本文說明如何使用機構政策,集中控管 Model Garden 中模型的存取權。 舉例來說,您可以建立政策,限制生產環境中的使用者只能使用核准的 Google 和第三方模型。您可以在機構、資料夾或專案層級定義這項政策。這項政策會套用至該資源中的所有主體,且無法針對個別使用者設定。詳情請參閱「機構政策服務簡介」。 本文說明下列事項: 評估政策時,系統會合併所有適用於資源的政策。明確的 舉例來說,如果資料夾政策拒絕使用某個模型,而該資料夾內的專案政策允許使用相同模型,則系統會在專案層級拒絕存取該模型。資料夾層級的明確 詳情請參閱「瞭解階層評估」。 設定政策時,您可以選擇幾種方法來控管存取權。下表比較了可用的政策類型。 如要在自訂政策中指定模型,請使用以下格式,其中包含模型和特定動作: 其中: 舉例來說,如要為使用 Gemini 2.0 Flash 模型進行的預測定義政策規則,請指定 完整 ID 您可以允許或拒絕各個模型執行下列動作: 您可以使用 Google Cloud 控制台或 Google Cloud CLI 設定 Model Garden 政策。限制名稱為 如需詳細操作說明,請參閱下列 Resource Manager 說明文件: 下列範例顯示 gcloud CLI 使用的 YAML 格式政策。 在每個範例中,將 ORGANIZATION_ID 替換為您的 Google Cloud 機構 ID。 這項政策會拒絕特定模型動作。系統會隱含允許所有其他模型和動作。 這項政策允許特定模型動作。系統會隱含拒絕所有其他模型和動作。
政策評估
deny 值一律優先於明確的 allow 值。deny 優先。不過,如果將專案政策設為覆寫父項政策,系統就會允許存取模型。注意事項
政策詳細資料
政策類型
說明
用途
允許所有型號
可存取所有模型和動作。如未設定任何政策,系統會預設採用這個行為。
特定機構、資料夾或專案不需要存取限制時。
拒絕所有模型
禁止存取所有模型和動作。
在特定資源範圍內完全禁止使用 Model Garden 模型。
自訂允許政策
明確列出允許的模型和動作。系統會隱含拒絕所有其他模型和動作。
建立核准模型和動作的「許可清單」,供使用者存取。
自訂拒絕政策
明確列出遭到封鎖的模型和動作。系統會隱含允許所有其他模型和動作。
建立「拒絕清單」,禁止使用特定未獲核准的模型或動作。
publishers/PUBLISHER/models/MODEL_NAME:ACTION
PUBLISHER:擁有模型的發布者名稱。MODEL_NAME:要允許或拒絕的模型名稱。ACTION:要納入政策的模型動作。publishers/google/models/gemini-2.0-flash-001:predict。publishers/PUBLISHER/models/MODEL_NAME 也稱為模型 ID。您可以在Model Garden 的模型資訊卡上找到模型 ID。模型動作
predict:透過代管 API (模型即服務),對模型進行線上和批次預測。deploy:在 Google Cloud上部署模型。這項動作適用於沒有受管理 API 的模型,例如在 Google Cloud 控制台中按一下滑鼠即可部署的模型。tune:調整模型。設定政策
vertexai.allowedModels。範例政策
拒絕一組模型 (拒絕清單)
name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels
spec:
rules:
values:
deniedValues:
- publishers/meta/models/llama3:deploy
- publishers/google/models/gemini-2.0-flash-001:tune
- publishers/hf-google/models/gemma-2b:deploy
允許一組模型 (許可清單)
name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels
spec:
rules:
values:
allowedValues:
- publishers/meta/models/llama3:deploy
- publishers/google/models/gemini-2.0-flash-001:tune
- publishers/hf-google/models/gemma-2b:deploy
後續步驟
