Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Benutzerdefiniertes Dienstkonto verwenden

In dieser Anleitung wird beschrieben, wie Sie die Gemini Enterprise Agent Platform für die Verwendung eines benutzerdefinierten Dienstkontos in den folgenden Szenarien konfigurieren:

Wenn Sie ein benutzerdefiniertes Training ausführen, können Sie die Agent Platform so konfigurieren, dass für den Trainingscontainer ein benutzerdefiniertes Dienstkonto verwendet wird, unabhängig davon, ob es ein vordefinierter Container oder ein benutzerdefinierter Container ist.
Wenn Sie eine benutzerdefinierte Model-Ressource für eine Endpoint-Ressource für Onlinevorhersagen bereitstellen, können Sie die Agent Platform so konfigurieren, dass im Container für Vorhersagen ein benutzerdefiniertes Dienstkonto verwendet wird, unabhängig davon, ob es ein vordefinierter Container oder ein benutzerdefinierter Container ist.
Wenn Sie eine Model-Ressource zwischen Projekten kopieren, können Sie die Agent Platform so konfigurieren, dass ein benutzerdefiniertes Dienstkonto für den Zugriff auf die Modelle im Quellprojekt verwendet wird.

Wann sollte ein benutzerdefiniertes Dienstkonto verwendet werden?

Wenn die Agent Platform ausgeführt wird, erfolgt dies in der Regel mit den Berechtigungen von einem von mehreren Dienstkonten, die Google für Ihr Google Cloud -Projekt erstellt und verwaltet. Wenn Sie der Agent Platform in bestimmten Kontexten Zugriff auf andere Google Cloud-Dienste gewähren möchten, können Sie den Dienst-Agents der Agent Platform bestimmte Rollen hinzufügen.

Eine Anpassung der Berechtigungen von Dienst-Agents ermöglicht jedoch unter Umständen nicht die gewünschte genau abgestimmte Zugriffssteuerung. Typische Anwendungsfälle:

Weniger Berechtigungen für Agent Platform-Jobs und -Modelle zulassen. Der Standarddienst-Agent für die Agent Platform hat Zugriff auf BigQuery und Cloud Storage.
Unterschiedlichen Jobs Zugriff auf unterschiedliche Ressourcen gewähren. Möglicherweise möchten Sie vielen Nutzern erlauben, Jobs in einem einzelnen Projekt zu starten, aber den Jobs jedes Nutzers nur Zugriff auf eine bestimmte BigQuery-Tabelle oder einen bestimmten Cloud Storage-Bucket gewähren.

Beispielsweise möchten Sie eventuell jeden ausgeführten benutzerdefinierten Trainingsjob individuell konfigurieren, um Zugriff auf verschiedeneGoogle Cloud -Ressourcen außerhalb Ihres Projekts zu erhalten.

Darüber hinaus ändern sich durch das Anpassen der Berechtigungen von Dienst-Agents nicht die Berechtigungen eines Containers, mit dem Vorhersagen von einem benutzerdefinierten Model bereitgestellt werden.

Wenn Sie den Zugriff jedes Mal anpassen möchten, wenn Sie ein benutzerdefiniertes Training ausführen, oder um die Berechtigungen des Vorhersagecontainers eines benutzerdefinierten Model anzupassen, müssen Sie ein benutzerdefiniertes Dienstkonto verwenden.

Standardzugriff

In diesem Abschnitt wird der Standardzugriff für benutzerdefinierte Trainings- und Vorhersagecontainer von benutzerdefinierten Model-Ressourcen erläutert. Wenn Sie ein benutzerdefiniertes Dienstkonto verwenden, überschreiben Sie diesen Zugriff für eine bestimmte Ressource vom Typ CustomJob, HyperparameterTuningJob, TrainingPipeline oder DeployedModel.

Trainingscontainer

Wenn Sie einen CustomJob, HyperparameterTuningJob oder eine benutzerdefinierte TrainingPipeline erstellen, wird der Trainingscontainer standardmäßig mit dem Dienst-Agent des benutzerdefinierten Gemini Enterprise Agent Platform-Codes IhresGoogle Cloud -Projekts ausgeführt.

