Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

カスタムサービスアカウントを使用する

このガイドでは、以下のシナリオでカスタムサービスアカウントを使用するように Gemini Enterprise エージェントプラットフォームを構成する方法について説明します。

カスタムトレーニングを行う場合、事前にビルドされたコンテナかカスタムコンテナかにかかわらず、トレーニングコンテナ内でカスタムサービスアカウントを使用するように Agent Platform を構成できます。
カスタムトレーニングの Model リソースを Endpoint リソースにデプロイし、オンライン予測を行う場合は、事前にビルドされたコンテナかカスタムコンテナかにかかわらず、予測を提供するコンテナでカスタムサービスアカウントを使用するように Agent Platform を構成できます。
プロジェクト間で Model リソースをコピーするときに、カスタムサービスアカウントを使用してソースプロジェクトのモデルにアクセスするように Agent Platform を構成できます。

カスタムサービスアカウントを使用する場合

Agent Platform は通常、Google がご自身の Google Cloud プロジェクト用に自動的に作成し、管理している複数のサービスアカウントのいずれかの権限を使って処理を行います。特定のコンテキストで Agent Platform に別の Google Cloudサービスへのアクセスを許可する場合、Agent Platform のサービスエージェントに特別なロールを追加できます。

ただし、サービスエージェントの権限をカスタマイズすると、きめ細かいアクセス制御が実施されなくなる可能性があります。一般的な使用例は次のとおりです。

Agent Platform のジョブとモデルに対する権限を減らす。デフォルトの Agent Platform サービスエージェントは BigQuery と Cloud Storage にアクセスできます。
異なるジョブに異なるリソースへのアクセスを許可する。1 つのプロジェクトで複数のユーザーがジョブを起動できるようにしながら、各ユーザーのジョブアクセスを特定の BigQuery テーブルまたは Cloud Storage バケットに制限できます。

たとえば、プロジェクト外の別のGoogle Cloud リソースにアクセスできるようにするには、実行するカスタムトレーニングジョブを個別にカスタマイズできます。

さらに、サービスエージェントの権限をカスタマイズしても、カスタムトレーニング済みの Model から予測を提供するコンテナで使用可能な権限は変更されません。

カスタムトレーニングを行うたびにアクセスをカスタマイズする場合や、カスタムトレーニング済みの Model 予測コンテナの権限をカスタマイズする場合は、カスタムサービスアカウントを使用する必要があります。

デフォルトのアクセス権

このセクションでは、カスタムトレーニングコンテナで使用可能なデフォルトのアクセス権と、カスタムトレーニング済みの Model リソースの予測コンテナについて説明します。カスタムサービスアカウントを使用すると、特定の CustomJob、HyperparameterTuningJob、TrainingPipeline、DeployedModel リソースに対するアクセス権をオーバーライドします。

コンテナのトレーニング

CustomJob、HyperparameterTuningJob、またはカスタム TrainingPipeline を作成すると、Google Cloud プロジェクトの Gemini Enterprise Agent Platform カスタムコードサービスエージェントを使用してトレーニングコンテナがデフォルトで実行されます。

別の Google Cloud リソースへのアクセス権を付与する方法など、詳細については、Gemini Enterprise Agent Platform カスタムコードサービスエージェントをご覧ください。

予測コンテナ

カスタムトレーニング済みの Model を Endpoint にデプロイすると、Agent Platform で管理されているサービスアカウントを使用して予測コンテナが実行されます。このサービスアカウントは、Agent Platform サービスエージェントとは異なります。

予測コンテナがデフォルトで使用するサービスアカウントには、AIP_STORAGE_URI 環境変数に保存された URI で Agent Platform が使用できるモデルアーティファクトの読み取り権限が必要です。サービスアカウントに他の権限を付与しないでください。サービスアカウントの権限はカスタマイズできません。

カスタムサービスアカウントを構成する

以降のセクションでは、Agent Platform で使用するカスタムサービスアカウントの設定方法を説明します。また、サービスアカウントを使用するように CustomJob、HyperparameterTuningJob、TrainingPipeline、DeployedModel を構成する方法についても説明します。Artifact Registry からイメージを pull するようにカスタムサービスアカウントを構成することはできません。Gemini Enterprise Agent Platform は、デフォルトのサービスアカウントを使用してイメージを pull します。

