בדף הזה מוסבר איך משתמשים בניהול הזהויות והרשאות הגישה (IAM) כדי לנהל את הגישה למשאבים של פלטפורמת הסוכנים של Gemini Enterprise. כדי לנהל את הגישה למופעים של Agent Platform Workbench ב-Gemini Enterprise, אפשר לעיין במאמר בנושא בקרת גישה למופעים של Agent Platform Workbench.
סקירה כללית
Agent Platform משתמשת ב-IAM כדי לנהל את הגישה למשאבים. כשמתכננים את בקרת הגישה למשאבים, כדאי לקחת בחשבון את הנקודות הבאות:
אפשר לנהל את הגישה ברמת הפרויקט או ברמת המשאב. גישה ברמת הפרויקט חלה על כל המשאבים בפרויקט הזה. הגישה למשאב ספציפי חלה רק על המשאב הזה. מידע נוסף זמין במאמר גישה ברמת הפרויקט לעומת גישה ברמת המשאב.
כדי להעניק גישה, צריך להקצות תפקידי IAM לחשבונות משתמשים. יש תפקידים מוגדרים מראש שמאפשרים להגדיר גישה בקלות, אבל מומלץ להשתמש בתפקידים בהתאמה אישית כי אתם יוצרים אותם, ולכן אתם יכולים להגביל את הגישה שלהם רק להרשאות שנדרשות. מידע נוסף זמין במאמר בנושא תפקידים ב-IAM.
תפקידי IAM
יש סוגים שונים של תפקידי IAM שאפשר להשתמש בהם ב-Agent Platform:
תפקידים בהתאמה אישית מאפשרים לכם לבחור קבוצה ספציפית של הרשאות, ליצור תפקיד משלכם עם ההרשאות האלה ולהקצות את התפקיד למשתמשים בארגון.
תפקידים מוגדרים מראש מאפשרים להעניק קבוצה של הרשאות קשורות למשאבים של Agent Platform ברמת הפרויקט.
תפקידים בסיסיים (בעלים, עריכה וצפייה) מספקים בקרת גישה למשאבים של Agent Platform ברמת הפרויקט, והם משותפים לכל שירותי Google Cloud .
כדי להוסיף, לעדכן או להסיר את התפקידים האלה בפרויקט של Agent Platform, אפשר לעיין במסמכי המידע בנושא הענקה, שינוי וביטול של גישה.
תפקידים בהתאמה אישית
תפקידים בהתאמה אישית מאפשרים לכם לבחור קבוצה ספציפית של הרשאות, ליצור תפקיד משלכם עם ההרשאות האלה ולהקצות את התפקיד למשתמשים בארגון. מידע נוסף מופיע במאמר הסבר על תפקידים בהתאמה אישית ב-IAM.
שימוש בתפקידים בהתאמה אישית כדי להעניק הרשאות מינימליות
תפקידים מוגדרים מראש כוללים לעיתים קרובות יותר הרשאות ממה שאתם צריכים. אתם יכולים ליצור תפקידים בהתאמה אישית כדי לתת לחשבונות המשתמש רק את ההרשאות הספציפיות שנדרשות להם.
לדוגמה, אפשר ליצור תפקיד בהתאמה אישית עם ההרשאה aiplatform.endpoints.predict, ואז להקצות את התפקיד לחשבון שירות בנקודת קצה. כך חשבון השירות מקבל את היכולת להתקשר לנקודת הקצה כדי לקבל תחזיות, אבל לא את היכולת לשלוט בנקודת הקצה.
