Contrôler l'accès aux modèles Model Garden

Les règles d'administration de Model Garden vous permettent de contrôler de manière centralisée les modèles auxquels vos utilisateurs peuvent accéder et les actions qu'ils peuvent effectuer. Par défaut, toute personne disposant des autorisations nécessaires pour utiliser Vertex AI peut utiliser Model Garden pour découvrir, personnaliser et déployer un large éventail de modèles Google et tiers.

Définir une règle Model Garden peut être utile, par exemple, si vous disposez d'un ensemble de modèles Google et tiers approuvés pouvant être utilisés dans des environnements de production. Vous pouvez définir une règle au niveau de l'organisation, du dossier ou du projet afin que vos utilisateurs n'aient accès qu'aux modèles approuvés. Une règle s'applique à tous les comptes principaux. Une règle d'administration est différente d'une règle par utilisateur. Pour en savoir plus, consultez la présentation du service de règles d'administration.

Évaluations des règles

Au moment de l'évaluation, toutes les règles qui contribuent à une ressource spécifique sont examinées, et seules les règles applicables sont fusionnées, puis évaluées. Toute valeur de refus explicite a priorité sur toute valeur d'autorisation explicite.

Par exemple, imaginons que vous ayez une règle de dossier qui refuse un modèle spécifique et une règle de projet qui autorise ce même modèle. En supposant que les règles sont fusionnées, l'accès au modèle est refusé au niveau du projet, car la règle de refus explicite au niveau du dossier prévaut. Toutefois, si vous définissez la règle de projet pour qu'elle remplace toutes les règles parentes, l'accès au modèle est autorisé au niveau du projet.

Pour en savoir plus, consultez la section Comprendre l'évaluation hiérarchique dans la documentation de Resource Manager.

Remarques

  • Les règles d'administration Model Garden ne s'appliquent qu'aux modèles de Model Garden. Par exemple, cette règle ne s'applique pas aux modèles enregistrés dans Vertex AI Model Registry.
  • Une règle d'administration ne peut pas contenir plus de 500 valeurs autorisées et refusées.
  • Pour une règle personnalisée, vous devez spécifier chaque modèle individuellement. Vous ne pouvez pas autoriser ni refuser un groupe de modèles. Par exemple, vous ne pouvez pas refuser tous les modèles tiers ni autoriser l'action de prédiction uniquement pour les modèles Google.
  • Pour les modèles Gemini, vous pouvez autoriser ou refuser des versions de modèles spécifiques, telles que gemini-1.5-pro-002. Les autres modèles Google ne sont pas compatibles avec ce niveau de précision. Par exemple, une règle text-bison s'applique à toutes les versions du modèle text-bison.

Détails des règles

Lorsque vous définissez une règle, vous définissez l'une des actions suivantes :

  • Autoriser tous les modèles.
  • Refuser tous les modèles.
  • Définir une règle de politique personnalisée pour autoriser ou refuser une liste spécifique de modèles.

Par défaut, si aucune règle n'est définie ou héritée, tous les modèles et toutes les actions sont autorisés.

Pour une règle de refus personnalisée, vous refusez explicitement une liste de modèles et autorisez implicitement tous les autres modèles. De même, pour une règle d'autorisation personnalisée, vous autorisez explicitement une liste de modèles et refusez implicitement tous les autres modèles.

Pour spécifier des modèles dans une règle personnalisée et, éventuellement, une action de modèle spécifique, utilisez le format suivant :

publishers/PUBLISHER/models/MODEL_NAME:ACTION

Remplacez les éléments suivants :

  • PUBLISHER : nom de l'éditeur propriétaire du modèle auquel votre règle s'applique.
  • MODE_NAME : nom du modèle à autoriser ou à refuser.
  • ACTION : action de modèle à inclure dans votre règle.

Par exemple, pour définir une règle de stratégie sur les prédictions par rapport au modèle gemini-1.5-pro-002, spécifiez publishers/google/models/gemini-1.5-pro-002:predict.

L'ID complet (publishers/PUBLISHER/models/MODEL_NAME) est également appelé ID du modèle. Pour trouver l'ID d'un modèle, accédez à sa fiche dans Model Garden. Pour obtenir des liens vers des fiches de modèle, consultez la liste des modèles dans Explorer les modèles d'IA dans Model Garden.

Actions du modèle

Pour chaque modèle, vous pouvez autoriser ou refuser les actions suivantes :

  • predict : indique si les utilisateurs peuvent effectuer des prédictions en ligne et par lot sur un modèle avec une API gérée (modèle en tant que service).
  • deploy : pour les modèles sans API gérée, indique si les utilisateurs peuvent déployer des modèles sur Google Cloud. Par exemple, cette action s'applique aux déploiements en un clic dans la console Google Cloud.
  • tune : indique si les utilisateurs peuvent régler les modèles.

Définir une stratégie

Vous pouvez définir une règle pour Model Garden à l'aide de la console Google Cloud ou de Google Cloud CLI. Le nom de la contrainte est vertexai.allowedModels. Pour en savoir plus sur la définition des règles, consultez les articles suivants de la documentation de Resource Manager :

Exemples de règles

Les exemples de stratégies suivants sont au format YAML, que vous utilisez lorsque vous définissez une stratégie via gcloud CLI.

Refuser un ensemble de modèles et autoriser tous les autres modèles

L'exemple suivant refuse les actions sur un ensemble spécifique de modèles.

name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels
spec:
  rules:
    values:
      deniedValues:
      - publishers/google/models/gemini-1.5-pro-002:predict
      - publishers/meta/models/llama3:deploy
      - publishers/google/models/gemini-pro:tune
      - publishers/hf-google/models/gemma-2b:deploy

Remplacez ORGANIZATION_ID par l'ID de votre organisation Google Cloud. Pour en savoir plus, consultez Obtenir une ressource d'organisation.

Autoriser un ensemble de modèles et refuser tous les autres modèles

L'exemple suivant permet d'effectuer des actions sur un ensemble spécifique de modèles.

name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels
spec:
  rules:
    values:
      allowedValues:
      - publishers/google/models/gemini-1.5-pro-002:predict
      - publishers/meta/models/llama3:deploy
      - publishers/google/models/gemini-pro:tune
      - publishers/hf-google/models/gemma-2b

Autoriser des versions spécifiques d'un modèle Gemini

Vous pouvez spécifier des visions particulières des modèles Gemini. Par exemple, vous pouvez définir une règle pour les cas suivants :

  • Tous les modèles Gemini Pro
  • Toutes les versions du modèle Gemini 1.5 Pro
  • Une version spécifique du modèle Gemini 1.5 Pro

Pour tous les autres modèles, vous ne pouvez pas spécifier de versions particulières.

name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels
spec:
  rules:
    values:
      allowedValues:
      - publishers/google/models/gemini-pro:predict
      - publishers/google/models/gemini-1.5-pro:predict
      - publishers/google/models/gemini-1.5-pro-002:predict

Étape suivante

En savoir plus sur Model Garden et ses offres.