Auf dieser Seite finden Sie Beispiele für die Einrichtung eines Projekts für ein Team, das mit der Gemini Enterprise Agent Platform arbeitet. Es wird davon ausgegangen, dass Sie mit IAM-Konzepten (Identity and Access Management) wie Richtlinien, Rollen, Berechtigungen und Hauptkonten vertraut sind, wie unter Zugriffssteuerung für die Agent Platform mit IAM und Konzepte der Zugriffs verwaltung beschrieben.
Diese Beispiele sind für die allgemeine Verwendung vorgesehen. Berücksichtigen Sie die spezifischen Anforderungen des Teams und passen Sie die Einrichtung des Projekts entsprechend an.
Übersicht
Die Agent Platform verwendet IAM, um den Zugriff auf Ressourcen zu verwalten. Bei der Planung der Zugriffssteuerung für Ihre Ressourcen sollten Sie Folgendes berücksichtigen:
Sie können den Zugriff auf Projekt- oder Ressourcenebene verwalten. Der Zugriff auf Projektebene gilt für alle Ressourcen in diesem Projekt. Der Zugriff auf eine bestimmte Ressource gilt nur für diese Ressource.
Sie gewähren Zugriff, indem Sie Hauptkonten IAM-Rollen zuweisen. Vordefinierte Rollen erleichtern die Einrichtung des Zugriffs. Es werden jedoch benutzerdefinierte Rollen empfohlen, da Sie sie selbst erstellen und den Zugriff auf die erforderlichen Berechtigungen beschränken können.
Weitere Informationen zur Zugriffssteuerung finden Sie unter Zugriffssteuerung für die Agent Platform mit IAM.
Einzelnes Projekt mit gemeinsamem Zugriff auf Daten und Ressourcen der Agent Platform
In diesem Beispiel verwendet ein Team ein einzelnes Projekt gemeinsam, das seine Daten und Ressourcen der Agent Platform enthält.
Sie können ein Projekt auf diese Weise einrichten, wenn die Daten, Container und andere Ressourcen der Agent Platform des Teams für alle Nutzer des Projekts freigegeben werden können.
Die IAM-Richtlinie „Zulassen“ Ihres Projekts könnte so aussehen:
{
"version": 1,
"etag": "BwWKmjvelug=",
"bindings": [
{
"role": "roles/aiplatform.user",
"members": [
"user:USER1_EMAIL_ADDRESS",
"user:USER2_EMAIL_ADDRESS"
]
},
{
"role": "roles/storage.admin",
"members": [
"user:USER1_EMAIL_ADDRESS",
"user:USER2_EMAIL_ADDRESS"
]
},
{
"role": "roles/aiplatform.serviceAgent",
"members": [
"user:service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com"
]
}
]
}
Wenn Sie ein Projekt auf diese Weise einrichten, können Teams einfacher zusammenarbeiten, um Modelle zu trainieren, Code zu debuggen, Modelle bereitzustellen und Endpunkte zu beobachten. Alle Nutzer sehen dieselben Ressourcen und können mit denselben Daten trainieren. Ressourcen der Agent Platform werden in einem einzelnen Projekt ausgeführt. Daher müssen Sie keinen Zugriff auf Ressourcen außerhalb des Projekts gewähren. Das Kontingent wird vom Team gemeinsam genutzt.
Informationen zum Einrichten der Zugriffssteuerung für das Projekt Ihres Teams, siehe Zugriff auf Projekte, Ordner und Organisationen verwalten.
Separate Daten und Ressourcen der Agent Platform
In diesem Beispiel befinden sich die Daten des Teams in einem Projekt, das von den Ressourcen der Agent Platform getrennt ist.
Sie können ein Projekt auf diese Weise einrichten, wenn:
Die Daten des Teams lassen sich nicht so einfach in dasselbe Projekt wie Ihre Ressourcen der Agent Platform verschieben.
Für die Daten des Teams ist eine bestimmte Steuerung erforderlich, wer darauf zugreifen kann.
In diesen Fällen empfehlen wir, ein Projekt für die Daten und ein Projekt für die Ressourcen der Agent Platform zu erstellen. Die Entwickler des Teams verwenden das Projekt gemeinsam, das die Ressourcen der Agent Platform enthält. Sie verwenden die Ressourcen der Agent Platform, um auf die Daten zuzugreifen und sie zu verarbeiten, die im anderen Projekt gespeichert sind. Datenadministratoren gewähren den Ressourcen der Agent Platform Zugriff über Dienst-Agents oder benutzerdefinierte Dienstkonten.
Sie können beispielsweise den Standarddienst-Agents der Agent Platform Zugriff auf einen Cloud Storage-Bucket mit einer Richtlinie „Zulassen“ gewähren, die so aussieht:
{
"version": 1,
"etag": "BwWKmjvelug=",
"bindings": [
{
"role": "roles/storage.objectViewer",
"members": [
"user:service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com",
"user:service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com"
]
}
]
}
Geben Sie nach Möglichkeit ein Dienstkonto an, das als Ressourcenidentität verwendet werden soll, wenn Sie Ressourcen der Agent Platform erstellen, und verwenden Sie dieses Dienstkonto, um die Zugriffssteuerung zu verwalten. So können Sie bestimmten Ressourcen einfacher Zugriff auf die Daten gewähren und Berechtigungen im Laufe der Zeit verwalten.
Sie können beispielsweise einem Dienstkonto Zugriff auf BigQuery mit einer Richtlinie gewähren, die so aussieht:
{
"version": 1,
"etag": "BwWKmjvelug=",
"bindings": [
{
"role": "roles/bigquery.user",
"members": [
"user:SERVICE_ACCOUNT_NAME@PROJECT_NUMBER.iam.gserviceaccount.com"
]
}
]
}
Informationen zum Einrichten der Zugriffssteuerung für Dienstkonten finden Sie unter Zugriff auf Dienstkonten verwalten.
Im Projekt mit den Ressourcen der Agent Platform können Administratoren Nutzern Zugriff auf die Daten gewähren, indem sie ihnen die Rolle „Dienstkontonutzer“ (roles/iam.serviceAccountUser) für die angegebenen Dienstkonten zuweisen.
Weniger vertrauenswürdigen Code in zusätzlichen separaten Projekten isolieren
Modelle, Vorhersagecontainer und Trainingscontainer sind Code. Es ist wichtig, weniger vertrauenswürdigen Code von sensiblen Modellen und Daten zu isolieren. Sie sollten Endpunkte und Trainingsphasen in eigenen Projekten bereitstellen, ein spezielles Dienstkonto mit sehr eingeschränkten Berechtigungen verwenden und VPC Service Controls nutzen, um sie zu isolieren und die Auswirkungen des Zugriffs auf solche Container und Modelle zu verringern.
Nächste Schritte
Weitere Informationen zur Zugriffssteuerung für Endpunkte finden Sie unter Zugriff auf Endpunkte der Agent Platform steuern.
Weitere Informationen zum Verwenden eines benutzerdefinierten Dienstkontos zum Steuern des Zugriffs auf bestimmte Ressourcen finden Sie unter Benutzerdefiniertes Dienstkonto verwenden.