תפקידים מוגדרים מראש ל-Agent Platform
| Role | Permissions |
|---|---|
Agent Platform Administrator( Grants full access to all resources in Agent Platform. |
|
Aiplatform Editor( Editor role for aiplatform |
|
Agent Platform Express User Beta( Grants user access to Agent Platform Express. |
|
Agent Platform User( Grants access to use all resource in Agent Platform. |
|
Agent Platform Viewer( Grants access to view all resource in Agent Platform. |
|
Colab Enterprise Admin( Admin role of using colab enterprise. |
|
Colab Enterprise User( User role of using colab enterprise. |
|
Agent Platform Feature Store EntityType owner( Provides full access to all permissions for a particular entity type resource. Lowest-level resources where you can grant this role:
|
|
Agent Platform Express Admin Beta( Grants admin access to Agent Platform Express. |
|
Agent Platform Feature Store Admin( Grants full access to all resources in Agent Platform Feature Store. Lowest-level resources where you can grant this role:
|
|
Agent Platform Feature Store Data Viewer( This role provides permissions to read Feature data. Lowest-level resources where you can grant this role:
|
|
Agent Platform Feature Store Data Writer( This role provides permissions to read and write Feature data. Lowest-level resources where you can grant this role:
|
|
Agent Platform Feature Store Instance Creator( Administrator of Featurestore resources, but not the child resources under Featurestores. Lowest-level resources where you can grant this role:
|
|
Agent Platform Feature Store Resource Viewer( Viewer of all resources in Agent Platform Feature Store but cannot make changes. Lowest-level resources where you can grant this role:
|
|
Agent Platform Feature Store User Beta( Deprecated. Use featurestoreAdmin instead. |
|
Agent Platform Memory Bank Editor Role( Grants edit access to Agent Platform Memory Bank. |
|
Agent Platform Memory Bank User Role( Grants full user access to Agent Platform Memory Bank. |
|
Agent Platform Memory Bank Viewer Role( Grants viewer access to Agent Platform Memory Bank. |
|
Agent Platform Migration Service User( Grants access to use migration service in Agent Platform |
|
Notebook Executor User Beta( Grants users full access to schedules and notebook execution jobs. |
|
Notebook Runtime Admin( Grants full access to all runtime templates and runtimes in Notebook Service. |
|
Notebook Runtime User( Grants users permissions to create runtime resources using a runtime template and manage the runtime resources they created. |
|
Vertex AI Platform Provisioned Throughput Admin Beta( Grants access to use all resources related to Vertex AI Provisioned Throughput |
|
Vertex AI Platform Publisher Provisioned Throughput Admin Beta( Grants Publisher access to use all resources related to Vertex AI Provisioned Throughput Orders |
|
Vertex AI Platform Publisher Provisioned Throughput Viewer Beta( Grants Publisher access to view all resources related to Vertex AI Provisioned Throughput Orders |
|
Agent Platform Sessions Editor Role( Grants edit access to Agent Platform Sessions. |
|
Agent Platform Sessions User Role( Grants full user access to Agent Platform Sessions. |
|
Agent Platform Sessions Viewer Role( Grants viewer access to Agent Platform Sessions |
|
Agent Platform Tensorboard Web App User Beta( Grants access to the Vertex AI TensorBoard web app. |
|
Service agent roles
Service agent roles should only be granted to service agents.
| Role | Permissions |
|---|---|
Vertex AI Agent Sandbox Service Agent( Vertex AI Service Agent used to access Agent Sandbox managed resources in consumer project with restricted permissions. |
|
Vertex AI Batch Prediction Service Agent( Vertex AI Batch Prediction Service Agent for serving batch prediction requests. |
|
Vertex AI Colab Service Agent( Gives Vertex AI Colab the proper permissions to function. |
|
Vertex AI Custom Code Service Agent( Gives Vertex AI Custom Code the proper permissions. The aiplatform.customJobs.create IAM permission is highly privileged. Through Vertex AI Custom Training jobs, it effectively grants editor-level access to other services activated for the consumer project, such as GCS and BigQuery. |
|
Vertex AI Extension Custom Code Service Agent( Gives Vertex AI Extension that executes custom code the permissions it needs to function. |
|
Vertex AI Extension Service Agent( Gives Vertex AI Extension the permissions it needs to function. |
|
Vertex AI Model Monitoring Service Agent( Gives Vertex AI Model Monitoring the permissions it needs to function. |
|
Vertex AI Notebook Service Agent( Vertex AI Service Agent used to run Notebook managed resources in user project with restricted permissions. |
|
Vertex AI Online Prediction Service Agent( Gives Vertex AI Online Prediction the permissions it needs to function. |
|
Vertex AI RAG Data Service Agent( Vertex AI Service Agent used by Vertex RAG to access user imported data, Vertex AI, Document AI processors, and Vector Search in the project |
|
Vertex AI Rapid Eval Service Agent( Vertex AI Service Agent used by GenAI Rapid Evaluation Service to access publisher model endpoints in the user project |
|
Vertex AI Reasoning Engine Service Agent( Gives Vertex AI Reasoning Engine the proper permissions to function. The aiplatform.reasoningEngines.create IAM permission implies read access to the GCS objects of the consumer project through this service agent. |
|
Vertex AI Service Agent( Gives Vertex AI the permissions it needs to function. |
|
Vertex AI Telemetry Service Agent( Allows Vertex AI Telemetry Service Agent to access telemetry data. |
|
Vertex AI Tuning Service Agent( Vertex AI Service Agent used for tuning in user project. |
|
תפקידים בסיסיים
התפקידים הבסיסיים הישנים יותר Google Cloudמשותפים לכל השירותים של Google Cloud . התפקידים האלה הם 'בעלים', 'עריכה' ו'צפייה'.
