控制对 Model Garden 模型的访问权限

借助 Model Garden 的组织政策，您可以集中控制用户可以访问的模型以及他们可以执行的操作。默认情况下，只要有权使用 Vertex AI，任何人都可以使用 Model Garden 发现、自定义和部署各种 Google 和第三方模型。

设置 Model Garden 政策可能很有用，例如，如果您有一组已获批准的 Google 和第三方模型，可在生产环境中使用。您可以在组织、文件夹或项目级别定义政策，以便用户只能访问已获批准的模型。政策适用于所有主账号。组织政策不是按用户的政策。如需了解详情，请参阅组织政策服务简介。

政策评估

在评估时，系统会审核对特定资源起作用的所有政策，并且仅合并并评估适用的政策。任何显式拒绝值都优先于任何显式允许值。

例如，假设您有一个文件夹政策禁止使用特定模型，而一个项目政策允许使用该模型。假设这些政策已合并，那么系统会在项目级别拒绝对模型的访问，因为文件夹级别的显式拒绝政策优先。不过，如果您将项目政策设置为替换所有父级政策，则系统会在项目级别允许访问该模型。

如需了解详情，请参阅 Resource Manager 文档中的了解层次结构评估。

注意事项

• Model Garden 组织政策仅适用于 Model Garden 中的模型。例如，此政策不适用于在 Vertex AI Model Registry 中注册的模型。
• 一个组织政策的允许值和拒绝值不能超过 500 个。
• 对于自定义政策，您必须单独指定每个模型。您无法批量允许或拒绝模型。例如，您无法拒绝所有第三方模型，也无法仅允许 Google 模型执行预测操作。

政策详情

设置政策时，您需要定义以下某种操作：

• 允许所有型号。
• 拒绝所有模型。
• 设置自定义政策规则，以允许或拒绝特定的模型列表。

默认情况下，如果未设置或继承任何政策，则允许所有模型和操作。

对于自定义拒绝政策，您可以明确拒绝一组模型，并隐式允许所有其他模型。同样，对于自定义允许政策，您可以明确允许一组模型，并隐式拒绝所有其他模型。

如需在自定义政策和模型操作中指定模型，请使用以下格式：

publishers/PUBLISHER/models/MODEL_NAME:ACTION

替换以下内容：

• PUBLISHER：您的政策适用的模型的所有者发布商的名称。
• MODE_NAME：要允许或拒绝的模型的名称。
• ACTION：要与您的政策一起添加的模型操作。

例如，若要针对 gemini-1.5-pro 模型定义预测政策规则，请指定 publishers/google/models/gemini-1.5-pro:predict。

完全限定 ID (publishers/PUBLISHER/models/MODEL_NAME) 也称为模型 ID。如需查找模型的模型 ID，请前往 Model Garden 中的模型卡片。如需查看模型卡片的链接，请参阅在 Model Garden 中探索 AI 模型中的模型列表。

模型操作

对于每种型号，您可以允许或禁止以下操作：

• predict：指定用户是否可以使用托管式 API（将模型作为服务）对模型进行在线和批量预测。
• deploy：对于没有托管式 API 的模型，用于指定用户是否可以在 Google Cloud 上部署模型。例如，此操作适用于 Google Cloud 控制台中的一键式部署。
• tune：指定用户是否可以调优模型。

设置政策

您可以使用 Google Cloud 控制台或 Google Cloud CLI 为 Model Garden 设置政策。限制条件的名称为 vertexai.allowedModels。如需详细了解如何设置政策，请参阅 Resource Manager 文档中的以下主题：

• 如需了解 Google Cloud 控制台说明，请参阅创建和管理组织政策。
• 如需查看 gcloud CLI 说明，请参阅使用限制条件。

示例政策

以下政策示例采用 YAML 格式，您在通过 gcloud CLI 设置政策时需要使用此格式。

拒绝一组模型并允许所有其他模型

以下示例会禁止对一组特定模型执行操作。

name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels
spec:
  rules:
    values:
      deniedValues:
      - publishers/meta/models/llama3:deploy
      - publishers/google/models/gemini-pro:tune
      - publishers/hf-google/models/gemma-2b:deploy

将 ORGANIZATION_ID 替换为您的 Google Cloud 组织的 ID。如需了解详情，请参阅获取组织资源。

允许一组模型并拒绝所有其他模型

以下示例允许对一组特定的模型执行操作。

name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels
spec:
  rules:
    values:
      allowedValues:
      - publishers/meta/models/llama3:deploy
      - publishers/google/models/gemini-pro:tune
      - publishers/hf-google/models/gemma-2b

后续步骤

了解 Model Garden 及其产品。