控制对 Model Garden 模型的访问权限

借助 Model Garden 的组织政策，您可以集中控制用户可以访问哪些模型以及可以执行哪些操作。默认情况下，任何有权使用 Vertex AI 的用户都可以使用 Model Garden 来发现、自定义和部署各种 Google 模型和第三方模型。

例如，如果您有一组已获批准的 Google 和第三方模型可在生产环境中使用，那么设置 Model Garden 政策可能会很有用。您可以在组织、文件夹或项目级层定义政策，以便用户只能访问获批的模型。政策适用于所有主账号。组织政策不是针对用户的政策。如需了解详情，请参阅组织政策服务简介。

政策评估

在评估时，系统会审核影响特定资源的所有政策，然后仅合并适用的政策并进行评估。任何明确的拒绝值都优先于任何明确的允许值。

例如，假设您有一个文件夹政策，用于拒绝特定模型；还有一个项目政策，用于允许同一模型。假设政策已合并，则在项目级层拒绝访问相应模型，因为文件夹级层的显式拒绝政策具有优先权。不过，如果您将项目政策设置为替换所有父级政策，则可以在项目级层允许访问模型。

如需了解详情，请参阅 Resource Manager 文档中的了解层次结构评估。

注意事项

• Model Garden 组织政策仅适用于 Model Garden 中的模型。例如，此政策不适用于在 Vertex AI Model Registry 中注册的模型。
• 组织政策的允许值和拒绝值总数不得超过 500 个。
• 对于自定义政策，您必须单独指定每个模型。您无法允许或拒绝一组模型。例如，您无法拒绝所有第三方模型，也无法仅允许 Google 模型执行预测操作。

政策详情

设置政策时，您可以定义以下某项操作：

• 允许所有型号。
• 拒绝所有型号。
• 设置自定义政策规则，以允许或拒绝特定型号列表。

默认情况下，如果未设置或继承任何政策，则允许所有模型和操作。

对于自定义拒绝政策，您可以明确拒绝一系列模型，并隐式允许所有其他模型。同样，对于自定义允许政策，您可以明确允许一系列模型，并隐式拒绝所有其他模型。

如需在自定义政策和模型操作中指定模型，请使用以下格式：

publishers/PUBLISHER/models/MODEL_NAME:ACTION

替换以下内容：

• PUBLISHER：您的政策所适用的模型的发布者的名称。
• MODEL_NAME：要允许或拒绝的模型的名称。
• ACTION：要纳入政策中的模型操作。

例如，如需针对 Gemini 2.0 Flash 模型上的预测定义政策规则，请指定 publishers/google/models/gemini-2.0-flash-001:predict。

完全限定的 ID (publishers/PUBLISHER/models/MODEL_NAME) 也称为模型 ID。如需查找模型的模型 ID，请前往 Model Garden 中相应模型的模型卡片。如需查看模型卡片的链接，请参阅在 Model Garden 中探索 AI 模型中的模型列表。

模型操作

对于每种模型，您可以允许或拒绝以下操作：

• predict：指定用户是否可以针对具有托管式 API 的模型（即模型即服务）进行在线预测和批量预测。
• deploy：对于没有托管式 API 的模型，用于指定用户是否可以在 Google Cloud上部署模型。例如，此操作适用于 Google Cloud 控制台中的一键式部署。
• tune：指定用户是否可以调优模型。

设置政策

您可以使用 Google Cloud 控制台或 Google Cloud CLI 为 Model Garden 设置政策。相应限制条件的名称为 vertexai.allowedModels。如需详细了解如何设置政策，请参阅 Resource Manager 文档中的以下主题：

• 如需了解 Google Cloud 控制台说明，请参阅创建和管理组织政策。
• 如需查看 gcloud CLI 说明，请参阅使用限制条件。

示例政策

以下示例政策采用 YAML 格式，您可以通过 gcloud CLI 设置政策。

拒绝一组型号，允许所有其他型号

以下示例拒绝针对特定模型集执行操作。

name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels
spec:
  rules:
    values:
      deniedValues:
      - publishers/meta/models/llama3:deploy
      - publishers/google/models/gemini-2.0-flash-001:tune
      - publishers/hf-google/models/gemma-2b:deploy

将 ORGANIZATION_ID 替换为您的 Google Cloud组织的 ID。如需了解详情，请参阅获取组织资源。

允许一组模型，拒绝所有其他模型

以下示例允许对一组特定模型执行操作。

name: organizations/ORGANIZATION_ID/policies/vertexai.allowedModels
spec:
  rules:
    values:
      allowedValues:
      - publishers/meta/models/llama3:deploy
      - publishers/google/models/gemini-2.0-flash-001:tune
      - publishers/hf-google/models/gemma-2b:deploy

后续步骤

了解 Model Garden 及其提供的产品/服务。