Weitere Informationen zum Dienst-Agent des benutzerdefinierten Codes der Gemini Enterprise Agent Platform, einschließlich der Möglichkeit, ihm Zugriff auf zusätzliche Google Cloud Ressourcen zu gewähren

Vorhersagecontainer

Wenn Sie ein benutzerdefiniertes Model für einen Endpoint bereitstellen, wird der Vorhersagecontainer mit einem Dienstkonto ausgeführt, das von der Agent Platform verwaltet wird. Dieses Dienstkonto unterscheidet sich von den Dienst-Agents der Agent Platform.

Das Dienstkonto, das standardmäßig vom Vorhersagecontainer verwendet wird, ist berechtigt, Modellartefakte zu lesen, die von der Agent Platform unter einem URI verfügbar gemacht werden, der in der Umgebungsvariable AIP_STORAGE_URI gespeichert ist. Wenn Sie andere Berechtigungen benötigen, ist dafür das Dienstkonto nicht geeignet. Sie können die Berechtigungen des Dienstkontos nicht anpassen.

Benutzerdefiniertes Dienstkonto konfigurieren

In den folgenden Abschnitten wird beschrieben, wie Sie ein benutzerdefiniertes Dienstkonto für die Verwendung mit der Agent Platform einrichten und wie Sie CustomJob, HyperparameterTuningJob, TrainingPipeline oder DeployedModel für die Verwendung des Dienstkontos konfigurieren. Sie können kein benutzerdefiniertes Dienstkonto zum Abrufen von Bildern aus Artifact Registry konfigurieren. Die Gemini Enterprise Agent Platform verwendet das Standarddienstkonto zum Abrufen von Bildern.

Benutzerdefiniertes Dienstkonto einrichten

So richten Sie ein benutzerdefiniertes Dienstkonto ein:

Erstellen Sie ein vom Nutzer verwaltetes Dienstkonto. Das vom Nutzer verwaltete Dienstkonto kann sich im selben Projekt wie Ihre Agent Platform-Ressourcen oder in einem anderen Projekt befinden.
Weisen Sie Ihrem neuen Dienstkonto IAM-Rollen zu, die Zugriff auf die Google Cloud Dienste und Ressourcen gewähren, die Agent Platform für das benutzerdefinierte Training oder die Vorhersage verwenden soll.
Optional: Wenn sich das vom Nutzer verwaltete Dienstkonto in einem anderen Projekt als Ihre Trainingsjobs befindet, müssen Sie dem Agent Platform-Dienst-Agent des Projekts, in dem Sie die Agent Platform verwenden, die Rolle Ersteller von Dienstkonto-Tokens (roles/iam.serviceAccountTokenCreator) zuweisen.
```
gcloud iam service-accounts add-iam-policy-binding \
    --role=roles/iam.serviceAccountTokenCreator \
    --member=serviceAccount:AI_PLATFORM_SERVICE_AGENT \
    CUSTOM_SERVICE_ACCOUNT
```
Optional: Wenn Sie das nutzerverwaltete Dienstkonto auch für Vorhersagen verwenden möchten, müssen Sie dem Agent Platform-Dienst-Agent des Projekts, in dem Sie Agent Platform verwenden, die Rolle „Dienstkontoadministrator“ (roles/iam.serviceAccountAdmin) zuweisen:
```
gcloud iam service-accounts add-iam-policy-binding \
  --role=roles/iam.serviceAccountAdmin \
  --member=serviceAccount:AI_PLATFORM_SERVICE_AGENT \
  CUSTOM_SERVICE_ACCOUNT
```
Ersetzen Sie Folgendes:
- AI_PLATFORM_SERVICE_AGENT: Die E-Mail-Adresse des Dienst-Agents der Agent Platform in Ihrem Projekt im folgenden Format:
  
  service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com
  
  Rufen Sie in der Google Cloud Console die Seite IAM auf, um den Agent Platform-Dienst-Agent zu finden.
  
  IAM aufrufen
- CUSTOM_SERVICE_ACCOUNT ist die E-Mail-Adresse des neuen benutzerverwalteten Dienstkontos, das Sie im ersten Schritt dieses Abschnitts erstellt haben.
Hinweis: Dieser Befehl gewährt dem Dienst-Agent von Agent Platform für Ihr Projekt die Rolle „Dienstkontoadministrator“ nur für die Ressource des benutzerdefinierten Dienstkontos und nicht für das gesamte Projekt. Weitere Informationen zum Gewähren von Berechtigungen auf Ressourcenebene im Gegensatz zur Projektebene finden Sie in der Ressourcenübersicht.

