このページでは、組織のポリシー サービスのカスタム制約を使用して、次の Google Cloud リソースに対する特定のオペレーションを制限する方法について説明します。
aiplatform.googleapis.com/PipelineJob
組織のポリシーの詳細については、カスタムの組織のポリシーをご覧ください。
組織のポリシーと制約について
Google Cloud 組織のポリシー サービスを使用すると、組織のリソースをプログラマティックに一元管理できます。組織のポリシー管理者は組織のポリシーを定義できます。組織のポリシーは、Google Cloud リソース階層内のGoogle Cloud リソースやそれらのリソースの子孫に適用される、制約と呼ばれる一連の制限です。組織のポリシーは、組織、フォルダ、プロジェクトのいずれかの単位で適用できます。
組織のポリシーを利用することで、あらかじめ用意されたマネージド制約をさまざまな Google Cloud サービスに適用できます。ただし、組織のポリシーで制限されている特定の項目をより細かくカスタマイズして制御したい場合は、カスタム制約を作成して、それを組織のポリシーで使うこともできます。
ポリシーの継承
デフォルトでは、組織のポリシーは、そのポリシーを適用したリソースの子孫に継承されます。たとえば、フォルダにポリシーを適用した場合、 Google Cloud はそのフォルダ内のすべてのプロジェクトにそのポリシーを適用します。この動作の詳細と変更方法については、階層評価ルールをご覧ください。
利点
カスタムの組織のポリシーを使用して、Vertex AI Pipelines リソースに対する特定のオペレーションを許可または拒否できます。たとえば、PipelineJob リソースの作成に指定されたテンプレート URI が、組織のポリシーによって設定されたカスタム制約検証を満たしていない場合、リクエストは失敗し、エラーが呼び出し元に返されます。
制限事項
カスタム組織ポリシーは、スケジューラ API を使用してスケジュールされたパイプライン実行には適用されません。
始める前に
1. プロジェクトを設定する- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init - 組織リソース ID を取得します。
- カスタム制約のテストに使用できるパイプラインを定義してコンパイルします。
-
組織のポリシーを管理するには: 組織リソースに対する組織のポリシー管理者 (
roles/orgpolicy.policyAdmin) -
ML パイプラインを作成または更新する: プロジェクト リソースに対する Vertex AI 管理者(
roles/aiplatform.admin)または Vertex AI ユーザー(roles/aiplatform.user) ORGANIZATION_ID: 組織 ID(123456789など)。CONSTRAINT_NAME: 新しいカスタム制約に付ける名前。カスタム制約はcustom.で始まる必要があり、大文字、小文字、数字のみを含めることができます。例:custom.denyPipelineTemplate。このフィールドの最大長は 70 文字です。RESOURCE_NAME: 制限するオブジェクトとフィールドを含むGoogle Cloud リソースの完全修飾名。例:aiplatform.googleapis.com/PipelineJob/resource.templateUriCONDITION: サポート対象のサービス リソースの表現に対して書き込まれる CEL 条件。このフィールドの最大長は 1,000 文字です。条件の書き込み先として使用できるリソースの詳細については、サポート対象のリソースをご覧ください。例:"resource.templateUri.contains("test")"ACTION:conditionが満たされている場合に実行するアクション。有効な値はALLOWとDENYです。DISPLAY_NAME: 制約の名前。わかりやすい名前を入力してください。このフィールドの最大長は 200 文字です。DESCRIPTION: ポリシー違反時にエラー メッセージとして表示される制約の説明。わかりやすい説明を入力してください。このフィールドの最大長は 2,000 文字です。- Google Cloud コンソールで [組織のポリシー] ページに移動します。
- プロジェクト選択ツールで、組織のポリシーを設定するプロジェクトを選択します。
- [組織のポリシー] ページのリストで制約を選択して、その制約の [ポリシーの詳細] ページを表示します。
- このリソースの組織のポリシーを構成するには、[ポリシーを管理] をクリックします。
- [ポリシーの編集] ページで、[Override parent's policy] を選択します。
- [ルールを追加] をクリックします。
- [適用] セクションで、この組織のポリシーの適用を有効にするかどうかを選択します。
- 省略可: タグで組織のポリシーに条件を設定するには、[条件を追加] をクリックします。組織のポリシーに条件付きルールを追加する場合は、少なくとも 1 つは無条件のルールを追加する必要があります。そうしないとポリシーを保存できないのでご注意ください。詳細については、タグ付きの組織のポリシーの設定をご覧ください。
- [変更内容をテスト] をクリックして、組織のポリシーの効果をシミュレートします。以前のマネージド制約ではポリシー シミュレーションを使用できません。詳細については、Policy Simulator で組織のポリシーの変更をテストするをご覧ください。
- 組織のポリシーを完成させて適用するには、[ポリシーを設定] をクリックします。ポリシーが有効になるまでに最大 15 分かかります。
-
PROJECT_ID: 制約を適用するプロジェクト。 -
CONSTRAINT_NAME: カスタム制約に定義した名前。たとえば、custom.denyPipelineTemplateのようにします。 - 組織の ID
- プロジェクト ID
