: ポリシーが適用されるモデルを所有するパブリッシャーの名前。MODE_NAME: 許可または拒否するモデルの名前。ACTION: ポリシーに含めるモデル アクション。
たとえば、gemini-1.5-pro-002 モデルに対する予測に関するポリシールールを定義するには、publishers/google/models/gemini-1.5-pro-002:predict を指定します。
完全修飾 ID(publishers/PUBLISHER/models/MODEL_NAME)は、モデル ID とも呼ばれます。モデルのモデル ID を確認するには、Model Garden のモデルカードに移動します。モデルカードへのリンクについては、Model Garden で AI モデルを調べるのモデルのリストをご覧ください。
モデルのアクション
モデルごとに、次のアクションを許可または拒否できます。
predict: ユーザーがマネージド API を使用してモデルに対してオンライン予測とバッチ予測を実行できるかどうかを指定します(Model as a Service)。deploy: マネージド API のないモデルの場合、ユーザーが Google Cloud にモデルをデプロイできるかどうかを指定します。たとえば、このアクションは Google Cloud コンソールのワンクリック デプロイに適用されます。tune: ユーザーがモデルをチューニングできるかどうかを指定します。
ポリシーの設定
Model Garden のポリシーは、Google Cloud コンソールまたは Google Cloud CLI を使用して設定できます。制約の名前は vertexai.allowedModels です。ポリシーの設定の詳細については、Resource Manager ドキュメントの次のトピックをご覧ください。
- Google Cloud コンソールでの手順については、組織のポリシーの作成と管理をご覧ください。
- gcloud CLI の手順については、制約の使用をご覧ください。
ポリシーの例
次のポリシーの例は YAML 形式です。これは、gcloud CLI でポリシーを設定するときに使用します。
モデルのセットを拒否し、他のすべてのモデルを許可する
次の例では、特定のモデルのセットに対するアクションを拒否します。
name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels spec: rules: values: deniedValues: - publishers/google/models/gemini-1.5-pro-002:predict - publishers/meta/models/llama3:deploy - publishers/google/models/gemini-pro:tune - publishers/hf-google/models/gemma-2b:deploy
ORGANIZATION_ID は、Google Cloud 組織の ID に置き換えます。詳細については、組織リソースを取得するをご覧ください。
モデルのセットを許可し、他のすべてのモデルを拒否する
次の例では、特定のモデルのセットに対するアクションを許可します。
name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels spec: rules: values: allowedValues: - publishers/google/models/gemini-1.5-pro-002:predict - publishers/meta/models/llama3:deploy - publishers/google/models/gemini-pro:tune - publishers/hf-google/models/gemma-2b
Gemini モデルの特定のバージョンを許可する
Gemini モデルの特定のビジョンを指定できます。たとえば、次のような場合にポリシーを設定できます。
- すべての Gemini Pro モデル
- Gemini 1.5 Pro のすべてのモデル バージョン
- Gemini 1.5 Pro モデルの特定のバージョン
他のすべてのモデルでは、特定のバージョンを指定できません。
name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels spec: rules: values: allowedValues: - publishers/google/models/gemini-pro:predict - publishers/google/models/gemini-1.5-pro:predict - publishers/google/models/gemini-1.5-pro-002:predict
次のステップ
Model Garden とそのサービスについて学習する。