גישה ברמת הפרויקט לעומת גישה ברמת המשאב
אפשר לנהל את הגישה ברמת הפרויקט או ברמת המשאב. יכול להיות שתוכלו גם לנהל את הגישה ברמת התיקייה או הארגון.
ברוב המשאבים של Agent Platform, אפשר לשלוט בגישה רק ברמת הפרויקט, התיקייה והארגון. אפשר להעניק גישה למשאבים ספציפיים רק לסוגים מסוימים של משאבים, למשל נקודת קצה או מאגר תכונות.
המשתמשים חולקים את השליטה בכל המשאבים שיש להם גישה אליהם. לדוגמה, אם משתמש רושם מודל, כל שאר המשתמשים המורשים בפרויקט יכולים לגשת למודל, לשנות אותו ולמחוק אותו.
כדי להעניק גישה למשאבים ברמת הפרויקט, מקצים תפקיד אחד או יותר לחשבון ראשי (משתמש, קבוצה או חשבון שירות).
במשאבים של Agent Platform שמאפשרים להעניק גישה ברמת המשאב, מגדירים מדיניות IAM במשאב הזה. המדיניות מגדירה אילו תפקידים מוקצים לאילו חשבונות משתמשים.
הגדרת מדיניות ברמת המשאב לא משפיעה על מדיניות ברמת הפרויקט. משאב יורש את כל כללי המדיניות מההיררכיה שלו. אפשר להשתמש בשתי רמות הפירוט האלה כדי להתאים אישית את ההרשאות. לדוגמה, אפשר לתת למשתמשים הרשאות קריאה ברמת הפרויקט כדי שהם יוכלו לקרוא את כל המשאבים בפרויקט, ואז לתת למשתמשים הרשאות כתיבה לכל משאב (ברמת המשאב).
לא כל התפקידים המוגדרים מראש והמשאבים ב-Agent Platform תומכים במדיניות ברמת המשאב. כדי לזהות באילו תפקידים אפשר להשתמש באילו משאבים, אפשר לעיין בטבלה של תפקידים מוגדרים מראש.
משאבים נתמכים
פלטפורמת הסוכנים תומכת במשאבים של Vertex AI Feature Store, כמו מאגר תכונות, סוג ישות ומרשם מודלים. מידע נוסף זמין במאמרים שליטה בגישה למשאבים של Vertex AI Feature Store ושליטה בגישה ל-מרשם המודלים.
אחרי שמעניקים או מבטלים גישה למשאב, לוקח זמן עד שהשינויים מתעדכנים. מידע נוסף זמין במאמר בנושא הפצת שינויים בגישה.
משאבים, חשבונות שירות וסוכני שירות
שירותי Agent Platform מנהלים לעיתים קרובות משאבים שפועלים לאורך זמן ומבצעים פעולות, כמו הרצת משימת אימון שקוראת נתוני אימון, או הפעלת מודל של למידת מכונה (ML) שקורא את משקל המודל. למשאבים עצמאיים כאלה יש זהות משאב משלהם כשמבצעים פעולות. הזהות הזו שונה מהזהות של חשבון המשתמש שיצר את המשאב. ההרשאות שניתנות לזהות המשאב מגדירות לאילו נתונים ולמשאבים אחרים יש לזהות המשאב גישה, ולא ההרשאות של החשבון הראשי שיצר את המשאב.
