為團隊設定專案

本頁提供範例,說明如何為使用 Vertex AI 的團隊設定專案。本頁面假設您已熟悉「運用 IAM 執行 Vertex AI 存取控管」和「與存取權管理相關的概念」一文中所述的 Identity and Access Management (IAM) 概念,例如政策、角色、權限和主體。

這些範例可供一般使用。請考量團隊的特定需求,並據此調整專案設定方式。

總覽

Vertex AI 會使用 IAM 管理資源存取權。規劃資源的存取權控管時,請考量下列事項:

  • 您可以管理專案層級或資源層級的存取權。專案層級存取權會套用至該專案中的所有資源。特定資源的存取權僅適用於該資源。

  • 您可以將 IAM 角色指派給主體,藉此授予存取權。您可以使用預先定義的角色來簡化存取權設定,但建議您建立自訂角色,這樣您就能限制角色的存取權,只授予必要的權限。

如要進一步瞭解存取權控管,請參閱「運用 IAM 控管 Vertex AI 存取權」。

單一專案,可共用資料和 Vertex AI 資源的存取權

在這個範例中,團隊會共用單一專案,其中包含他們的資料和 Vertex AI 資源。

如果團隊的資料、容器和其他 Vertex AI 資源可供專案的所有使用者共用,您可以採用這種方式設定專案。

您的專案 IAM 允許政策可能類似以下內容:

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/aiplatform.user",
      "members": [
        "user:USER1_EMAIL_ADDRESS",
        "user:USER2_EMAIL_ADDRESS"
      ]
    },
    {
      "role": "roles/storage.admin",
      "members": [
        "user:USER1_EMAIL_ADDRESS",
        "user:USER2_EMAIL_ADDRESS"
      ]
    },
    {
      "role": "roles/aiplatform.serviceAgent",
      "members": [
        "user:service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com"
      ]
    }
  ]
}

以這種方式設定專案後,團隊就能更輕鬆地協同合作,訓練模型、偵錯程式碼、部署模型,以及觀察端點。所有使用者都會看到相同的資源,並可使用相同的資料進行訓練。Vertex AI 資源是在單一專案中運作,因此您不需要授予專案以外的資源存取權。配額會在團隊中共用。

如要為團隊專案設定存取權控管,請參閱「管理專案、資料夾和機構的存取權」。

分開資料和 Vertex AI 資源

在這個範例中,團隊的資料位於 Vertex AI 資源以外的專案中。

您可能會在下列情況下,以這種方式設定專案:

  • 團隊的資料很難遷移至與 Vertex AI 資源相同的專案。

  • 團隊的資料需要特定的存取權控管機制。

在這種情況下,建議您為資料和 Vertex AI 資源建立專案。團隊開發人員會共用含有 Vertex AI 資源的專案。這些專案會使用 Vertex AI 資源存取及處理儲存在其他專案中的資料。資料管理員可透過服務代理人或自訂服務帳戶授予 Vertex AI 資源存取權。

舉例來說,您可以授予預設 Vertex AI 服務代理存取 Cloud Storage 值區的權限,並使用以下類似的許可政策:

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/storage.objectViewer",
      "members": [
        "user:service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com",
        "user:service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com"
      ]
    }
  ]
}

請盡可能在建立 Vertex AI 資源時,指定要用來做為資源身分的服務帳戶,並使用該服務帳戶管理存取權控管。這樣一來,您就能更輕鬆地授予特定資源存取資料的權限,並隨時間管理權限。

舉例來說,您可以使用以下政策授予服務帳戶 BigQuery 存取權:

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/bigquery.user",
      "members": [
        "user:SERVICE_ACCOUNT_NAME@PROJECT_NUMBER.iam.gserviceaccount.com"
      ]
    }
  ]
}

如要設定服務帳戶的存取權控管機制,請參閱「管理服務帳戶的存取權」。

在含有 Vertex AI 資源的專案中,管理員可以授予使用者指定服務帳戶的服務帳戶使用者角色 (roles/iam.serviceAccountUser),讓使用者存取資料。

在其他獨立專案中隔離信任程度較低的程式碼

模型、預測容器和訓練容器都是程式碼。請務必將較不受信任的程式碼與機密模型和資料隔離。在專屬專案中部署端點和訓練階段、使用權限非常有限的專屬服務帳戶,並使用 VPC Service Controls 將這些項目隔離,降低授予這些容器和模型的存取權所造成的影響。

後續步驟