Controllo dell'accesso con IAM

AI Platform Prediction utilizza Identity and Access Management (IAM) per gestire l'accesso alle risorse. Per concedere l'accesso a una risorsa, assegna uno o più ruoli a un utente, un gruppo o un account di servizio.

In AI Platform Prediction è possibile utilizzare tre tipi di ruoli IAM:

  • I ruoli di base (Proprietario, Visualizzatore e Editor) sono comuni a tutti i servizi Google Cloud.

  • I ruoli predefiniti di AI Platform Prediction ti consentono di eseguire un controllo dell'accesso granulare dell'accesso alle risorse di AI Platform Prediction a livello di progetto e modello.

  • I ruoli personalizzati ti consentono di scegliere un insieme specifico di autorizzazioni, creare il tuo ruolo con queste autorizzazioni e concederlo agli utenti della tua organizzazione.

Questa guida si concentra sui ruoli predefiniti di AI Platform Prediction, sul loro utilizzo tipico e sulle autorizzazioni associate.

La guida si concentra sui ruoli e sulle autorizzazioni necessari per accedere alle risorse di AI Platform Prediction. Per scoprire di più sulle autorizzazioni di queste risorse per accedere ad altre risorse Google Cloud, consulta l'articolo sugli agenti di servizio e sugli account di servizio personalizzati della piattaforma AI.

Ruoli di base

I ruoli IAM di Prediction della piattaforma AI precedenti si basano sui ruoli di base comuni a tutti i servizi Google Cloud: Proprietario, Visualizzatore ed Editor.

Il ruolo Editor del progetto legacy è equivalente al ruolo Amministratore di AI Platform Prediction.

Il ruolo Visualizzatore del progetto legacy concede le stesse autorizzazioni del ruolo Visualizzatore di AI Platform Prediction, oltre all'accesso per inviare richieste di previsione online. Il vantaggio dell'utilizzo del ruolo Visualizzatore di AI Platform Prediction è che l'utente ottiene l'accesso di sola lettura alle risorse di AI Platform Prediction.

Ruoli predefiniti

I ruoli predefiniti concedono un insieme di autorizzazioni correlate. AI Platform Prediction offre ruoli predefiniti per il progetto, nonché per singoli modelli, job e operazioni.

Per visualizzare un elenco completo delle autorizzazioni per ogni ruolo, fai clic sul nome del ruolo.

Ruoli del progetto

I ruoli Amministratore, Sviluppatore e Visualizzatore di AI Platform Prediction concedono diversi livelli di accesso alle risorse a livello di progetto.

Per aggiungere, aggiornare o rimuovere questi ruoli nel progetto AI Platform Prediction, consulta la documentazione su come concedere, modificare e revocare l'accesso.

Titolo del ruolo Nome ruolo Funzionalità
Amministratore di AI Platform Prediction

roles/ml.admin

Controllo completo del progetto AI Platform Prediction e dei relativi job, operazioni, modelli e versioni.

Nota:il ruolo di Editor di base del progetto è equivalente a roles/ml.admin.

Sviluppatore di AI Platform Prediction

roles/ml.developer

Crea job di addestramento e di previsione, modelli e versioni e invia richieste di previsione online.
Visualizzatore AI Platform Prediction

roles/ml.viewer

Accesso di sola lettura alle risorse di AI Platform Prediction.

Ruoli modello

I ruoli Model Owner e Model User di AI Platform Prediction concedono autorizzazioni diverse a una determinata risorsa modello.

Puoi condividere i modelli con privati o servizi concedendo loro il ruolo Utenti del modello.

Titolo del ruolo Nome ruolo Funzionalità
AI Platform Prediction Model Owner

roles/ml.modelOwner

Accesso completo al modello e alle relative versioni. Questo ruolo viene assegnato automaticamente all'utente che crea il modello.
Utente del modello AI Platform Prediction

roles/ml.modelUser

Autorizzazioni a leggere il modello e le sue versioni e utilizzarle per la previsione. La concessione di questo ruolo semplifica la condivisione di modelli specifici.