Benutzerdefiniertes Dienstkonto für Agent Platform-Ressourcen angeben

Das Konfigurieren der Agent Platform für die Verwendung eines bestimmten Dienstkontos für eine Ressource wird als Anhängen des Dienstkontos an die Ressource bezeichnet. In den folgenden Abschnitten wird beschrieben, wie Sie das im vorherigen Abschnitt erstellte Dienstkonto an mehrere Agent Platform-Ressourcen anhängen.

Dienstkonto an eine benutzerdefinierte Trainingsressource anhängen

Zum Konfigurieren von Agent Platform für die Verwendung Ihres neuen Dienstkontos beim benutzerdefinierten Training geben Sie in das Feld serviceAccount einer CustomJobSpec-Nachricht die E-Mail-Adresse des Dienstkontos ein, wenn Sie ein benutzerdefiniertes Training starten. Abhängig vom Typ der benutzerdefinierten Trainingsressource, die Sie erstellen, unterscheidet sich die Platzierung dieses Felds in der API-Anfrage:

Wenn Sie einen CustomJob erstellen, geben Sie die E-Mail-Adresse des Dienstkontos in CustomJob.jobSpec.serviceAccount an.

Weitere Informationen erhalten Sie im Abschnitt über das Erstellen eines CustomJob.
Wenn Sie einen HyperparameterTuningJob erstellen, geben Sie die E-Mail-Adresse des Dienstkontos in HyperparameterTuningJob.trialJobSpec.serviceAccount an.

Weitere Informationen im Abschnitt über das Erstellen eines HyperparameterTuningJob.
Wenn Sie eine benutzerdefinierte TrainingPipeline ohne Hyperparameter-Abstimmung erstellen, geben Sie die E-Mail-Adresse des Dienstkontos in TrainingPipeline.trainingTaskInputs.serviceAccount an.
Wenn Sie eine benutzerdefinierte TrainingPipeline mit Hyperparameter-Abstimmung erstellen, geben Sie die E-Mail-Adresse des Dienstkontos in TrainingPipeline.trainingTaskInputs.trialJobSpec.serviceAccount an.

Dienstkonto an einen Container für Onlinevorhersagen anhängen

Um einen Vorhersagecontainer für ein benutzerdefiniertes Model für die Verwendung Ihres neuen Dienstkontos zu konfigurieren, geben Sie die E-Mail-Adresse des Dienstkontos an, wenn Sie das Model für einen Endpoint bereitstellen:

Console

Folgen Sie der Anleitung unter Modell mit derGoogle Cloud Console bereitstellen. Beim Festlegen von Modelleinstellungen wählen Sie das Dienstkonto in der Drop-down-Liste Dienstkonto aus.

gcloud

Folgen Sie den Erläuterungen unter Modell mithilfe der Agent Platform API bereitstellen. Verwenden Sie beim Ausführen des Befehls gcloud ai endpoints deploy-model das Flag --service-account, um die E-Mail-Adresse Ihres Dienstkontos anzugeben.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ENDPOINT_ID: Die ID des Endpunkts.
LOCATION_ID: Die Region, in der Sie die Agent Platform verwenden.
MODEL_ID: Die ID des bereitzustellenden Modells.
DEPLOYED_MODEL_NAME: Ein Name für DeployedModel. Sie können auch den Anzeigenamen von Model für DeployedModel verwenden.
MACHINE_TYPE: Optional. Die für jeden Knoten dieser Bereitstellung verwendeten Maschinenressourcen. Die Standardeinstellung ist n1-standard-2. Weitere Informationen zu Maschinentypen.
MIN_REPLICA_COUNT: Die minimale Anzahl von Knoten für diese Bereitstellung. Die Knotenzahl kann je nach der Inferenzlast erhöht oder verringert werden, bis zur maximalen Anzahl von Knoten und niemals auf weniger als diese Anzahl von Knoten.
MAX_REPLICA_COUNT: Die maximale Anzahl von Knoten für diese Bereitstellung. Die Knotenzahl kann je nach der Inferenzlast erhöht oder verringert werden, bis zu dieser Anzahl von Knoten und niemals auf weniger als die minimale Anzahl von Knoten.
CUSTOM_SERVICE_ACCOUNT: Die E-Mail-Adresse des Dienstkontos. Beispiel: SA_NAME@PROJECT_ID.iam.gserviceaccount.com.