次のファイルに
constraint-validate-pipeline-template-uri.yamlという名前を付けて保存します。name: organizations/ORGANIZATION_ID/customConstraints/custom.denyPipelineTemplate resourceTypes: - resource.templateUri methodTypes: - CREATE condition:"resource.templateUri.contains("test")"actionType: DENY displayName: Deny pipeline runs if the template URI contains 'test' description: Deny the creation of a new pipeline run if it's based on a template URI containing 'test'これは、パイプライン テンプレート URI に
testを含めることができない制約を定義します。制約を適用します。
gcloud org-policies set-custom-constraint ~/constraint-validate-pipeline-template-uri.yaml制約が存在することを確認します。
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID出力は次のようになります。
CUSTOM_CONSTRAINT ACTION_TYPE METHOD_TYPES RESOURCE_TYPES DISPLAY_NAME custom.denyPipelineTemplate DENY CREATE resource.templateUri Deny pipeline runs if the template URI contains 'test' ...
次のファイルに
policy-validate-pipeline-template-uri.yamlという名前を付けて保存します。name: projects/PROJECT_ID/policies/custom.denyPipelineTemplate spec: rules: - enforce: truePROJECT_IDは、実際のプロジェクト ID に置き換えます。ポリシーを適用します。
gcloud org-policies set-policy ~/policy-validate-pipeline-template-uri.yamlポリシーが存在することを確認します。
gcloud org-policies list --project=PROJECT_ID出力は次のようになります。
CONSTRAINT LIST_POLICY BOOLEAN_POLICY ETAG custom.denyPipelineTemplate - SET COCsm5QGENiXi2E=ポリシーを適用したら、 Google Cloud がポリシーの適用を開始するまで 2 分ほど待ちます。
- LOCATION: パイプライン実行を作成するリージョン。Vertex AI Pipelines を利用できるリージョンの詳細については、Vertex AI Pipelines ロケーション ガイドをご覧ください。
- PROJECT_ID: パイプライン実行を作成する Google Cloud プロジェクト。
- DISPLAY_NAME: パイプライン実行の名前。これは Google Cloud コンソールに表示されます。
- 組織のポリシー サービスについて詳細を学習する。
- 組織のポリシーの作成と管理の方法について学習する。
- マネージドの組織のポリシーの制約全一覧を参照する。
必要なロール
組織のポリシーを管理するために必要な権限を取得するには、次の IAM ロールを付与するように管理者に依頼してください。
ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
カスタム制約を作成する
カスタム制約は、組織のポリシーを適用しているサービスでサポートされるリソース、メソッド、条件、アクションを使用して YAML ファイルで定義されます。カスタム制約の条件は、Common Expression Language(CEL)を使用して定義されます。CEL を使用してカスタム制約で条件を作成する方法については、カスタム制約の作成と管理の CEL セクションをご覧ください。
カスタム制約を作成するには、次の形式で YAML ファイルを作成します。
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
次のように置き換えます。
カスタム制約の作成方法については、カスタム制約の定義をご覧ください。
カスタム制約を設定する
新しいカスタム制約の YAML ファイルを作成したら、組織内の組織のポリシーで使用できるように設定する必要があります。カスタム制約を設定するには、gcloud org-policies set-custom-constraint コマンドを使用します。gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH は、カスタム制約ファイルのフルパスに置き換えます。例: /home/user/customconstraint.yaml
完了すると、カスタム制約が組織のポリシーとして Google Cloud 組織のポリシーのリストに表示されます。カスタム制約が存在することを確認するには、gcloud org-policies list-custom-constraints コマンドを使用します。gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID は、組織リソースの ID に置き換えます。詳細については、組織のポリシーの表示をご覧ください。カスタムの組織のポリシーを適用する