Ruoli di job e operazioni

Analogamente al ruolo Proprietario modello, esistono ruoli di proprietario a livello di risorsa di job e operazione che vengono assegnati automaticamente all'utente che crea il job o l'operazione. Questi ruoli consentono all'utente il controllo completo su qualsiasi job o operazione creata. Per ulteriori informazioni, consulta le autorizzazioni per i ruoli di job e operazione.

Autorizzazioni e ruoli

Consulta questa sezione per un elenco completo delle autorizzazioni concesse con ogni ruolo predefinito di AI Platform Prediction. Se questi ruoli predefiniti non soddisfano le tue esigenze, utilizza questa sezione come riferimento per creare i tuoi ruoli personalizzati.

Ruolo amministratore

Nome del ruolo Descrizione Autorizzazioni
roles/ml.admin AI Platform Prediction Admin

Accesso completo al tuo progetto AI Platform Prediction e ai relativi job, operazioni, modelli e versioni.

Nota:la migrazione a questo ruolo dal ruolo Editor del progetto di base è abbastanza semplice. Se in precedenza utilizzavi il ruolo di base Editor assegnato a livello di progetto, puoi utilizzare questo ruolo roles/ml.admin per concedere all'utente esattamente lo stesso insieme di autorizzazioni.
  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.setIamPolicy
  • ml.jobs.cancel
  • ml.operations.list
  • ml.operations.get
  • ml.operations.cancel
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.setIamPolicy
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.models.delete
  • ml.models.update
  • ml.versions.create
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict
  • ml.versions.delete

Ruolo sviluppatore

Nome del ruolo Descrizione Autorizzazioni
roles/ml.developer

Accesso per la creazione di job di addestramento e di previsione, modelli e versioni, nonché per inviare richieste di previsione online.

Nota: uno sviluppatore riceve le autorizzazioni ml.jobs.cancel e ml.jobs.update per tutti i job che crea, perché la creazione di un job gli concede automaticamente il ruolo Proprietario job di Previsione di AI Platform.

Consiglio: concedi allo sviluppatore l'accesso di sola lettura ai log di AI Platform Prediction per scopi di risoluzione dei problemi.

  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.create
  • ml.jobs.list
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.operations.list
  • ml.operations.get
  • ml.models.create
  • ml.models.list
  • ml.models.get
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict

Ruolo Visualizzatore

Nome del ruolo Descrizione Autorizzazioni
roles/ml.viewer

Accesso di sola lettura alle risorse di AI Platform Prediction in un determinato progetto.

Nota: il ruolo Visualizzatore del progetto precedente concede a un utente le stesse autorizzazioni del ruolo roles/ml.viewer, oltre all'accesso per l'invio di richieste di previsione online.
  • resourcemanager.projects.get
  • ml.projects.getConfig
  • ml.jobs.list
  • ml.jobs.get
  • ml.operations.list
  • ml.operations.get
  • ml.models.list
  • ml.models.get
  • ml.versions.list
  • ml.versions.get

Ruolo Proprietario modello

Nome del ruolo Descrizione Autorizzazioni
roles/ml.modelOwner Accesso completo al modello e alle relative versioni. Questo ruolo viene assegnato automaticamente all'utente che crea il modello.
  • ml.models.get
  • ml.models.setIamPolicy
  • ml.models.getIamPolicy
  • ml.models.predict
  • ml.models.delete
  • ml.models.update
  • ml.versions.create
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict
  • ml.versions.delete

Ruolo utente modello

Nome del ruolo Descrizione Autorizzazioni
roles/ml.modelUser Autorizzazioni a leggere il modello e le sue versioni e utilizzarle per la previsione.
  • ml.models.get
  • ml.models.predict
  • ml.versions.list
  • ml.versions.get
  • ml.versions.predict

Ruolo Proprietario job

Nome del ruolo Descrizione Autorizzazioni
roles/ml.jobOwner

Accesso completo a tutte le autorizzazioni per una determinata risorsa di job. Il ruolo Proprietario job viene concesso automaticamente all'utente che crea il job.