カスタムサービスアカウントを設定する

カスタムサービスアカウントを設定する方法は、次のとおりです。

ユーザーが管理するサービスアカウントを作成します。ユーザー管理のサービスアカウントは、Agent Platform リソースと同じプロジェクトまたは別のプロジェクトに作成できます。
新しいサービスアカウントに IAM ロールを付与します。これにより、カスタムトレーニングと予測中に Agent Platform が使用する Google Cloud サービスとリソースにアクセスできるようになります。
省略可: ユーザー管理のサービスアカウントがトレーニングジョブとは異なるプロジェクトにある場合は、Agent Platform を使用しているプロジェクトの Agent Platform サービスエージェントにサービスアカウントトークン作成者のロール（roles/iam.serviceAccountTokenCreator）を付与する必要があります。
```
gcloud iam service-accounts add-iam-policy-binding \
    --role=roles/iam.serviceAccountTokenCreator \
    --member=serviceAccount:AI_PLATFORM_SERVICE_AGENT \
    CUSTOM_SERVICE_ACCOUNT
```
省略可: 予測のユーザー管理のサービスアカウントも使用する場合は、サービスアカウント管理者のロール（roles/iam.serviceAccountAdmin）を以下のとおり、Agent Platform を使用しているプロジェクトの Agent Platform サービスエージェントに付与する必要があります。
```
gcloud iam service-accounts add-iam-policy-binding \
  --role=roles/iam.serviceAccountAdmin \
  --member=serviceAccount:AI_PLATFORM_SERVICE_AGENT \
  CUSTOM_SERVICE_ACCOUNT
```
次のように置き換えます。
- AI_PLATFORM_SERVICE_AGENT: プロジェクトの Agent Platform サービスエージェントのメールアドレス。次の形式になります。
  
  service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com
  
  Agent Platform サービスエージェントを確認するには、 Google Cloud コンソールの [IAM] ページに移動します。
  
  IAM に移動
- CUSTOM_SERVICE_ACCOUNT: このセクションの最初の手順で作成した新しいユーザー管理のサービスアカウントのメールアドレス。
注: このコマンドは、プロジェクト全体ではなく、カスタムサービスアカウントリソースに対してのみ、プロジェクトの Agent Platform サービスエージェントにサービスアカウント管理者のロールを付与します。詳しくは、リソースレベルとプロジェクトレベルでの権限の付与をご覧ください。

Agent Platform リソースのカスタムサービスアカウントを指定する

リソースに特定のサービスアカウントを使用するように Agent Platform を構成することをサービスアカウントをリソースに「関連付ける」といいます。以降のセクションでは、前のセクションで作成したサービスアカウントを複数の Agent Platform リソースに関連付ける方法について説明します。

カスタムトレーニングリソースとサービスアカウントを関連付ける

カスタムトレーニング中に新しいサービスアカウントを使用するように Agent Platform を構成するには、カスタムトレーニングの開始時に表示される CustomJobSpec メッセージの serviceAccount フィールドに、サービスアカウントのメールアドレスを指定します。作成するカスタムトレーニングリソースの種類に応じて、API リクエスト内のこのフィールドの配置が異なります。

CustomJob を作成する場合、CustomJob.jobSpec.serviceAccount にサービスアカウントのメールアドレスを指定します。

詳細については、CustomJob の作成をご覧ください。
HyperparameterTuningJob を作成する場合、HyperparameterTuningJob.trialJobSpec.serviceAccount にサービスアカウントのメールアドレスを指定します。

詳細については、HyperparameterTuningJob の作成をご覧ください。
ハイパーパラメータ調整なしのカスタム TrainingPipeline を作成する場合は、TrainingPipeline.trainingTaskInputs.serviceAccount にサービスアカウントのメールアドレスを指定します。
ハイパーパラメータ調整を行うカスタム TrainingPipeline を作成する場合は、TrainingPipeline.trainingTaskInputs.trialJobSpec.serviceAccount にサービスアカウントのメールアドレスを指定します。

オンライン予測を行うコンテナにサービスアカウントを関連付ける

新しいサービスアカウントを使用するようにカスタムトレーニング済みの Model 予測コンテナを構成するには、Model を Endpoint にデプロイするときに、サービスアカウントのメールアドレスを指定します。

コンソール

Google Cloud コンソールを使用したモデルのデプロイの手順に沿って操作します。モデル設定を指定するときに、[サービスアカウント] プルダウンリストからサービスアカウントを選択します。

gcloud

Agent Platform API を使用したモデルのデプロイの手順を行います。gcloud ai endpoints deploy-model コマンドを実行するときに、--service-account フラグを使用してサービスアカウントのメールアドレスを指定します。