制約を適用するには、それを参照する組織のポリシーを作成し、その組織のポリシーを Google Cloud リソースに適用します。コンソール
gcloud
ブール型ルールを含む組織のポリシーを作成するには、制約を参照するポリシー YAML ファイルを作成します。
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
次のように置き換えます。
制約を含む組織のポリシーを適用するには、次のコマンドを実行します。
gcloud org-policies set-policy POLICY_PATH
POLICY_PATH は、組織のポリシーの YAML ファイルのパスに置き換えます。ポリシーが有効になるまでに最大 15 分かかります。
カスタム組織のポリシーをテストする
次の例では、「test」を含むテンプレート URI を指定してパイプライン実行を作成できないようにするカスタムの制約とポリシーを作成します。
始める前に、以下を把握しておく必要があります。
制約を作成する
ポリシーを作成する
ポリシーのテスト
test を含むテンプレート URI を使用して ML パイプラインを作成してみます。
REST
PipelineJob リソースを作成するには、pipelineJobs/create メソッドを使用して POST リクエストを送信します。
リクエストのデータを使用する前に、次のように置き換えます。
HTTP メソッドと URL:
POST https://LOCATION-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/pipelineJobs
リクエストの本文(JSON):
{
"displayName":"DISPLAY_NAME",
"templateUri":"test_pipeline_template.json"
}
リクエストを送信するには、次のいずれかのオプションを選択します。
curl
リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://LOCATION-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/pipelineJobs"
PowerShell
リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://LOCATION-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/pipelineJobs" | Select-Object -Expand Content
次のような JSON レスポンスが返されます。
{
"error": {
"code": 400,
"message": "Operation denied by org policy on resource 'projects/PROJECT_ID/locations/LOCATION': [\"customConstraints/custom.denyPipelineTemplate\": \"Deny the creation of a new pipeline run if it's based on a template URI containing 'test'\"]",
"status": "FAILED_PRECONDITION",
"details": [
{
"@type": "type.googleapis.com/google.rpc.ErrorInfo",
"reason": "CUSTOM_ORG_POLICY_VIOLATION",
"domain": "googleapis.com",
"metadata": {
"service": "aiplatform.googleapis.com",
"customConstraints": "customConstraints/custom.denyPipelineTemplate"
}
}
]
}
}
Vertex AI Pipelines でサポートされているリソース
次の表に、カスタム制約で参照できる Vertex AI Pipelines リソースを示します。| リソース | フィールド |
|---|---|
| aiplatform.googleapis.com/PipelineJob |
resource.displayName
|
resource.encryptionSpec.kmsKeyName
| |
resource.network
| |
resource.pipelineSpec
| |
resource.preflightValidations
| |
resource.pscInterfaceConfig.networkAttachment
| |
resource.reservedIpRanges
| |
resource.runtimeConfig.failurePolicy
| |
resource.runtimeConfig.gcsOutputDirectory
| |
resource.runtimeConfig.inputArtifacts[*].artifactId
| |
resource.runtimeConfig.parameterValues[*].boolValue
| |
resource.runtimeConfig.parameterValues[*].listValue.values
| |
resource.runtimeConfig.parameterValues[*].nullValue
| |
resource.runtimeConfig.parameterValues[*].numberValue
| |
resource.runtimeConfig.parameterValues[*].stringValue
| |
resource.runtimeConfig.parameterValues[*].structValue
| |
resource.serviceAccount
| |
resource.templateUri
|