Questa pagina fornisce esempi di come configurare un progetto per un team che lavora con la piattaforma Gemini Enterprise Agent. Questa pagina presuppone che tu abbia già familiarità con i concetti di Identity and Access Management (IAM) come criteri, ruoli, autorizzazioni e entità descritti in Controllo dell'accesso alla piattaforma agent con IAM e Concetti relativi alla gestione dell'accesso.
Questi esempi sono pensati per un utilizzo generico. Tieni conto delle esigenze specifiche del team e modifica la configurazione del progetto di conseguenza.
Panoramica
Agent Platform utilizza IAM per gestire l'accesso alle risorse. Quando pianifichi controllo dell'accesso per le tue risorse, considera quanto segue:
Puoi gestire l'accesso a livello di progetto o di risorsa. L'accesso a livello di progetto si applica a tutte le risorse del progetto. L'accesso a una risorsa specifica si applica solo a quella risorsa.
Concedi l'accesso assegnando ruoli IAM alle entità. Sono disponibili ruoli predefiniti per semplificare la configurazione dell'accesso, ma sono consigliati i ruoli personalizzati perché li crei tu, quindi puoi limitare il loro accesso solo alle autorizzazioni necessarie.
Per saperne di più sul controllo dell'accesso dell'accesso, consulta Controllo dell'controllo dell'accesso alla piattaforma agent con IAM.
Un unico progetto con accesso condiviso ai dati e alle risorse di Agent Platform
In questo esempio, un team condivide un singolo progetto che contiene i dati e le risorse della piattaforma dell'agente.
Potresti configurare un progetto in questo modo se i dati, i container e le altre risorse della piattaforma dell'agente del team possono essere condivisi tra tutti gli utenti del progetto.
La policy di autorizzazione IAM del progetto potrebbe essere simile alla seguente:
{
"version": 1,
"etag": "BwWKmjvelug=",
"bindings": [
{
"role": "roles/aiplatform.user",
"members": [
"user:USER1_EMAIL_ADDRESS",
"user:USER2_EMAIL_ADDRESS"
]
},
{
"role": "roles/storage.admin",
"members": [
"user:USER1_EMAIL_ADDRESS",
"user:USER2_EMAIL_ADDRESS"
]
},
{
"role": "roles/aiplatform.serviceAgent",
"members": [
"user:service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com"
]
}
]
}
La configurazione di un progetto in questo modo semplifica la collaborazione di un team per addestrare modelli, eseguire il debug del codice, eseguire il deployment di modelli e osservare gli endpoint. Tutti gli utenti vedono le stesse risorse e possono eseguire l'addestramento con gli stessi dati. Le risorse della piattaforma dell'agente operano all'interno di un singolo progetto, quindi non devi concedere l'accesso alle risorse al di fuori del progetto. La quota è condivisa tra i membri del team.
Per configurare il controllo dell'accesso per il progetto del tuo team, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Separa i dati e le risorse di Agent Platform
In questo esempio, i dati del team si trovano in un progetto separato dalle risorse della piattaforma dell'agente.
Potresti configurare un progetto in questo modo se:
I dati del team sono troppo difficili da spostare nello stesso progetto delle risorse della piattaforma dell'agente.
I dati del team richiedono un controllo specifico su chi può accedervi.
In questi casi, ti consigliamo di creare un progetto per i dati e un progetto per le risorse della piattaforma dell'agente. Gli sviluppatori del team condividono il progetto che contiene le risorse Agent Platform. Utilizzano le risorse della piattaforma dell'agente per accedere ed elaborare i dati archiviati nell'altro progetto. Gli amministratori dei dati concedono l'accesso alle risorse della piattaforma dell'agente tramite service agent o service account personalizzati.
Ad esempio, puoi concedere ai service agent della piattaforma Agent predefiniti l'accesso a un bucket Cloud Storage con una policy di autorizzazione simile alla seguente:
{
"version": 1,
"etag": "BwWKmjvelug=",
"bindings": [
{
"role": "roles/storage.objectViewer",
"members": [
"user:service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com",
"user:service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com"
]
}
]
}
Se possibile, specifica un account di servizio da utilizzare come identità della risorsa quando crei risorse della piattaforma agenti e utilizza questo account di servizio per gestire controllo dell'accesso. In questo modo, è più facile concedere a risorse specifiche l'accesso ai dati e gestire le autorizzazioni nel tempo.
Ad esempio, potresti concedere a un account di servizio l'accesso a BigQuery con una policy simile alla seguente:
{
"version": 1,
"etag": "BwWKmjvelug=",
"bindings": [
{
"role": "roles/bigquery.user",
"members": [
"user:SERVICE_ACCOUNT_NAME@PROJECT_NUMBER.iam.gserviceaccount.com"
]
}
]
}
Per configurare controllo dell'accesso per i service account, vedi Gestire l'accesso ai service account.
Nel progetto con le risorse di Agent Platform, gli amministratori possono concedere agli utenti l'accesso ai dati concedendo il ruolo Utente account di servizio (roles/iam.serviceAccountUser) sugli account di servizio specificati.
Isolare il codice meno attendibile in progetti separati aggiuntivi
I modelli, i container di previsione e i container di addestramento sono codice. È importante isolare il codice meno attendibile da modelli e dati sensibili. Esegui il deployment di endpoint e fasi di addestramento nei rispettivi progetti, utilizza un account di servizio dedicato con autorizzazioni molto limitate e utilizza i Controlli di servizio VPC per isolarli e ridurre l'impatto dell'accesso concesso a questi container e modelli.
Passaggi successivi
Per scoprire di più sul controllo dell'accesso agli endpoint, consulta Controllare l'accesso agli endpoint della piattaforma dell'agente.
Per saperne di più sull'utilizzo di un account di servizio personalizzato per controllare l'accesso a risorse specifiche, consulta Utilizzare un service account personalizzato.