Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Cloud de Confiance von S3NS. Weitere Informationen finden Sie unter Unterschiede zu Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Berechtigungen für generative KI-Funktionen festlegen, die Vertex AI LLMs aufrufen

In diesem Dokument erfahren Sie, wie Sie Berechtigungen zum Ausführen von generativen KI-Abfragen einrichten. Generative KI-Anfragen enthalten AI.*-Funktionen, die Basismodelle in Vertex AI aufrufen, z. B. AI.GENERATE.

Es gibt zwei Möglichkeiten, Berechtigungen zum Ausführen von Abfragen mit AI.*-Funktionen einzurichten:

Abfrage mit Ihren Endnutzeranmeldedaten ausführen
BigQuery-Verbindung erstellen, um die Abfrage mit einem Dienstkonto auszuführen

In den meisten Fällen können Sie Endnutzeranmeldedaten verwenden und das Argument CONNECTION leer lassen. Wenn Ihr Abfragejob voraussichtlich 48 Stunden oder länger dauert, sollten Sie eine BigQuery-Verbindung verwenden und sie in das Argument CONNECTION einfügen.

Generative KI-Anfragen mit Anmeldedaten von Endnutzern ausführen

Wenn Sie generative KI-Abfragen mit Anmeldedaten von Endnutzern ausführen möchten, konfigurieren Sie die erforderlichen Berechtigungen in der Cloud de Confiance Console. Wenn Sie der Projektinhaber sind, haben Sie bereits alle erforderlichen Berechtigungen und müssen nichts weiter tun.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Ausführen eines Abfragejobs benötigen, der ein Vertex AI-Modell aufruft:

Abfragejobs ausführen: BigQuery-Jobnutzer (roles/bigquery.jobUser)
Auf ein Foundation Model in Vertex AI zugreifen: Vertex AI-Nutzer (roles/aiplatform.user)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Weisen Sie dem Nutzer oder der Gruppe die erforderlichen Rollen zu.

Sie können die erforderlichen Rollen für ein Hauptkonto über die Cloud de Confiance -Console oder SQL zuweisen. Der Prinzipal ist der Nutzer oder die Gruppe, die die Abfrage ausführt, in der AI.*-Funktionen verwendet werden, um ein Vertex AI-Foundation Model aufzurufen.

Console

Rufen Sie in der Cloud de Confiance Console die Seite IAM auf.

IAM aufrufen
Wählen Sie Ihr Projekt aus.
So weisen Sie einem Prinzipal Rollen zu:
1. Rufen Sie die Seite IAM und Verwaltung auf.
  
  IAM & Verwaltung aufrufen
2. Klicken Sie auf Zugriff erlauben.
  
  Das Dialogfeld Principals hinzufügen wird geöffnet.
3. Geben Sie im Feld Neue Hauptkonten die Prinzipal-ID ein, z. B. //iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com oder //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
4. Klicken Sie im Bereich Rollen zuweisen für Rolle auswählen auf den Drop-down-Pfeil.
5. Suchen Sie nach der Rolle Vertex AI User und wählen Sie sie aus.
6. Klicken Sie auf Weitere Rolle hinzufügen.
7. Klicken Sie im Bereich Rollen zuweisen für Rolle auswählen auf den Drop-down-Pfeil.
8. Suchen Sie nach der Rolle BigQuery-Jobnutzer oder wählen Sie sie aus.
9. Klicken Sie auf Speichern.

SQL

Verwenden Sie die Anweisung GRANT:

Rufen Sie in der Cloud de Confiance Console die Seite BigQuery auf.

BigQuery aufrufen
Geben Sie im Abfrageeditor die folgende Anweisung ein:
```
GRANT `roles/aiplatform.user`, `roles/bigquery.jobUser`
ON PROJECT `PROJECT_ID`
TO "USER_OR_GROUP";
```
Ersetzen Sie Folgendes:
- PROJECT_ID: Das Projekt, in dem Sie AI.*-Funktionen verwenden möchten.
- USER_OR_GROUP: Der Nutzer oder die Gruppe, der bzw. der Sie Zugriff gewähren möchten, im Format user:USER@DOMAIN oder group:GROUP@DOMAIN.
Klicken Sie auf Ausführen.

Informationen zum Ausführen von Abfragen finden Sie unter Interaktive Abfrage ausführen.

