In diesem Dokument wird beschrieben, wie Sie mit Organisationsrichtlinien den Zugriff auf Modelle in Model Garden zentral steuern.
Sie können beispielsweise eine Richtlinie erstellen, um Nutzer in Ihren Produktionsumgebungen auf eine genehmigte Gruppe von Google- und Drittanbietermodellen zu beschränken. Sie können diese Richtlinie auf Organisations-, Ordner- oder Projektebene definieren. Die Richtlinie gilt für alle Hauptkonten in dieser Ressource und kann nicht für einzelne Nutzer konfiguriert werden. Weitere Informationen finden Sie unter Einführung in den Organisationsrichtliniendienst.
In diesem Dokument wird Folgendes beschrieben:
- Richtlinienauswertungen: Hier erfahren Sie, wie Richtlinien in der Ressourcenhierarchie zusammengeführt und ausgewertet werden.
- Richtliniendetails: Hier erfahren Sie mehr über die verschiedenen Richtlinientypen und wie Sie Modelle und Aktionen angeben.
- Richtlinie festlegen: Hier finden Sie eine Anleitung zum Festlegen einer Richtlinie mit der Google Cloud Console oder der Google Cloud CLI.
- Beispielrichtlinien: Sehen Sie sich Beispielrichtlinien für häufige Anwendungsfälle wie das Erstellen von Zulassungs- oder Ablehnungslisten an.
Richtlinienbewertungen
Wenn eine Richtlinie ausgewertet wird, werden alle anwendbaren Richtlinien, die zu einer Ressource beitragen, zusammengeführt. Ein expliziter deny-Wert hat immer Vorrang vor einem expliziten allow-Wert.
Wenn beispielsweise eine Ordnerrichtlinie ein Modell ablehnt und eine Projektrichtlinie in diesem Ordner dasselbe Modell zulässt, wird der Zugriff auf das Modell auf Projektebene verweigert. Die explizite deny auf Ordnerebene hat Vorrang. Wenn Sie jedoch die Projektrichtlinie so konfigurieren, dass übergeordnete Richtlinien überschrieben werden, ist der Zugriff auf das Modell zulässig.
Weitere Informationen finden Sie unter Informationen zu Evaluierungen der Hierarchie.
Hinweise
- Die Model Garden-Richtlinie für Organisationen gilt nur für Modelle in Model Garden, nicht für Modelle, die in der Vertex AI Model Registry registriert sind.
- Eine Organisationsrichtlinie darf insgesamt nicht mehr als 500 zulässige und abgelehnte Werte enthalten.
- Bei einer benutzerdefinierten Richtlinie müssen Sie jedes Modell einzeln angeben. Sie können keine Platzhalter verwenden oder Modelle nach Publisher gruppieren. Sie können beispielsweise nicht alle Modelle von Drittanbietern mit einem einzigen Eintrag ablehnen.
Richtliniendetails
Wenn Sie eine Richtlinie festlegen, können Sie aus verschiedenen Ansätzen zur Zugriffssteuerung wählen. In der folgenden Tabelle werden die verfügbaren Richtlinientypen verglichen.
| Richtlinientyp | Beschreibung | Anwendungsfall |
|---|---|---|
| Alle Modelle zulassen | Ermöglicht den Zugriff auf alle Modelle und Aktionen. Dies ist das Standardverhalten, wenn keine Richtlinie festgelegt ist. | Wenn für eine bestimmte Organisation, einen bestimmten Ordner oder ein bestimmtes Projekt keine Zugriffsbeschränkungen erforderlich sind. |
| Alle Modelle ablehnen | Blockiert den Zugriff auf alle Modelle und Aktionen. | Um die Verwendung von Model Garden-Modellen in einem bestimmten Ressourcenbereich vollständig einzuschränken. |
| Benutzerdefinierte Zulassungsrichtlinie | Darin werden die zulässigen Modelle und Aktionen explizit aufgeführt. Alle anderen Modelle und Aktionen werden implizit abgelehnt. | Erstellen Sie eine Zulassungsliste mit genehmigten Modellen und Aktionen, auf die Nutzer zugreifen können. |
| Benutzerdefinierte Ablehnungsrichtlinie | Hier werden die blockierten Modelle und Aktionen explizit aufgeführt. Alle anderen Modelle und Aktionen sind implizit zulässig. | Sie können eine „Sperrliste“ erstellen, um die Verwendung bestimmter, nicht genehmigter Modelle oder Aktionen zu verhindern. |
Wenn Sie Modelle in einer benutzerdefinierten Richtlinie angeben möchten, verwenden Sie das folgende Format, das das Modell und eine bestimmte Aktion enthält:
publishers/PUBLISHER/models/MODEL_NAME:ACTION
Wobei:
PUBLISHER: Der Name des Publishers, dem das Modell gehört.MODEL_NAME: Der Name des Modells, das zugelassen oder abgelehnt werden soll.ACTION: Die Modellaktion, die in die Richtlinie aufgenommen werden soll.
Wenn Sie beispielsweise eine Richtlinienregel für Vorhersagen mit dem Gemini 2.0 Flash-Modell definieren möchten, geben Sie publishers/google/models/gemini-2.0-flash-001:predict an.
Die vollständig qualifizierte ID (publishers/PUBLISHER/models/MODEL_NAME) wird auch als Modell-ID bezeichnet. Die Modell-ID finden Sie auf der Karte eines Modells im Model Garden.
Modellaktionen
Für jedes Modell können Sie die folgenden Aktionen zulassen oder verweigern:
predict: Online- und Batch-Vorhersagen mit einem Modell mit einer verwalteten API (Modell als Dienst) durchführen.deploy: Modelle auf Google Cloudbereitstellen. Diese Aktion gilt für Modelle ohne verwaltete API, z. B. für Modelle, die mit der Bereitstellung mit nur einem Klick in der Google Cloud -Konsole bereitgestellt wurden.tune: Modelle optimieren.
Richtlinie festlegen
Sie können eine Model Garden-Richtlinie über die Google Cloud -Konsole oder die Google Cloud CLI festlegen. Der Name der Einschränkung lautet vertexai.allowedModels.
Eine ausführliche Anleitung finden Sie in der folgenden Resource Manager-Dokumentation:
- Google Cloud console: Organisationsrichtlinien erstellen und verwalten
- gcloud CLI: Einschränkungen verwenden
Beispielrichtlinien
Die folgenden Beispiele zeigen Richtlinien im YAML-Format, das von der gcloud CLI verwendet wird.
Ersetzen Sie in jedem Beispiel ORGANIZATION_ID durch die Google Cloud Organisations-ID.
Eine Reihe von Modellen ablehnen (Sperrliste)
Mit dieser Richtlinie werden bestimmte Modellaktionen abgelehnt. Alle anderen Modelle und Aktionen sind implizit zulässig.
name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels spec: rules: values: deniedValues: - publishers/meta/models/llama3:deploy - publishers/google/models/gemini-2.0-flash-001:tune - publishers/hf-google/models/gemma-2b:deploy
Eine Reihe von Modellen zulassen (Zulassungsliste)
Diese Richtlinie erlaubt bestimmte Modellaktionen. Alle anderen Modelle und Aktionen werden implizit abgelehnt.
name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels spec: rules: values: allowedValues: - publishers/meta/models/llama3:deploy - publishers/google/models/gemini-2.0-flash-001:tune - publishers/hf-google/models/gemma-2b:deploy
Nächste Schritte
Weitere Informationen zu Model Garden und seinen Angeboten