La documentazione di Vertex AI non viene più aggiornata

I servizi di Vertex AI ora fanno parte di Gemini Enterprise Agent Platform. Per informazioni aggiornate, consulta la documentazione di Agent Platform.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configura il progetto Google Cloud per Vertex AI Pipelines

Prima di utilizzare Vertex AI Pipelines per orchestrare le pipeline di machine learning (ML), devi configurare il tuo progetto Google Cloud . Alcune risorse, come il datastore dei metadati utilizzato da Vertex ML Metadata, vengono create nel tuo progettoGoogle Cloud la prima volta che esegui una pipeline.

Per configurare il progetto per Vertex AI Pipelines, segui queste istruzioni.

Crea il tuo progetto Google Cloud e configuralo per l'utilizzo con Vertex AI Pipelines.
Se non specifichi un account di servizio, Vertex AI Pipelines utilizza ilaccount di serviziot predefinito di Compute Engine per eseguire le pipeline. Per ulteriori informazioni sul account di servizio Compute Engine predefinito, consulta Utilizzo del service account Compute Engine predefinito.

Ti consigliamo di creare un account di servizio per eseguire le pipeline e poi concedere a questo account autorizzazioni granulari per le risorse Google Cloud necessarie per eseguire la pipeline.
Vertex AI Pipelines utilizza Cloud Storage per archiviare gli artefatti delle esecuzioni della pipeline. Crea un bucket Cloud Storage e concedi al account di servizio l'accesso a questo bucket.
Vertex AI Pipelines utilizza Vertex ML Metadata per archiviare i metadati creati dalle esecuzioni della pipeline. Quando esegui una pipeline per la prima volta, se l'archivio dei metadati del tuo progetto non esiste, Vertex AI crea l'archivio dei metadati del tuo progetto.

Se vuoi che i tuoi dati vengano criptati utilizzando una chiave di crittografia gestita dal cliente (CMEK), puoi creare manualmente il tuo archivio metadati utilizzando una chiave CMEK prima di eseguire una pipeline. In caso contrario, se nel tuo progetto non esiste un archivio metadati predefinito, Vertex AI crea l'archivio metadati del progetto utilizzando la chiave CMEK utilizzata quando esegui la pipeline per la prima volta. Dopo la creazione dell'archivio dei metadati, viene utilizzata una chiave CMEK diversa da quella utilizzata in un'esecuzione della pipeline.

Configura il progetto Google Cloud

Utilizza le seguenti istruzioni per creare un progetto Google Cloud e configurarlo per l'utilizzo con Vertex AI Pipelines.

Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Installa Google Cloud CLI.

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Per inizializzare gcloud CLI, esegui questo comando:

gcloud init

Dopo aver inizializzato gcloud CLI, aggiornala e installa i componenti richiesti:

gcloud components update
gcloud components install beta

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Installa Google Cloud CLI.

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Per inizializzare gcloud CLI, esegui questo comando:

gcloud init

Dopo aver inizializzato gcloud CLI, aggiornala e installa i componenti richiesti:

gcloud components update
gcloud components install beta

Configura un account di servizio con autorizzazioni granulari

Quando esegui una pipeline, puoi specificare un account di servizio. L'esecuzione della pipeline agisce con le autorizzazioni di questoaccount di serviziot.

Se non specifichi un account di servizio, l'esecuzione della pipeline utilizza il service account predefinito di Compute Engine. Per ulteriori informazioni sul account di servizio Compute Engine predefinito, consulta Utilizzo del service account Compute Engine predefinito.