Wenn Sie Rollen für ein Hauptkonto ändern möchten, das bereits Rollen für das Projekt hat, lesen Sie den Abschnitt Hauptkonto zusätzliche Rollen zuweisen.

Informationen zu anderen Methoden zum Zuweisen von Rollen auf Projektebene zu einem Prinzipal finden Sie unter Mehrere IAM-Rollen programmatisch zuweisen oder entziehen.

Generative KI-Abfragen mit einer BigQuery-Verbindung ausführen

Wenn Sie generative KI-Abfragen über eine Verbindung ausführen möchten, erstellen Sie die Verbindung und gewähren Sie dann Zugriff auf das Dienstkonto, das durch die Verbindung erstellt wurde.

Verbindung herstellen

Sie können eine Cloud-Ressourcenverbindung einrichten, um alle generativen KI-Anfragen auszuführen, die AI.*-Funktionen enthalten. Wenn Sie eine Verbindung erstellen, gewähren Sie einem Dienstkonto Berechtigungen zum Ausführen von Abfragen.

Wählen Sie eine der folgenden Optionen aus:

Console

Rufen Sie die Seite BigQuery auf.

BigQuery aufrufen
Klicken Sie im linken Bereich auf Explorer:

Wenn das linke Steuerfeld nicht angezeigt wird, klicken Sie auf Linkes Steuerfeld maximieren, um es zu öffnen.
Maximieren Sie im Bereich Explorer den Namen Ihres Projekts und klicken Sie dann auf Verbindungen.
Klicken Sie auf der Seite Verbindungen auf Verbindung erstellen.
Wählen Sie als Verbindungstyp die Option Vertex AI-Remote-Modelle, Remote-Funktionen, BigLake und Cloud Spanner (Cloud-Ressource) aus.
Geben Sie im Feld Verbindungs-ID einen Namen für die Verbindung ein.
Wählen Sie unter Standorttyp einen Standort für die Verbindung aus. Die Verbindung sollte sich am selben Ort wie Ihre anderen Ressourcen, z. B. Datasets, befinden.
Klicken Sie auf Verbindung erstellen.
Klicken Sie auf Zur Verbindung.
Kopieren Sie im Bereich Verbindungsinformationen die Dienstkonto-ID zur Verwendung in einem späteren Schritt.

SQL

Verwenden Sie die Anweisung CREATE CONNECTION:

Rufen Sie in der Cloud de Confiance Console die Seite BigQuery auf.

BigQuery aufrufen
Geben Sie im Abfrageeditor die folgende Anweisung ein:
```
CREATE CONNECTION [IF NOT EXISTS] `CONNECTION_NAME`
OPTIONS (
  connection_type = "CLOUD_RESOURCE",
  friendly_name = "FRIENDLY_NAME",
  description = "DESCRIPTION"
  );
```
Ersetzen Sie Folgendes:
- CONNECTION_NAME: Der Name der Verbindung im Format PROJECT_ID.LOCATION.CONNECTION_ID, LOCATION.CONNECTION_ID oder CONNECTION_ID. Wenn das Projekt oder der Standort weggelassen werden, werden sie aus dem Projekt und dem Standort abgeleitet, in dem die Anweisung ausgeführt wird.
- FRIENDLY_NAME (optional): Ein beschreibender Name für die Verbindung.
- DESCRIPTION (optional): eine Beschreibung der Verbindung.
Klicken Sie auf Ausführen.

Informationen zum Ausführen von Abfragen finden Sie unter Interaktive Abfrage ausführen.

bq

Erstellen Sie in einer Befehlszeilenumgebung eine Verbindung:
```
bq mk --connection --location=REGION --project_id=PROJECT_ID \
    --connection_type=CLOUD_RESOURCE CONNECTION_ID
```
Der Parameter --project_id überschreibt das Standardprojekt.

Ersetzen Sie dabei Folgendes:
- REGION: Ihre Verbindungsregion
- PROJECT_ID: Ihre Cloud de Confiance Projekt-ID
- CONNECTION_ID: eine ID für Ihre Verbindung
Wenn Sie eine Verbindungsressource herstellen, erstellt BigQuery ein eindeutiges Systemdienstkonto und ordnet es der Verbindung zu.

