Cette page fournit des exemples de configuration d'un projet pour une équipe travaillant avec la plate-forme d'agents Gemini Enterprise. Cette page part du principe que vous connaissez déjà les concepts IAM (Identity and Access Management), tels que les stratégies, les rôles, les autorisations et les comptes principaux, comme décrit dans Contrôle des accès à la plate-forme Agent Platform avec IAM et Concepts liés à la gestion des accès.
Ces exemples sont destinés à une utilisation générale. Tenez compte des besoins spécifiques de l'équipe et ajustez la configuration du projet en conséquence.
Présentation
La plate-forme d'agents utilise IAM pour gérer l'accès aux ressources. Lorsque vous planifiez le contrôle des accès pour vos ressources, tenez compte des points suivants :
Vous pouvez gérer les accès au niveau du projet ou des ressources. Les accès au niveau du projet s'appliquent à toutes les ressources de ce projet. L'accès à une ressource spécifique ne s'applique qu'à cette ressource.
Vous accordez l'accès en attribuant des rôles IAM aux comptes principaux. Des rôles prédéfinis sont disponibles pour faciliter la configuration des accès, mais nous vous recommandons d'utiliser des rôles personnalisés, car vous pouvez les créer et ainsi limiter leur accès aux seules autorisations requises.
Pour en savoir plus sur le contrôle des accès, consultez Contrôle des accès à Agent Platform avec IAM.
Projet unique avec accès partagé aux données et aux ressources de la plate-forme d'agents
Dans cet exemple, une équipe partage un seul projet contenant ses données et les ressources de l'Agent Platform.
Vous pouvez configurer un projet de cette manière si les données, les conteneurs et les autres ressources de l'Agent Platform de l'équipe peuvent être partagés entre tous les utilisateurs du projet.
La stratégie d'autorisation IAM de votre projet peut se présenter comme suit :
{
"version": 1,
"etag": "BwWKmjvelug=",
"bindings": [
{
"role": "roles/aiplatform.user",
"members": [
"user:USER1_EMAIL_ADDRESS",
"user:USER2_EMAIL_ADDRESS"
]
},
{
"role": "roles/storage.admin",
"members": [
"user:USER1_EMAIL_ADDRESS",
"user:USER2_EMAIL_ADDRESS"
]
},
{
"role": "roles/aiplatform.serviceAgent",
"members": [
"user:service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com"
]
}
]
}
Configurer un projet de cette manière permet à une équipe de collaborer plus facilement pour entraîner des modèles, déboguer du code, déployer des modèles et observer des points de terminaison. Tous les utilisateurs voient les mêmes ressources et peuvent s'entraîner avec les mêmes données. Les ressources de la plate-forme d'agents fonctionnent dans un seul projet. Vous n'avez donc pas besoin d'accorder l'accès à des ressources en dehors du projet. Le quota est partagé entre les membres de l'équipe.
Pour configurer le contrôle des accès au projet de votre équipe, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Séparer les données et les ressources de l'Agent Platform
Dans cet exemple, les données de l'équipe se trouvent dans un projet distinct des ressources de la plate-forme d'agents.
Vous pouvez configurer un projet de cette manière si :
Les données de l'équipe sont trop difficiles à déplacer vers le même projet que vos ressources Agent Platform.
Les données de l'équipe nécessitent un contrôle spécifique sur les personnes qui y ont accès.
Dans ces situations, nous vous recommandons de créer un projet pour les données et un projet pour les ressources de la plate-forme d'agents. Les développeurs de l'équipe partagent le projet contenant les ressources de la plate-forme d'agents. Ils utilisent les ressources de l'Agent Platform pour accéder aux données stockées dans l'autre projet et les traiter. Les administrateurs de données accordent l'accès aux ressources de la plate-forme d'agents via des agents de service ou des comptes de service personnalisés.
Par exemple, vous pouvez accorder aux agents de service par défaut de la plate-forme d'agents l'accès à un bucket Cloud Storage avec une règle d'autorisation semblable à celle-ci :
{
"version": 1,
"etag": "BwWKmjvelug=",
"bindings": [
{
"role": "roles/storage.objectViewer",
"members": [
"user:service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com",
"user:service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com"
]
}
]
}
Dans la mesure du possible, spécifiez un compte de service à utiliser comme identité de ressource lorsque vous créez des ressources Agent Platform, et utilisez ce compte de service pour gérer le contrôle des accès. Il est ainsi plus facile d'accorder l'accès aux données à des ressources spécifiques et de gérer les autorisations au fil du temps.
Par exemple, vous pouvez accorder l'accès à BigQuery à un compte de service avec une règle semblable à la suivante :
{
"version": 1,
"etag": "BwWKmjvelug=",
"bindings": [
{
"role": "roles/bigquery.user",
"members": [
"user:SERVICE_ACCOUNT_NAME@PROJECT_NUMBER.iam.gserviceaccount.com"
]
}
]
}
Pour configurer le contrôle des accès pour les comptes de service, consultez Gérer l'accès aux comptes de service.
Dans le projet contenant les ressources de la plate-forme d'agents, les administrateurs peuvent accorder aux utilisateurs l'accès aux données en leur attribuant le rôle "Utilisateur du compte de service" (roles/iam.serviceAccountUser) sur les comptes de service spécifiés.
Isoler le code moins fiable dans des projets distincts supplémentaires
Les modèles, les conteneurs de prédiction et les conteneurs d'entraînement sont du code. Il est important d'isoler le code moins fiable des modèles et des données sensibles. Déployez des points de terminaison et des phases d'entraînement dans leurs propres projets, utilisez un compte de service dédié avec des autorisations très limitées, et utilisez VPC Service Controls pour les isoler et réduire l'impact de l'accès accordé à ces conteneurs et modèles.
Étape suivante
Pour en savoir plus sur le contrôle des accès aux points de terminaison, consultez Contrôler l'accès aux points de terminaison de l'Agent Platform.
Pour en savoir plus sur l'utilisation d'un compte de service personnalisé pour contrôler l'accès à des ressources spécifiques, consultez Utiliser un compte de service personnalisé.