Segui queste istruzioni per creare un account di servizio e concedergli autorizzazioni granulari per le risorse Google Cloud .
1. Esegui questo comando per creare un account di servizio.
```
gcloud iam service-accounts create SERVICE_ACCOUNT_ID \
    --description="DESCRIPTION" \
    --display-name="DISPLAY_NAME" \
    --project=PROJECT_ID
```
  Sostituisci i seguenti valori:
  - SERVICE_ACCOUNT_ID: l'ID del account di servizio.
  - DESCRIPTION: (Facoltativo) Una descrizione del service account.
  - DISPLAY_NAME: il nome visualizzato per questo service account.
  - PROJECT_ID: il progetto in cui creare il account di servizio.
  Scopri di più sulla creazione di un service account.
2. Concedi al account di servizio l'accesso a Vertex AI. Tieni presente che la propagazione della modifica dell'accesso potrebbe richiedere un po' di tempo. Per saperne di più, consulta Propagazione della modifica di accesso.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/aiplatform.user"
```
  Sostituisci i seguenti valori:
  - PROJECT_ID: il progetto in cui è stato creato il account di servizio.
  - SERVICE_ACCOUNT_ID: l'ID del account di servizio.
  Nota: il set minimo di autorizzazioni necessarie per utilizzare Vertex AI Pipelines per eseguire una pipeline è aiplatform.metadataStores.get, storage.buckets.get, storage.objects.create e storage.objects.get. La prima volta che esegui una pipeline in un nuovo progetto, devi anche aggiungere l'autorizzazione aiplatform.metadataStores.create. Per eseguire una pipeline con autorizzazioni minime, utilizza Identity and Access Management per creare un ruolo personalizzato con queste autorizzazioni e concedi al account di servizio l'accesso a questo ruolo anziché a roles/aiplatform.user.
3. Puoi utilizzare Artifact Registry per ospitare immagini container e modelli di Kubeflow Pipelines.
  
  Per ulteriori informazioni su Artifact Registry, consulta la documentazione di Artifact Registry.
4. Concedi al account di servizio l'accesso a tutte le risorse Google Cloud che utilizzi nelle pipeline.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com" \
    --role="ROLE_NAME"
```
  Sostituisci i seguenti valori:
  - PROJECT_ID: il progetto in cui è stato creato il account di servizio.
  - SERVICE_ACCOUNT_ID: l'ID del account di servizio.
  - ROLE_NAME: il ruolo Identity and Access Management da concedere a questo account di servizio.
5. Per utilizzare Vertex AI Pipelines per eseguire pipeline con questo account di servizio, esegui il seguente comando per concedere al tuo account utente il ruolo roles/iam.serviceAccountUser per il tuo account di servizio.
```
gcloud iam service-accounts add-iam-policy-binding \
    SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com \
    --member="user:USER_EMAIL" \
    --role="roles/iam.serviceAccountUser"
```
  Sostituisci i seguenti valori:
  - SERVICE_ACCOUNT_ID: l'ID del account di servizio.
  - PROJECT_ID: il progetto in cui è stato creato il account di servizio.
  - USER_EMAIL: l'indirizzo email dell'utente che esegue le pipeline come questoaccount di serviziot.
Se preferisci utilizzare il account di servizio Compute Engine predefinito per eseguire le pipeline, abilita l'API Compute Engine e concedi alaccount di serviziot predefinito l'accesso a Vertex AI. Tieni presente che la propagazione della modifica dell'accesso potrebbe richiedere un po' di tempo. Per saperne di più, consulta Propagazione della modifica di accesso.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com" \
    --role="roles/aiplatform.user"
```
Sostituisci i seguenti valori:
- PROJECT_ID: il progetto in cui è stato creato il account di servizio predefinito.
- PROJECT_NUMBER: il numero del progetto in cui è stato creato il service account predefinito.
Ruoli richiesti per abilitare le API
Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo dei servizi (roles/serviceusage.serviceUsageAdmin), che include l'autorizzazione serviceusage.services.enable. Scopri come concedere i ruoli.
Abilitare l'API

Configura un bucket Cloud Storage per gli artefatti della pipeline

Vertex AI Pipelines archivia gli artefatti delle esecuzioni della pipeline utilizzando Cloud Storage. Utilizza le istruzioni seguenti per creare un bucket Cloud Storage e concedere al tuo account di servizio (o al account di servizio Compute Engine predefinito) l'accesso in lettura e scrittura agli oggetti in quel bucket.

Esegui questo comando per creare un bucket Cloud Storage nella regione in cui vuoi eseguire le pipeline.
```