Fehlerbehebung:Wird der folgende Verbindungsfehler angezeigt, aktualisieren Sie das Google Cloud SDK:
```
Flags parsing error: flag --connection_type=CLOUD_RESOURCE: value should be one of...
```

Rufen Sie die Dienstkonto-ID ab und kopieren Sie sie zur Verwendung in einem späteren Schritt:

bq show --connection PROJECT_ID.REGION.CONNECTION_ID

Die Ausgabe sieht etwa so aus:

name                          properties
1234.REGION.CONNECTION_ID     {"serviceAccountId": "connection-1234-9u56h9@gcp-sa-bigquery-condel.s3ns-system.iam.gserviceaccount.com"}

Python

Bevor Sie dieses Beispiel anwenden, folgen Sie den Schritten zur Einrichtung von Python in der BigQuery-Kurzanleitung zur Verwendung von Clientbibliotheken. Weitere Angaben finden Sie in der Referenzdokumentation zur BigQuery Python API.

Richten Sie zur Authentifizierung bei BigQuery die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.

Legen Sie vor dem Ausführen von Codebeispielen die Umgebungsvariable GOOGLE_CLOUD_UNIVERSE_DOMAIN auf s3nsapis.fr fest.

import google.api_core.exceptions
from google.cloud import bigquery_connection_v1

client = bigquery_connection_v1.ConnectionServiceClient()


def create_connection(
    project_id: str,
    location: str,
    connection_id: str,
):
    """Creates a BigQuery connection to a Cloud Resource.

    Cloud Resource connection creates a service account which can then be
    granted access to other Google Cloud resources for federated queries.

    Args:
        project_id: The Google Cloud project ID.
        location: The location of the connection (for example, "us-central1").
        connection_id: The ID of the connection to create.
    """

    parent = client.common_location_path(project_id, location)

    connection = bigquery_connection_v1.Connection(
        friendly_name="Example Connection",
        description="A sample connection for a Cloud Resource.",
        cloud_resource=bigquery_connection_v1.CloudResourceProperties(),
    )

    try:
        created_connection = client.create_connection(
            parent=parent, connection_id=connection_id, connection=connection
        )
        print(f"Successfully created connection: {created_connection.name}")
        print(f"Friendly name: {created_connection.friendly_name}")
        print(
            f"Service Account: {created_connection.cloud_resource.service_account_id}"
        )

    except google.api_core.exceptions.AlreadyExists:
        print(f"Connection with ID '{connection_id}' already exists.")
        print("Please use a different connection ID.")
    except Exception as e:
        print(f"An unexpected error occurred while creating the connection: {e}")

Node.js

Bevor Sie dieses Beispiel anwenden, folgen Sie den Schritten zur Einrichtung von Node.js in der BigQuery-Kurzanleitung zur Verwendung von Clientbibliotheken. Weitere Angaben finden Sie in der Referenzdokumentation zur BigQuery Node.js API.

Richten Sie zur Authentifizierung bei BigQuery die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.

Legen Sie vor dem Ausführen von Codebeispielen die Umgebungsvariable GOOGLE_CLOUD_UNIVERSE_DOMAIN auf s3nsapis.fr fest.

const {ConnectionServiceClient} =
  require('@google-cloud/bigquery-connection').v1;
const {status} = require('@grpc/grpc-js');

const client = new ConnectionServiceClient();

/**
 * Creates a new BigQuery connection to a Cloud Resource.
 *
 * A Cloud Resource connection creates a service account that can be granted access
 * to other Google Cloud resources.
 *
 * @param {string} projectId The Google Cloud project ID. for example, 'example-project-id'
 * @param {string} location The location of the project to create the connection in. for example, 'us-central1'
 * @param {string} connectionId The ID of the connection to create. for example, 'example-connection-id'
 */
async function createConnection(projectId, location, connectionId) {
  const parent = client.locationPath(projectId, location);

  const connection = {
    friendlyName: 'Example Connection',
    description: 'A sample connection for a Cloud Resource',
    // The service account for this cloudResource will be created by the API.
    // Its ID will be available in the response.
    cloudResource: {},
  };

  const request = {
    parent,
    connectionId,
    connection,
  };

  try {
    const [response] = await client.createConnection(request);

    console.log(`Successfully created connection: ${response.name}`);
    console.log(`Friendly name: ${response.friendlyName}`);

    console.log(`Service Account: ${response.cloudResource.serviceAccountId}`);
  } catch (err) {
    if (err.code === status.ALREADY_EXISTS) {
      console.log(`Connection '${connectionId}' already exists.`);
    } else {
      console.error(`Error creating connection: ${err.message}`);
    }
  }
}

Terraform

Verwenden Sie die Ressource google_bigquery_connection:

Richten Sie zur Authentifizierung bei BigQuery die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.