כברירת מחדל, משאבים של Agent Platform משתמשים בחשבונות שירות שמנוהלים על ידי Agent Platform כזהות משאב. חשבונות השירות האלה נקראים סוכני שירות של Agent Platform, והם מצורפים לפרויקט שבו נוצר המשאב. משתמשים עם הרשאות ספציפיות ב-Agent Platform יכולים ליצור משאבים שמשתמשים בסוכני שירות של Agent Platform. בחלק מהשירותים, אפשר לציין חשבון שירות לצירוף למשאב. המשאב משתמש בחשבון השירות הזה כדי לגשת למשאבים ולשירותים אחרים. מידע נוסף על חשבונות שירות זמין במאמר חשבונות שירות.
Agent Platform משתמשת בסוכני שירות שונים בהתאם לממשקי ה-API שמתבצעת אליהם קריאה. לכל סוכן שירות יש הרשאות IAM ספציפיות בפרויקט שאליו הוא משויך. ההרשאות האלה משמשות את זהות המשאב לביצוע פעולות, והן יכולות לכלול גישת קריאה בלבד לכל המשאבים של Cloud Storage ולנתונים של BigQuery בפרויקט.
חשבונות שירות
חשבון שירות הוא חשבון מיוחד שאפליקציה או מכונה וירטואלית (VM) משתמשות בו, ולא אדם. אתם יכולים ליצור הרשאות ולהקצות אותן לחשבונות שירות כדי לספק הרשאות ספציפיות למשאב או לאפליקציה.
מידע על שימוש בחשבון שירות כדי להתאים אישית את ההרשאות שזמינות לקונטיינר אימון בהתאמה אישית או לקונטיינר שמספק תחזיות אונליין למודל שאומן בהתאמה אישית זמין במאמר שימוש בחשבון שירות בהתאמה אישית.
חשבונות שירות מזוהים באמצעות כתובת אימייל.
סוכני שירות
סוכני שירות מסופקים באופן אוטומטי, והם מאפשרים לשירות לגשת למשאבים בשמכם.
כשסוכן שירות נוצר, הוא מקבל תפקיד מוגדר מראש בפרויקט. בטבלה הבאה מפורטים סוכני השירות של Agent Platform, כתובות האימייל שלהם והתפקידים שלהם:
| שם | משמש ל: | כתובת האימייל | תפקיד |
|---|---|---|---|
| סוכן שירות של Agent Platform | היכולות של Agent Platform | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
| Gemini Enterprise Agent Platform RAG Data Service Agent | Agent Platform RAG ניגש לנתונים שיובאו על ידי המשתמש, Agent Platform, מעבדי Document AI בפרויקט | service-PROJECT_NUMBER@gcp-sa-vertex-rag.iam.gserviceaccount.com |
roles/ |
| Gemini Enterprise Agent Platform Custom Code Service Agent |
קוד אימון בהתאמה אישית קוד האפליקציה של Ray ב-Agent Platform |
service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com |
roles/aiplatform.customCodeServiceAgent |
| סוכן שירות של Agent Platform Extension | Vertex Extensions | service-PROJECT_NUMBER@gcp-sa-vertex-ex.iam.gserviceaccount.com |
|
| חשבון שירות של Cloud AI Platform Notebooks | היכולות של Agent Platform Workbench | service-PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com |
roles/notebooks.serviceAgent |
הסוכן Gemini Enterprise Agent Platform Custom Code Service נוצר רק אם מריצים קוד אימון בהתאמה אישית כדי לאמן מודל עם אימון בהתאמה אישית.
תפקידים והרשאות של סוכן שירות
בטבלה הבאה מפורטים התפקידים וההרשאות שמוענקים לסוכני שירות של Agent Platform.