後述のコマンドデータを使用する前に、次のように置き換えます。

ENDPOINT_ID: エンドポイントの ID。
LOCATION_ID: Agent Platform を使用しているリージョン。
MODEL_ID: デプロイするモデルの ID。
DEPLOYED_MODEL_NAME: DeployedModel の名前。DeployedModel の Model の表示名を使用することもできます。
MACHINE_TYPE: 省略可。このデプロイの各ノードで使用するマシンリソース。デフォルトの設定は n1-standard-2 です。マシンタイプの詳細。
MIN_REPLICA_COUNT: このデプロイの最小ノード数。ノード数は、推論負荷に応じてノードの最大数まで増減できますが、この数より少なくすることはできません。
MAX_REPLICA_COUNT: このデプロイの最大ノード数。ノード数は推論の負荷に応じて自動的に増減しますが、増える場合はこの値を上限とし、減る場合も最小ノード数より少なくなることはありません。
CUSTOM_SERVICE_ACCOUNT: サービスアカウントのメールアドレス。たとえば SA_NAME@PROJECT_ID.iam.gserviceaccount.com。

gcloud ai endpoints deploy-model コマンドを実行します。

Linux、macOS、Cloud Shell

gcloud ai endpoints deploy-model ENDPOINT_ID \
  --region=LOCATION \
  --model=MODEL_ID \
  --display-name=DEPLOYED_MODEL_NAME \
  --machine-type=MACHINE_TYPE \
  --min-replica-count=MIN_REPLICA_COUNT \
  --max-replica-count=MAX_REPLICA_COUNT \
  --traffic-split=0=100 \
  --service-account=CUSTOM_SERVICE_ACCOUNT

Windows（PowerShell）

gcloud ai endpoints deploy-model ENDPOINT_ID `
  --region=LOCATION `
  --model=MODEL_ID `
  --display-name=DEPLOYED_MODEL_NAME `
  --machine-type=MACHINE_TYPE `
  --min-replica-count=MIN_REPLICA_COUNT `
  --max-replica-count=MAX_REPLICA_COUNT `
  --traffic-split=0=100 `
  --service-account=CUSTOM_SERVICE_ACCOUNT

Windows（cmd.exe）

gcloud ai endpoints deploy-model ENDPOINT_ID ^
  --region=LOCATION ^
  --model=MODEL_ID ^
  --display-name=DEPLOYED_MODEL_NAME ^
  --machine-type=MACHINE_TYPE ^
  --min-replica-count=MIN_REPLICA_COUNT ^
  --max-replica-count=MAX_REPLICA_COUNT ^
  --traffic-split=0=100 ^
  --service-account=CUSTOM_SERVICE_ACCOUNT

API

Agent Platform API を使用したモデルのデプロイの手順を行います。projects.locations.endpoints.deployModel リクエストを送信する場合は、deployedModel.serviceAccount フィールドをサービスアカウントのメールアドレスに設定します。

CopyModel リクエストにサービスアカウントを関連付ける

モデルのコピー時に新しいサービスアカウントを使用するように Agent Platform を構成するには、CopyModelRequest メッセージの customServiceAccount フィールドにサービスアカウントのメールアドレスを指定します。このサービスアカウントは、モデルのコピー先のプロジェクトに属している必要があります。また、このサービスアカウントに対する iam.serviceAccounts.actAs 権限が必要です。

REST

Agent Platform API を使用してモデルをコピーするに沿って、リクエストの JSON 本文に customServiceAccount フィールドを追加します。

API

projects.locations.models.copy リクエストを送信する場合は、customServiceAccount フィールドをサービスアカウントのメールアドレスに設定します。

コードで Google Cloud サービスにアクセスする

前のセクションの手順でカスタムサービスアカウントを使用するように Agent Platform を構成すると、トレーニングコンテナまたは予測コンテナは、そのサービスアカウントがアクセス権を持つ Google Cloud サービスとリソースにアクセスできます。

Google Cloud サービスにアクセスするには、トレーニングコードまたは予測提供コードを作成し、アプリケーションのデフォルト認証情報（ADC）を使用して、アクセスするリソースのプロジェクト ID またはプロジェクト番号を明示的に指定します。他の Google Cloudサービスにアクセスするコードを作成する方法も確認してください。

制限事項

Gemini Enterprise エージェントプラットフォームのカスタムサービスアカウントには、次の制限があります。

バッチ推論では、カスタムサービスアカウントが構成されている場合でも、BigQuery と Cloud Storage へのアクセスには引き続き Gemini Enterprise Agent Platform サービスエージェントが使用されます。
プロジェクトごと、リージョンごと、サービス（Vertex AI Inference など）ごとに、最大 20 個のカスタムサービスアカウントを設定できます。

次のステップ

詳しくは、Agent Platform のアクセス制御をご覧ください。
特定の IAM 権限とサポートされるオペレーションについて学習する。