Controllare l'accesso alle risorse di Vertex AI Feature Store (legacy)

Puoi controllare l'accesso alle risorse di Vertex AI Feature Store (legacy) impostando i criteri IAM a diversi livelli della gerarchia delle risorse. Ad esempio:

  • Un criterio IAM a livello di progetto si applica a tutte le risorse di un progetto. Puoi impostare un criterio a livello di progetto per concedere agli utenti l'autorizzazione a leggere tutti i feature store del progetto.

  • Un criterio IAM a livello di risorsa consente di specificare quali utenti possono accedere a risorse specifiche. Per un sottoinsieme di utenti, puoi impostare un criterio a livello di risorsa per concedere autorizzazioni di scrittura a feature store specifici nel tuo progetto.

Puoi impostare criteri IAM (Identity and Access Management) a livello di risorsa sulle seguenti risorse Vertex AI Feature Store (legacy):

  • Featurestore: quando imposti un criterio di Identity and Access Management in un archivio di caratteristiche, il criterio viene applicato all'archivio e a tutti i tipi di entità creati al suo interno.

  • Tipo di entità: quando imposti un criterio Identity and Access Management su un tipo di entità, il criterio si applica solo al tipo di entità e al featurestore in cui viene creato.

Un criterio IAM include una o più associazioni di ruoli che definiscono i ruoli IAM associati alle entità. Un ruolo è una raccolta di autorizzazioni che concedi a un'entità. Vertex AI fornisce ruoli predefiniti che puoi utilizzare nei tuoi criteri. In alternativa, puoi creare i tuoi ruoli personalizzati.

Considerazioni

Non puoi impostare criteri delle risorse condizionali. Ad esempio, non puoi creare un criterio che conceda l'accesso a qualsiasi risorsa che ha o avrà un nome che inizia con una determinata stringa, ad esempio testing.

Caso d'uso di esempio

Ad esempio, immagina che la tua organizzazione abbia due gruppi di utenti. Un set gestisce la tua infrastruttura di base in un ruolo amministrativo DevOps. Un altro set gestisce tipi di entità e le relative funzionalità specifici, ad esempio un data engineer.

Un amministratore DevOps gestisce i featurestore e i tipi di entità a livello di progetto. Quando i data engineer richiedono un nuovo tipo di entità, un amministratore DevOps può creare e delegare la proprietà di questo tipo di entità ai data engineer. I data engineer possono gestire liberamente le funzionalità nei tipi di entità di loro proprietà, ma non possono operare sul Feature Store o su altri tipi di entità. Questo controllo, ad esempio, consente agli amministratori DevOps di limitare l'accesso ai tipi di entità che contengono informazioni sensibili.

In questo scenario, l'amministratore DevOps ha il ruolo aiplatform.featurestoreAdmin a livello di progetto. Quando un data engineer richiede un nuovo tipo di entità, l'amministratore crea un nuovo tipo di entità e poi assegna il ruolo aiplatform.entityTypeOwner al data engineer a livello di tipo di entità (come criterio a livello di risorsa).

Recupero del criterio IAM

Puoi visualizzare il criterio IAM corrente in un tipo di entità o feature store utilizzando la console o l'API Google Cloud.

UI web

  1. Nella sezione Vertex AI della console Google Cloud, vai alla pagina Funzionalità.

    Vai alla paginaFunzionalità

  2. Seleziona una regione dall'elenco a discesa Regione.
  3. Nella tabella delle funzionalità, seleziona un archivio di caratteristiche o un tipo di entità dalla colonna Archivio di caratteristiche o Tipo di entità.
  4. Fai clic su Autorizzazioni.
  5. Per visualizzare le autorizzazioni a livello di risorsa, disattiva Mostra autorizzazioni ereditate.

    Le entità che hanno accesso alla risorsa selezionata sono raggruppate per ruolo.

  6. Espandi un ruolo per visualizzare le entità a cui è assegnato.

REST

Per recuperare il criterio IAM da una risorsa, invia una richiesta POST che utilizzi il metodo getIamPolicy. L'esempio seguente recupera un criterio relativo al tipo di entità.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • LOCATION_ID: regione in cui si trova l'archivio di funzionalità, ad esempio us-central1.
  • PROJECT_ID: il tuo ID progetto.
  • FEATURESTORE_ID: l'ID dell'archivio di funzionalità.
  • ENTITY_TYPE_ID: ID del tipo di entità.

Metodo HTTP e URL: 

POST https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featurestores/FEATURESTORE_ID/entityTypes/ENTITY_TYPE_ID:getIamPolicy

Per inviare la richiesta, scegli una delle seguenti opzioni:

curl

Esegui questo comando: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featurestores/FEATURESTORE_ID/entityTypes/ENTITY_TYPE_ID:getIamPolicy"

PowerShell

Esegui questo comando: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featurestores/FEATURESTORE_ID/entityTypes/ENTITY_TYPE_ID:getIamPolicy" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "version": 1,
  "etag": "BwXTmICm7mI",
  "bindings": [
    {
      "role": "roles/aiplatform.entityTypeOwner",
      "members": [
        "user:example@example.com"
      ]
    }
  ]
}

Impostare un criterio IAM

Puoi impostare un criterio IAM su un tipo di entità o featurestore.