Im folgenden Beispiel wird eine Cloud-Ressourcenverbindung mit dem Namen my_cloud_resource_connection in der Region US erstellt:


# This queries the provider for project information.
data "google_project" "default" {}

# This creates a cloud resource connection in the US region named my_cloud_resource_connection.
# Note: The cloud resource nested object has only one output field - serviceAccountId.
resource "google_bigquery_connection" "default" {
  connection_id = "my_cloud_resource_connection"
  project       = data.google_project.default.project_id
  location      = "US"
  cloud_resource {}
}

Führen Sie die Schritte in den folgenden Abschnitten aus, um Ihre Terraform-Konfiguration auf ein Cloud de Confiance -Projekt anzuwenden.

Cloud Shell vorbereiten

Rufen Sie Cloud Shell auf.
Legen Sie das Standardprojekt Cloud de Confiance fest, auf das Sie Ihre Terraform-Konfigurationen anwenden möchten.

Sie müssen diesen Befehl nur einmal pro Projekt und in jedem beliebigen Verzeichnis ausführen.
```
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
```
Umgebungsvariablen werden überschrieben, wenn Sie in der Terraform-Konfigurationsdatei explizite Werte festlegen.

Verzeichnis vorbereiten

Jede Terraform-Konfigurationsdatei muss ein eigenes Verzeichnis haben (auch als Stammmodul bezeichnet).

Erstellen Sie in Cloud Shell ein Verzeichnis und eine neue Datei in diesem Verzeichnis. Der Dateiname muss die Erweiterung .tf haben, z. B. main.tf. In dieser Anleitung wird die Datei als main.tf bezeichnet.
```
mkdir DIRECTORY && cd DIRECTORY && touch main.tf
```
Wenn Sie einer Anleitung folgen, können Sie den Beispielcode in jedem Abschnitt oder Schritt kopieren.

Kopieren Sie den Beispielcode in das neu erstellte main.tf.

Kopieren Sie optional den Code aus GitHub. Dies wird empfohlen, wenn das Terraform-Snippet Teil einer End-to-End-Lösung ist.
Prüfen und ändern Sie die Beispielparameter, die auf Ihre Umgebung angewendet werden sollen.
Speichern Sie die Änderungen.
Initialisieren Sie Terraform. Dies ist nur einmal für jedes Verzeichnis erforderlich.
```
terraform init
```
Fügen Sie optional die Option -upgrade ein, um die neueste Google-Anbieterversion zu verwenden:
```
terraform init -upgrade
```

Änderungen anwenden

Prüfen Sie die Konfiguration und prüfen Sie, ob die Ressourcen, die Terraform erstellen oder aktualisieren wird, Ihren Erwartungen entsprechen:
```
terraform plan
```
Korrigieren Sie die Konfiguration nach Bedarf.
Wenden Sie die Terraform-Konfiguration an. Führen Sie dazu den folgenden Befehl aus und geben Sie yes an der Eingabeaufforderung ein:
```
terraform apply
```
Warten Sie, bis Terraform die Meldung „Apply complete“ anzeigt.
Öffnen Sie Ihr Cloud de Confiance -Projekt, um die Ergebnisse aufzurufen. Rufen Sie in der Cloud de Confiance Console Ihre Ressourcen in der Benutzeroberfläche auf, um sicherzustellen, dass Terraform sie erstellt oder aktualisiert hat.

Weitere Informationen finden Sie unter Cloud-Ressourcenverbindung erstellen und einrichten.

Zugriff auf das Dienstkonto gewähren

Wenn Sie Abfragen ausführen möchten, in denen generative AI.*-Funktionen verwendet werden, mit denen Vertex AI-Modelle aufgerufen werden, müssen Sie dem Dienstkonto, das beim Erstellen der Verbindung erstellt wurde, die entsprechenden Berechtigungen erteilen. Zum Ausführen von Funktionen, die ein Vertex AI Foundation Model aufrufen, ist die Rolle „Vertex AI-Nutzer“ (roles/aiplatform.user) erforderlich.

Wählen Sie eine der folgenden Optionen aus:

Console

Zur Seite IAM & Verwaltung.

IAM & Verwaltung aufrufen
Klicken Sie auf Zugriff erlauben.