gcloud storage buckets create gs://BUCKET_NAME --location=BUCKET_LOCATION --project=PROJECT_ID
```
Sostituisci i seguenti valori:
- PROJECT_ID: specifica il progetto a cui è associato il bucket.
- BUCKET_LOCATION: specifica la posizione del bucket, ad esempio US-CENTRAL1.
- BUCKET_NAME: il nome che vuoi assegnare al bucket, soggetto ai requisiti di denominazione. Ad esempio my-bucket.
Scopri di più sulla creazione di bucket Cloud Storage.
Esegui i seguenti comandi per concedere al account di servizio l'accesso in lettura e scrittura agli artefatti della pipeline nel bucket che hai creato nel passaggio precedente.
```
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
--member=serviceAccount:SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com \
--role=roles/storage.objectUser
```
Sostituisci i seguenti valori:
- SERVICE_ACCOUNT_ID: l'ID del account di servizio.
- PROJECT_ID: il progetto in cui è stato creato il account di servizio.
- BUCKET_NAME: il nome del bucket a cui stai concedendo l'accesso al account di servizio.
In alternativa, se preferisci utilizzare il account di servizio predefinito di Compute Engine per eseguire le pipeline, esegui il comando gcloud iam service-accounts list per individuare il numero di progetto per questo account.
```
gcloud iam service-accounts list
```
Il account di servizio Compute Engine predefinito ha un nome simile al seguente: PROJECT_NUMBER-compute@developer.gserviceaccount.com.

Esegui il comando seguente per concedere al account di servizio predefinito di Compute Engine l'accesso in lettura e scrittura agli artefatti della pipeline nel bucket creato nel passaggio precedente.
```
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
--member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
--role=roles/storage.objectUser
```
Sostituisci i seguenti valori:
- PROJECT_NUMBER: il numero di progetto per il account di servizio predefinito di Compute Engine.
- BUCKET_NAME: il nome del bucket a cui stai concedendo l'accesso al account di servizio.
Scopri di più sul controllo dell'accesso ai bucket Cloud Storage.

Crea un archivio di metadati che utilizza una chiave di crittografia gestita dal cliente (CMEK) (facoltativo)

Segui queste istruzioni per creare una chiave CMEK e configurare un datastore di metadati Vertex ML Metadata che utilizzi questa chiave CMEK.

Utilizza Cloud Key Management Service per configurare una chiave di crittografia gestita dal cliente.
Utilizza la seguente chiamata REST per creare l'archivio dei metadati predefinito del progetto utilizzando la tua CMEK.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:
- LOCATION_ID: La tua regione.
- PROJECT_ID: il tuo ID progetto
- KEY_RING: il nome del portachiavi di Cloud Key Management Service in cui si trova la chiave di crittografia.
- KEY_NAME: il nome della chiave di crittografia che vuoi utilizzare per questo archivio di metadati.
Metodo HTTP e URL:
```
POST https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/metadataStores?metadata_store_id=default
```
Corpo JSON della richiesta:
```
{
  "encryption_spec": {
    "kms_key_name": "projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
  },
}
```
Per inviare la richiesta, espandi una di queste opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json. Esegui questo comando nel terminale per creare o sovrascrivere questo file nella directory corrente:
```
cat > request.json << 'EOF'
{
  "encryption_spec": {
    "kms_key_name": "projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
  },
}
EOF
```
Quindi esegui questo comando per inviare la richiesta REST:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/metadataStores?metadata_store_id=default"
```
PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json. Esegui questo comando nel terminale per creare o sovrascrivere questo file nella directory corrente:
```
@'
{
  "encryption_spec": {
    "kms_key_name": "projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
  },
}
'@  | Out-File -FilePath request.json -Encoding utf8
```
Quindi esegui questo comando per inviare la richiesta REST:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/metadataStores?metadata_store_id=default" | Select-Object -Expand Content
```
Dovresti ricevere una risposta JSON simile alla seguente:
```
{
  "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATIONS_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.aiplatform.v1.CreateMetadataStoreOperationMetadata",
    "genericMetadata": {
      "createTime": "2021-05-18T18:47:14.494997Z",
      "updateTime": "2021-05-18T18:47:14.494997Z"
    }
  }
}
```