UI web

  1. Nella sezione Vertex AI della console Google Cloud, vai alla pagina Funzionalità.

    Vai alla paginaFunzionalità

  2. Seleziona una regione dall'elenco a discesa Regione.
  3. Nella tabella delle funzionalità, seleziona un archivio di caratteristiche o un tipo di entità dalla colonna Archivio di caratteristiche o Tipo di entità.
  4. Fai clic su Autorizzazioni.
  5. Fai clic su Aggiungi entità.
  6. Specifica un'entità e uno o più ruoli da associare all'entità.
  7. Fai clic su Salva.

REST

Per impostare il criterio IAM su una risorsa, invia una richiesta POST che utilizzi il metodo setIamPolicy. L'esempio seguente imposta un'impostazione su un tipo di entità.

L'impostazione di un criterio IAM sostituisce qualsiasi criterio esistente (le modifiche non vengono aggiunte). Se vuoi modificare il criterio esistente di una risorsa, utilizza il metodo getIamPolicy per recuperarlo ed eseguire le modifiche. Includi il criterio modificato insieme a etag nella richiesta setIamPolicy.

Se ricevi un codice di errore 409, è stata effettuata una richiesta SetIamPolicy contemporaneamente che ha aggiornato il criterio. Esegui una richiesta GetIamPolicy per ottenere l'etag aggiornato del criterio, quindi riprova a eseguire la richiesta SetIamPolicy includendo il nuovo etag.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • LOCATION_ID: regione in cui si trova l'archivio di funzionalità, ad esempio us-central1.
  • PROJECT_ID: il tuo ID progetto.
  • FEATURESTORE_ID: l'ID dell'archivio di funzionalità.
  • ENTITY_TYPE_ID: ID del tipo di entità.
  • ROLE: un ruolo IAM che include le autorizzazioni da concedere, ad esempio roles/aiplatform.featurestoreDataViewer.
  • PRINCIPAL: l'entità a cui vengono concesse le autorizzazioni del ruolo, ad esempio user:myuser@example.com.
  • ETAG: un valore di stringa utilizzato per impedire che gli aggiornamenti simultanei di un criterio si sovrascrivano a vicenda. Questo valore viene restituito come parte della risposta getIamPolicy.

Metodo HTTP e URL: 

POST https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featurestores/FEATURESTORE_ID/entityTypes/ENTITY_TYPE_ID:setIamPolicy

Corpo JSON della richiesta: 

{
  "policy": {
    "bindings": [
      {
        "role": "ROLE",
        "members": [
          "PRINCIPAL"
        ]
      },
      ...
    ],
    "etag": "ETAG"
  }
}

Per inviare la richiesta, scegli una delle seguenti opzioni:

curl

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featurestores/FEATURESTORE_ID/entityTypes/ENTITY_TYPE_ID:setIamPolicy"

PowerShell

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featurestores/FEATURESTORE_ID/entityTypes/ENTITY_TYPE_ID:setIamPolicy" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "version": 1,
  "etag": "BwXTmICm7mI",
  "bindings": [
    {
      "role": "roles/aiplatform.entityTypeOwner",
      "members": [
        "user:user1@example.com"
      ]
    },
    {
      "role": "roles/aiplatform.featurestoreDataViewer",
      "members": [
        "user:user2@example.com",
        "user:user3@example.com"
      ]
    },
    {
      "role": "roles/aiplatform.featurestoreDataWriter",
      "members": [
        "user:user4@example.com",
      ]
    }
  ]
}

Verificare le autorizzazioni IAM per una risorsa

Puoi verificare se l'utente attualmente autenticato dispone di autorizzazioni IAM specifiche per un tipo di entità o un data warehouse.

REST

Per verificare se un utente dispone di autorizzazioni IAM specifiche per una risorsa, invia una richiesta POST che utilizza il metodo testIamPermissions. L'esempio seguente consente di verificare se l'utente attualmente autenticato dispone di un insieme di autorizzazioni IAM per un tipo di entità.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • LOCATION_ID: regione in cui si trova l'archivio di funzionalità, ad esempio us-central1.
  • PROJECT_ID: il tuo ID progetto.
  • FEATURESTORE_ID: l'ID dell'archivio di funzionalità.
  • ENTITY_TYPE_ID: ID del tipo di entità.

Metodo HTTP e URL: 

POST https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featurestores/FEATURESTORE_ID/entityTypes/ENTITY_TYPE_ID:testIamPermissions -d

Corpo JSON della richiesta: 

{
  "permissions": [
    "aiplatform.googleapis.com/entityTypes.get",
    "aiplatform.googleapis.com/entityTypes.readFeatureValues",
    "aiplatform.googleapis.com/entityTypes.writeFeatureValues"
  ]
}

Per inviare la richiesta, scegli una delle seguenti opzioni:

curl

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featurestores/FEATURESTORE_ID/entityTypes/ENTITY_TYPE_ID:testIamPermissions -d"

PowerShell

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/featurestores/FEATURESTORE_ID/entityTypes/ENTITY_TYPE_ID:testIamPermissions -d" | Select-Object -Expand Content
Dovresti ricevere una risposta JSON simile alla seguente. La risposta include solo le autorizzazioni del corpo JSON della richiesta disponibili per l'utente attualmente autenticato. 
{
  "permissions": [
    "aiplatform.googleapis.com/entityTypes.get",
    "aiplatform.googleapis.com/entityTypes.readFeatureValues",
    "aiplatform.googleapis.com/entityTypes.writeFeatureValues"
  ]
}