Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Menyiapkan project untuk tim

Halaman ini memberikan contoh cara menyiapkan project untuk tim yang bekerja dengan Gemini Enterprise Agent Platform. Halaman ini mengasumsikan bahwa Anda sudah memahami konsep Identity and Access Management (IAM) seperti kebijakan, peran, izin, dan akun utama seperti yang dijelaskan dalam Kontrol akses Platform Agen dengan IAM dan Konsep terkait pengelolaan akses.

Contoh ini dimaksudkan untuk digunakan secara umum. Pertimbangkan kebutuhan spesifik tim, dan sesuaikan cara Anda menyiapkan project.

Ringkasan

Agent Platform menggunakan IAM untuk mengelola akses ke resource. Saat Anda merencanakan kontrol akses untuk resource, pertimbangkan hal berikut:

Anda dapat mengelola akses di level project atau level resource. Akses tingkat project berlaku untuk semua resource dalam project tersebut. Akses ke resource tertentu hanya berlaku untuk resource tersebut.
Anda memberikan akses dengan menetapkan peran IAM ke akun utama. Peran bawaan tersedia untuk mempermudah penyiapan akses, tetapi peran khusus direkomendasikan karena Anda yang membuatnya, sehingga Anda dapat membatasi aksesnya hanya ke izin yang diperlukan.

Untuk mempelajari kontrol akses lebih lanjut, lihat Kontrol akses Platform Agen dengan IAM.

Satu project dengan akses bersama ke data dan resource Agent Platform

Dalam contoh ini, tim membagikan satu project yang berisi data dan resource Platform Agen mereka.

Anda dapat menyiapkan project dengan cara ini jika data, penampung, dan resource Agent Platform lainnya milik tim dapat dibagikan kepada semua pengguna project.

Kebijakan izinkan IAM project Anda mungkin terlihat mirip dengan berikut:

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/aiplatform.user",
      "members": [
        "user:USER1_EMAIL_ADDRESS",
        "user:USER2_EMAIL_ADDRESS"
      ]
    },
    {
      "role": "roles/storage.admin",
      "members": [
        "user:USER1_EMAIL_ADDRESS",
        "user:USER2_EMAIL_ADDRESS"
      ]
    },
    {
      "role": "roles/aiplatform.serviceAgent",
      "members": [
        "user:service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com"
      ]
    }
  ]
}

Menyiapkan project dengan cara ini memudahkan tim berkolaborasi untuk melatih model, men-debug kode, men-deploy model, dan mengamati endpoint. Semua pengguna melihat resource yang sama dan dapat melakukan pelatihan dengan data yang sama. Resource Agent Platform beroperasi dalam satu project, sehingga Anda tidak perlu memberikan akses ke resource di luar project. Kuota dibagikan di seluruh tim.

Untuk menyiapkan kontrol akses bagi project tim Anda, lihat Mengelola akses ke project, folder, dan organisasi.

Memisahkan data dan resource Agent Platform

Dalam contoh ini, data tim berada di project yang terpisah dari resource Agent Platform.

Anda dapat menyiapkan project dengan cara ini jika:

Data tim terlalu sulit dipindahkan ke project yang sama dengan resource Agent Platform Anda.
Data tim memerlukan kontrol khusus atas siapa yang dapat mengaksesnya.

Dalam situasi ini, sebaiknya buat project untuk data dan project untuk resource Agent Platform. Developer tim berbagi project yang berisi resource Agent Platform. Agen menggunakan resource Agent Platform untuk mengakses dan memproses data yang disimpan dalam project lain. Administrator data memberikan akses resource Platform Agen melalui agen layanan atau akun layanan kustom.

Misalnya, Anda dapat memberikan akses ke bucket Cloud Storage kepada agen layanan Platform Agen default dengan kebijakan izinkan yang terlihat seperti berikut:

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/storage.objectViewer",
      "members": [
        "user:service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com",
        "user:service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com"
      ]
    }
  ]
}

Jika memungkinkan, tentukan akun layanan yang akan digunakan sebagai identitas resource saat Anda membuat resource Agent Platform, dan gunakan akun layanan tersebut untuk mengelola kontrol akses. Hal ini akan memudahkan pemberian akses ke data dan pengelolaan izin untuk sumber daya tertentu seiring waktu.

Misalnya, Anda dapat memberikan akses akun layanan ke BigQuery dengan kebijakan yang terlihat seperti berikut:

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/bigquery.user",
      "members": [
        "user:SERVICE_ACCOUNT_NAME@PROJECT_NUMBER.iam.gserviceaccount.com"
      ]
    }
  ]
}

Untuk menyiapkan kontrol akses untuk akun layanan, lihat Mengelola akses ke akun layanan.

Di project dengan resource Agent Platform, administrator dapat memberikan akses pengguna ke data dengan memberikan peran Service Account User (roles/iam.serviceAccountUser) pada akun layanan yang ditentukan.

Mengisolasi kode yang kurang tepercaya dalam project terpisah tambahan

Model, container prediksi, dan container pelatihan adalah kode. Penting untuk mengisolasi kode yang kurang tepercaya dari model dan data sensitif. Deploy endpoint dan tahap pelatihan di projectnya sendiri, gunakan akun layanan khusus dengan izin yang sangat terbatas, dan gunakan Kontrol Layanan VPC untuk mengisolasinya serta mengurangi dampak akses yang diberikan ke kontainer dan model tersebut.

Langkah berikutnya

Untuk mempelajari lebih lanjut kontrol akses endpoint, lihat Mengontrol akses ke endpoint Platform Agen.
Untuk mempelajari lebih lanjut cara menggunakan akun layanan kustom untuk mengontrol akses ke resource tertentu, lihat Menggunakan akun layanan kustom.