| תפקיד | הרשאות |
|---|---|
סוכן שירות Vertex AI( נותן ל-Vertex AI את ההרשאות שהוא צריך כדי לפעול. |
|
סוכן שירות הנתונים של Vertex AI RAG( סוכן שירות Vertex AI שמשמש את Vertex RAG כדי לגשת לנתונים שיובאו על ידי המשתמש, ל-Vertex AI, למעבדי Document AI ולחיפוש וקטורי בפרויקט |
|
סוכן Vertex AI Custom Code Service( נותן לקוד בהתאמה אישית ב-Vertex AI את ההרשאות המתאימות. הרשאת ה-IAM aiplatform.customJobs.create היא הרשאה עם הרבה הרשאות. באמצעות משימות אימון בהתאמה אישית ב-Vertex AI, הוא מעניק למעשה גישת עריכה לשירותים אחרים שהופעלו בפרויקט הצרכן, כמו GCS ו-BigQuery. |
|
סוכן Vertex AI Extension Service( נותן לתוסף Vertex AI את ההרשאות שהוא צריך כדי לפעול. |
|
סוכן שירות של AI Platform Notebooks( מתן גישה לסוכן שירות של מחברות כדי לנהל מכונות notebook בפרויקטים של משתמשים |
|
איך נותנים לסוכני השירות של Agent Platform גישה למשאבים אחרים
לפעמים צריך להקצות תפקידים נוספים לסוכן של פלטפורמת סוכנים. לדוגמה, אם אתם צריכים ש-Agent Platform יגש לקטגוריה של Cloud Storage בפרויקט אחר, תצטרכו להעניק לסוכן השירות תפקיד נוסף אחד או יותר.
דרישות להוספת תפקיד ב-BigQuery
בטבלה הבאה מפורטים התפקידים הנוספים שצריך להוסיף לסוכן השירות של Agent Platform כדי לגשת לטבלאות או לתצוגות של BigQuery בפרויקט אחר או לטבלאות או לתצוגות שמגובות על ידי מקור נתונים חיצוני.
המונח פרויקט הבית מתייחס לפרויקט שבו נמצא מערך הנתונים או המודל של Agent Platform. המונח פרויקט אחר מתייחס לכל פרויקט אחר.
| סוג הטבלה | פרויקט טבלה | פרויקט מקור נתונים | נדרש להוסיף תפקיד |
|---|---|---|---|
| טבלה מקורית של BigQuery | פרויקט ביתי | לא רלוונטי | אין. |
| טבלה מקורית של BigQuery | פרויקט אחר | לא רלוונטי | BigQuery Data Viewer לפרויקט אחר. מידע נוסף |
| תצוגת BigQuery | פרויקט ביתי | לא רלוונטי | אין. |
| תצוגת BigQuery | פרויקט אחר | לא רלוונטי | BigQuery Data Viewer לפרויקט אחר. מידע נוסף |
| מקור נתונים חיצוני של BigQuery שמגובה על ידי Bigtable | פרויקט ביתי | פרויקט ביתי | Bigtable Reader לפרויקט ביתי. מידע נוסף |
| מקור נתונים חיצוני של BigQuery שמגובה על ידי Bigtable | פרויקט ביתי | פרויקט אחר | Bigtable Reader לפרויקט אחר. מידע נוסף |
| מקור נתונים חיצוני של BigQuery שמגובה על ידי Bigtable | פרויקט אחר | פרויקט אחר | BigQuery Reader ו-Bigtable Reader לפרויקט אחר. מידע נוסף |
| מקור נתונים חיצוני של BigQuery שמגובה על ידי Cloud Storage | פרויקט ביתי | פרויקט ביתי | אין. |
| מקור נתונים חיצוני של BigQuery שמגובה על ידי Cloud Storage | פרויקט ביתי | פרויקט אחר | Storage Object Viewer לפרויקט אחר. מידע נוסף |
| מקור נתונים חיצוני של BigQuery שמגובה על ידי Cloud Storage | פרויקט אחר | פרויקט אחר | Storage Object Viewer ו-BigQuery Data Viewer לפרויקט אחר. מידע נוסף |
| מקור נתונים חיצוני של BigQuery שמגובה על ידי Google Sheets | פרויקט ביתי | לא רלוונטי | משתפים את קובץ Sheets עם חשבון השירות של Agent Platform. מידע נוסף |
| מקור נתונים חיצוני של BigQuery שמגובה על ידי Google Sheets | פרויקט אחר | לא רלוונטי | BigQuery Reader לפרויקט אחר ולשתף את קובץ הגיליון האלקטרוני ב-Sheets עם חשבון השירות של Agent Platform. |
דרישות להוספת תפקידים ב-Cloud Storage
אם אתם ניגשים לנתונים בקטגוריה של Cloud Storage בפרויקט אחר, אתם צריכים להקצות את התפקיד Storage > Storage Object Viewer ל-Agent Platform בפרויקט הזה. מידע נוסף
אם אתם משתמשים בקטגוריה של Cloud Storage כדי לקבל נתונים מהמחשב המקומי לצורך פעולת ייבוא, והקטגוריה נמצאת בפרויקט שונה מפרויקטGoogle Cloud , אתם צריכים להקצות את התפקיד Storage > Storage Object Creator ל-Agent Platform בפרויקט הזה. מידע נוסף
הענקת גישה ל-Agent Platform למשאבים בפרויקט הביתי
כדי להעניק תפקידים נוספים לסוכן שירות עבור Agent Platform בפרויקט הביתי:
עוברים לדף IAM במסוף Google Cloud של פרויקט הבית.