Führen Sie den Befehl gcloud ai endpoints deploy-model aus:

Linux, macOS oder Cloud Shell

gcloud ai endpoints deploy-model ENDPOINT_ID \
  --region=LOCATION \
  --model=MODEL_ID \
  --display-name=DEPLOYED_MODEL_NAME \
  --machine-type=MACHINE_TYPE \
  --min-replica-count=MIN_REPLICA_COUNT \
  --max-replica-count=MAX_REPLICA_COUNT \
  --traffic-split=0=100 \
  --service-account=CUSTOM_SERVICE_ACCOUNT

Windows (PowerShell)

gcloud ai endpoints deploy-model ENDPOINT_ID `
  --region=LOCATION `
  --model=MODEL_ID `
  --display-name=DEPLOYED_MODEL_NAME `
  --machine-type=MACHINE_TYPE `
  --min-replica-count=MIN_REPLICA_COUNT `
  --max-replica-count=MAX_REPLICA_COUNT `
  --traffic-split=0=100 `
  --service-account=CUSTOM_SERVICE_ACCOUNT

Windows (cmd.exe)

gcloud ai endpoints deploy-model ENDPOINT_ID ^
  --region=LOCATION ^
  --model=MODEL_ID ^
  --display-name=DEPLOYED_MODEL_NAME ^
  --machine-type=MACHINE_TYPE ^
  --min-replica-count=MIN_REPLICA_COUNT ^
  --max-replica-count=MAX_REPLICA_COUNT ^
  --traffic-split=0=100 ^
  --service-account=CUSTOM_SERVICE_ACCOUNT

API

Folgen Sie den Erläuterungen unter Modell mithilfe der Agent Platform API bereitstellen. Wenn Sie die Anfrage projects.locations.endpoints.deployModel senden, legen Sie für das Feld deployedModel.serviceAccount die E-Mail-Adresse des Dienstkontos fest.

Dienstkonto an eine „CopyModel“-Anfrage anhängen

Wenn Sie die Agent Platform so konfigurieren möchten, dass beim Kopieren eines Modells Ihr neues Dienstkonto verwendet wird, geben Sie die E-Mail-Adresse des Dienstkontos im Feld customServiceAccount der Nachricht CopyModelRequest an. Dieses Dienstkonto muss zum Zielprojekt gehören, in das das Modell kopiert wird. Außerdem benötigen Sie die Berechtigung iam.serviceAccounts.actAs für dieses Dienstkonto.

REST

Kopieren Sie ein Modell mit der Agent Platform API und fügen Sie das Feld customServiceAccount in den JSON-Anfragetext ein.

API

Wenn Sie die Anfrage projects.locations.models.copy senden, legen Sie für das Feld customServiceAccount die E-Mail-Adresse des Dienstkontos fest.

Über den Code auf Google Cloud Dienste zugreifen

Wenn Sie die Agent Platform für die Verwendung eines benutzerdefinierten Dienstkontos gemäß der Anleitung in den vorherigen Abschnitten konfigurieren, kann Ihr Trainings- oder Vorhersagecontainer auf alle Google Cloud -Dienste und -Ressourcen zugreifen, auf die das Dienstkonto Zugriff hat.

Um auf Google Cloud -Dienste zuzugreifen, legen Sie in Ihrem Trainingscode oder in Ihrem Code zur Vorhersagebereitstellung die Verwendung von Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) fest und geben Sie explizit die Projekt-ID oder Projektnummer der Ressource an, auf die Sie zugreifen möchten. Weitere Informationen zum Schreiben von Code für den Zugriff auf andere Google Cloud-Dienste

Beschränkungen

Für benutzerdefinierte Dienstkonten in der Gemini Enterprise Agent Platform gelten die folgenden Einschränkungen:

Für die Batchinferenz wird der Dienst-Agent der Gemini Enterprise Agent Platform weiterhin für den Zugriff auf BigQuery und Cloud Storage verwendet, auch wenn ein benutzerdefiniertes Dienstkonto konfiguriert ist.
Pro Projekt, Region und Dienst (z. B. Vertex AI Inference) sind maximal 20 benutzerdefinierte Dienstkonten zulässig.

Nächste Schritte

Weitere Informationen zur Zugriffssteuerung für die Agent Platform
Informationen zu bestimmten IAM-Berechtigungen und den von ihnen unterstützten Vorgängen