控管 Model Garden 模型的存取權

您可以透過 Model Garden 的機構政策，集中控管使用者可存取的模型和可執行的動作。根據預設，只要有權使用 Vertex AI，就能透過 Model Garden 探索、自訂及部署各種 Google 和第三方模型。

舉例來說，如果您有一組核准的 Google 和第三方模型，可用於生產環境，設定 Model Garden 政策就可能很有用。您可以在機構、資料夾或專案層級定義政策，確保使用者只能存取核准的機型。政策適用於所有主體。機構政策並非使用者專屬政策。詳情請參閱「機構政策服務簡介」。

政策評估

評估時，系統會審查所有與特定資源相關的政策，並合併及評估適用的政策。任何明確拒絕值都會優先於任何明確允許值。

舉例來說，假設您有拒絕特定模型的資料夾政策，以及允許該模型的專案政策。假設政策已合併，由於資料夾層級的明確拒絕政策優先於專案層級的政策，因此系統會拒絕專案層級的模型存取權。不過，如果將專案政策設為覆寫所有上層政策，則專案層級會允許存取模型。

詳情請參閱 Resource Manager 說明文件中的「瞭解階層評估」。

注意事項

• Model Garden 機構政策僅適用於 Model Garden 中的模型。舉例來說，這項政策不適用於在 Vertex AI Model Registry 中註冊的模型。
• 機構政策最多只能有 500 個允許和拒絕值。
• 如果是自訂政策，則必須個別指定每個模型。您無法允許或拒絕一組模型。舉例來說，您無法拒絕所有第三方模型，或只允許 Google 模型執行預測動作。

政策詳細資料

設定政策時，請定義下列其中一項動作：

• 允許所有機型。
• 拒絕所有模型。
• 設定自訂政策規則，允許或拒絕特定模型清單。

根據預設，如果未設定或沿用任何政策，系統會允許所有模型和動作。

如果是自訂拒絕政策，您會明確拒絕模型清單，並隱含允許所有其他模型。同樣地，如果是自訂允許政策，您會明確允許一組型號，並間接拒絕所有其他型號。

如要在自訂政策和模型動作中指定模型，請使用以下格式：

publishers/PUBLISHER/models/MODEL_NAME:ACTION

更改下列內容：

• PUBLISHER：擁有政策適用模型之發布者的名稱。
• MODEL_NAME：要允許或拒絕的模型名稱。
• ACTION：要納入政策的模型動作。

舉例來說，如要針對 Gemini 2.0 Flash 模型定義預測政策規則，請指定 publishers/google/models/gemini-2.0-flash-001:predict。

完整 ID (publishers/PUBLISHER/models/MODEL_NAME) 又稱為模型 ID。如要找出模型的模型 ID，請前往 Model Garden 中的模型資訊卡。如要查看模型資訊卡的連結，請參閱「探索 Model Garden 中的 AI 模型」一文中的模型清單。

模型動作

您可以允許或拒絕每個模型執行下列動作：

• predict：指定使用者是否能透過代管 API (模型即服務) 對模型進行線上和批次預測。
• deploy：如果模型沒有受管理的 API，則指定使用者是否可以在 Google Cloud上部署模型。舉例來說，這項動作適用於 Google Cloud 控制台中的一鍵部署作業。
• tune：指定使用者是否可以調整模型。

設定政策

您可以使用 Google Cloud 控制台或 Google Cloud CLI，為 Model Garden 設定政策。限制的名稱為 vertexai.allowedModels。如要進一步瞭解如何設定政策，請參閱 Resource Manager 說明文件中的下列主題：

• 如需 Google Cloud 控制台操作說明，請參閱「建立及管理機構政策」。
• 如需 gcloud CLI 操作說明，請參閱「使用限制條件」。

範例政策

下列範例政策為 YAML 格式，透過 gcloud CLI 設定政策時會用到。

拒絕一組模型，但允許所有其他模型

以下範例會拒絕對特定模型集執行動作。

name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels
spec:
  rules:
    values:
      deniedValues:
      - publishers/meta/models/llama3:deploy
      - publishers/google/models/gemini-2.0-flash-001:tune
      - publishers/hf-google/models/gemma-2b:deploy

將 ORGANIZATION_ID 替換為貴機構的 ID。 Google Cloud詳情請參閱「取得機構資源」。

允許一組模型，拒絕所有其他模型

以下範例允許對特定模型集執行動作。

name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels
spec:
  rules:
    values:
      allowedValues:
      - publishers/meta/models/llama3:deploy
      - publishers/google/models/gemini-2.0-flash-001:tune
      - publishers/hf-google/models/gemma-2b:deploy

後續步驟

瞭解 Model Garden 和提供的服務。