מסמנים את התיבה Include Google-provided role grants.
מזהים את סוכן השירות שרוצים להעניק לו הרשאות ולוחצים על סמל העיפרון .
אפשר לסנן לפי Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com כדי למצוא את סוכני השירות של Agent Platform.
מקצים לסוכן השירות את התפקידים הנדרשים ושומרים את השינויים.
הענקת גישה ל-Agent Platform למשאבים בפרויקט אחר
כשמשתמשים במקורות נתונים או ביעדים בפרויקט אחר, צריך לתת לסוכן השירות של Agent Platform הרשאות בפרויקט הזה. סוכן השירות של Agent Platform נוצר אחרי שמתחילים את המשימה האסינכרונית הראשונה (לדוגמה, יצירת נקודת קצה). אפשר גם ליצור במפורש את סוכן השירות של Agent Platform. למידע נוסף, ראו gcloud beta services identity create. הפקודה הזו ב-Google Cloud CLI יוצרת את סוכן השירות הראשי ואת סוכן השירות של הקוד המותאם אישית. עם זאת, רק סוכן השירות הראשי מוחזר בתשובה.
כדי להוסיף הרשאות ל-Agent Platform בפרויקט אחר:
עוברים לדף IAM במסוף Google Cloud של פרויקט הבית (הפרויקט שבו אתם משתמשים ב-Agent Platform).
מסמנים את התיבה Include Google-provided role grants.
מאתרים את סוכן השירות שרוצים להעניק לו הרשאות ומעתיקים את כתובת האימייל שלו (מופיעה בקטע Principal).
אפשר לסנן לפי Principal:@gcp-sa-aiplatform-cc.iam.gserviceaccount.com כדי למצוא את סוכני השירות של Agent Platform.
עוברים לפרויקט שבו רוצים להעניק את ההרשאות.
לוחצים על Add (הוספה) ומזינים את כתובת האימייל בNew principals (חשבונות משתמשים חדשים).
מוסיפים את כל התפקידים הנדרשים ולוחצים על שמירה.
מתן גישה ל-Google Sheets
אם אתם משתמשים במקור נתונים חיצוני של BigQuery שמגובה על ידי Google Sheets, אתם צריכים לשתף את הגיליון עם חשבון השירות של Agent Platform. חשבון השירות של Agent Platform נוצר אחרי שמתחילים את המשימה האסינכרונית הראשונה (לדוגמה, יצירת נקודת קצה). אפשר גם ליצור במפורש את חשבון השירות של Agent Platform באמצעות ה-CLI של gcloud לפי ההוראות האלה.
כדי לתת ל-Agent Platform הרשאה לגשת לקובץ ב-Sheets:
נכנסים לדף IAM במסוף Google Cloud .
מחפשים את חשבון השירות בשם
Agent Platform Service Agentומעתיקים את כתובת האימייל שלו (שמופיעה בקטע Principal).פותחים את קובץ הגיליון האלקטרוני ומשתפים אותו עם הכתובת הזו.
המאמרים הבאים
- מידע נוסף על IAM
- מידע על הרשאות ספציפיות ב-IAM ועל הפעולות שהן תומכות בהן
- במאמר הגדרת פרויקט לצוות מוסבר על דרכים מומלצות להגדרת פרויקט לצוות.
- סקירה כללית של Agent Platform