Controlar o acesso aos modelos do Model Garden

A política de organização do Model Garden permite controlar centralmente os modelos que os usuários podem acessar e as ações que eles podem realizar. Por padrão, qualquer pessoa com permissões para usar a Vertex AI pode usar o Model Garden para descobrir, personalizar e implantar uma ampla variedade de modelos do Google e de terceiros.

Definir uma política do Model Garden pode ser útil, por exemplo, se você tiver um conjunto de modelos do Google e de terceiros aprovados que podem ser usados em ambientes de produção. É possível definir uma política no nível da organização, da pasta ou do projeto para que os usuários só acessem os modelos aprovados. Uma política se aplica a todos os principais. Uma política da organização não é uma política por usuário. Para mais informações, consulte Introdução ao serviço de políticas da organização.

Avaliações de políticas

No momento da avaliação, todas as políticas que contribuem para um recurso específico são analisadas, e apenas as aplicáveis são mescladas e avaliadas. Qualquer valor de negação explícito tem precedência sobre qualquer valor de permissão explícito.

Por exemplo, imagine que você tem uma política de pasta que nega um modelo específico e uma política de projeto que permite esse mesmo modelo. Supondo que as políticas sejam fundidas, o acesso ao modelo será negado no nível do projeto porque a política de negação explícita no nível da pasta tem precedência. No entanto, se você definir a política do projeto para substituir todas as políticas mães, o acesso ao modelo será permitido no nível do projeto.

Para mais informações, consulte Noções básicas sobre a avaliação da hierarquia na documentação do Resource Manager.

Considerações

  • A política de organização do Model Garden só se aplica a modelos no Model Garden. Por exemplo, essa política não se aplica a modelos registrados no Vertex AI Model Registry.
  • Uma política da organização não pode ter mais de 500 valores permitidos e negados.
  • Para uma política personalizada, é necessário especificar cada modelo individualmente. Não é possível permitir ou negar um grupo de modelos. Por exemplo, não é possível negar todos os modelos de terceiros ou permitir a ação de previsão apenas para modelos do Google.

Detalhes da política

Ao definir uma política, você define uma das seguintes ações:

  • Permitir todos os modelos.
  • Negar todos os modelos.
  • Defina uma regra de política personalizada para permitir ou negar uma lista específica de modelos.

Por padrão, se nenhuma política for definida ou herdada, todos os modelos e ações serão permitidos.

Em uma política de negação personalizada, você nega explicitamente uma lista de modelos e permite implicitamente todos os outros. Da mesma forma, para uma política de permissão personalizada, você permite explicitamente uma lista de modelos e nega implicitamente todos os outros.

Para especificar modelos em uma política personalizada e uma ação de modelo, use o seguinte formato:

publishers/PUBLISHER/models/MODEL_NAME:ACTION

Substitua:

  • PUBLISHER: o nome do editor proprietário do modelo a que a política se aplica.
  • MODE_NAME: o nome do modelo a ser permitido ou negado.
  • ACTION: uma ação de modelo para incluir na política.

Por exemplo, para definir uma regra de política em previsões contra o modelo gemini-1.5-pro, especifique publishers/google/models/gemini-1.5-pro:predict.

O ID totalmente qualificado (publishers/PUBLISHER/models/MODEL_NAME) também é conhecido como ID do modelo. Para encontrar o ID de um modelo, acesse o card de modelo no Model Garden. Para conferir links para cards de modelo, consulte a lista de modelos em Conhecer modelos de IA no Model Garden.

Ações do modelo

Para cada modelo, você pode permitir ou negar as seguintes ações:

  • predict: especifica se os usuários podem fazer previsões on-line e em lote em um modelo com uma API gerenciada (modelo como serviço).
  • deploy: para modelos sem uma API gerenciada, especifica se os usuários podem implantar modelos no Google Cloud. Por exemplo, essa ação se aplica a implantações com um clique no console do Google Cloud.
  • tune: especifica se os usuários podem ajustar modelos.

Como definir uma política

É possível definir uma política para o Model Garden usando o console do Google Cloud ou a CLI do Google Cloud. O nome da restrição é vertexai.allowedModels. Para mais informações sobre como definir políticas, consulte os seguintes tópicos na documentação do Resource Manager:

Exemplos de política

Os exemplos de políticas a seguir estão no formato YAML, que você usa ao definir uma política pela CLI gcloud.

Negar um conjunto de modelos e permitir todos os outros

O exemplo a seguir nega ações em um conjunto específico de modelos.

name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels
spec:
  rules:
    values:
      deniedValues:
      - publishers/meta/models/llama3:deploy
      - publishers/google/models/gemini-pro:tune
      - publishers/hf-google/models/gemma-2b:deploy

Substitua ORGANIZATION_ID pelo ID da organização do Google Cloud. Para mais informações, consulte Como conseguir um recurso de organização.

Permitir um conjunto de modelos e negar todos os outros

O exemplo a seguir permite ações em um conjunto específico de modelos.

name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels
spec:
  rules:
    values:
      allowedValues:
      - publishers/meta/models/llama3:deploy
      - publishers/google/models/gemini-pro:tune
      - publishers/hf-google/models/gemma-2b

A seguir

Saiba mais sobre o Model Garden e as ofertas dele.