Ad esempio, un utente con il ruolo di sviluppatore di previsione della piattaforma AI in un progetto può creare job, elencare tutti i job e ottenere tutti i job in un determinato progetto. Lo sviluppatore ha accesso per annullare solo i job che ha creato.

  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.cancel

Ruolo Proprietario dell'operazione

Nome del ruolo Descrizione Autorizzazioni
roles/ml.operationOwner

Accesso completo a tutte le autorizzazioni per una determinata risorsa dell'operazione. Il ruolo Proprietario dell'operazione viene concesso automaticamente all'utente per tutte le operazioni che l'utente crea indirettamente quando crea una versione o un modello, in modo che l'utente possa sempre ottenere e annullare le proprie operazioni.

  • ml.operations.get
  • ml.operations.cancel

Autorizzazioni necessarie per la previsione

Per comodità, questa tabella riassume le autorizzazioni specificamente richieste per l'addestramento e la previsione:

Attività Autorizzazioni richieste
Previsione batch
  • ml.jobs.create
  • ml.models.predict*
  • ml.versions.predict*

Nota:puoi creare un job di previsione batch senza una versione di cui è stato eseguito il deployment specificando la posizione di un modello salvato in Cloud Storage. Questo tipo di job di previsione in batch richiede solo l'autorizzazione ml.jobs.create.

Per creare un job di previsione batch che utilizza una versione di cui è stato eseguito il deployment, devi disporre anche di ml.models.predict o ml.versions.predict, ma non di entrambi.
Previsione online
  • ml.models.predict
  • ml.versions.predict

Autorizzazioni richieste per i metodi

Per comodità, in questa sezione sono elencate le autorizzazioni necessarie per chiamare ogni metodo in AI Platform Prediction:

Metodo Autorizzazioni richieste
projects.getConfig ml.projects.getConfig
projects.jobs.cancel ml.jobs.cancel
projects.jobs.create ml.jobs.create

Nota: per creare un job di previsione batch che utilizza una versione di cui è stato eseguito il deployment, devi anche avere ml.models.predict o ml.versions.predict, ma non entrambi.

projects.jobs.get ml.jobs.get
projects.jobs.list ml.jobs.list
projects.models.create ml.models.create
projects.models.delete ml.models.delete
projects.models.get ml.models.get
projects.models.list ml.models.list
projects.models.versions.create ml.versions.create
projects.models.versions.delete ml.versions.delete
projects.models.versions.get ml.versions.get
projects.models.versions.list ml.versions.list
projects.models.versions.setDefault ml.models.update
projects.operations.cancel ml.operations.cancel
projects.operations.get ml.operations.get
projects.operations.list ml.operations.list

Autorizzazioni richieste per lo spazio di archiviazione

Quando esegui il deployment del modello addestrato su AI Platform Prediction per ottenere le previsioni, carichi i file del modello salvati su Cloud Storage. Nel bucket Cloud Storage, i file del modello sono oggetti. Devi assicurarti che il tuo account di servizio AI Platform Prediction possa accedere ai file del modello addestrato nel bucket Cloud Storage.

Concedi all'account di servizio di AI Platform Prediction un ruolo IAM Cloud Storage che include almeno le seguenti autorizzazioni:

Autorizzazioni richieste Spiegazione
storage.buckets.list Consente al progetto AI Platform Prediction di trovare i file del modello nel bucket Cloud Storage.
storage.objects.get Consente al progetto AI Platform Prediction di leggere i file del modello nel bucket Cloud Storage.

Scopri come configurare le autorizzazioni Cloud Storage per AI Platform Prediction.

Passaggi successivi