Das Dialogfeld Principals hinzufügen wird geöffnet.
Geben Sie im Feld Neue Hauptkonten die Dienstkonto-ID ein, die Sie zuvor kopiert haben.
Klicken Sie im Bereich Rollen zuweisen auf Rollen hinzufügen.
Suchen Sie nach der Rolle Vertex AI User, wählen Sie sie aus und klicken Sie dann auf Anwenden.
Klicken Sie auf Speichern.

SQL

Verwenden Sie die Anweisung GRANT:

Rufen Sie in der Cloud de Confiance Console die Seite BigQuery auf.

BigQuery aufrufen
Geben Sie im Abfrageeditor die folgende Anweisung ein:
```
GRANT `roles/aiplatform.user`
ON PROJECT `PROJECT_ID`
TO "connection:CONNECTION_NAME";
```
Ersetzen Sie Folgendes:
- PROJECT_ID: Das Projekt, in dem Sie Vertex AI verwenden möchten.
- CONNECTION_NAME: Der Name der Verbindung im Format PROJECT_ID.LOCATION.CONNECTION_ID oder LOCATION.CONNECTION_ID. Wenn das Projekt weggelassen wird, wird es aus dem Projekt abgeleitet, in dem die Anweisung ausgeführt wird.
Klicken Sie auf Ausführen.

Informationen zum Ausführen von Abfragen finden Sie unter Interaktive Abfrage ausführen.

gcloud

Führen Sie folgenden gcloud projects add-iam-policy-binding-Befehl aus:

gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:$(bq show --format=prettyjson --connection $PROJECT_ID.$REGION.$CONNECTION_ID | jq -r .cloudResource.serviceAccountId)"
--role=roles/aiplatform.user

Ersetzen Sie Folgendes:

PROJECT_ID: Name Ihres Projekts
REGION: der Standort, an dem die Verbindung erstellt wurde.
CONNECTION_ID: Der Name der von Ihnen erstellten Verbindung.

Terraform

Verwenden Sie die Ressource google_bigquery_connection:

Richten Sie zur Authentifizierung bei BigQuery die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.

Im folgenden Beispiel wird dem Dienstkonto der Cloud-Ressourcenverbindung Zugriff auf die IAM-Rolle gewährt:

## This grants IAM role access to the service account of the connection created in the previous step.
resource "google_project_iam_member" "aiplatformpermission" {
  project = data.google_project.default.project_id
  role    = "roles/aiplatform.user"
  member  = "serviceAccount:${google_bigquery_connection.default.cloud_resource[0].service_account_id}"
}

Führen Sie die Schritte in den folgenden Abschnitten aus, um Ihre Terraform-Konfiguration auf ein Cloud de Confiance -Projekt anzuwenden.

Cloud Shell vorbereiten

Rufen Sie Cloud Shell auf.
Legen Sie das Standardprojekt Cloud de Confiance fest, auf das Sie Ihre Terraform-Konfigurationen anwenden möchten.

Sie müssen diesen Befehl nur einmal pro Projekt und in jedem beliebigen Verzeichnis ausführen.
```
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
```
Umgebungsvariablen werden überschrieben, wenn Sie in der Terraform-Konfigurationsdatei explizite Werte festlegen.

Verzeichnis vorbereiten

Jede Terraform-Konfigurationsdatei muss ein eigenes Verzeichnis haben (auch als Stammmodul bezeichnet).

Erstellen Sie in Cloud Shell ein Verzeichnis und eine neue Datei in diesem Verzeichnis. Der Dateiname muss die Erweiterung .tf haben, z. B. main.tf. In dieser Anleitung wird die Datei als main.tf bezeichnet.
```
mkdir DIRECTORY && cd DIRECTORY && touch main.tf
```
Wenn Sie einer Anleitung folgen, können Sie den Beispielcode in jedem Abschnitt oder Schritt kopieren.

Kopieren Sie den Beispielcode in das neu erstellte main.tf.

Kopieren Sie optional den Code aus GitHub. Dies wird empfohlen, wenn das Terraform-Snippet Teil einer End-to-End-Lösung ist.
Prüfen und ändern Sie die Beispielparameter, die auf Ihre Umgebung angewendet werden sollen.
Speichern Sie die Änderungen.
Initialisieren Sie Terraform. Dies ist nur einmal für jedes Verzeichnis erforderlich.
```
terraform init
```
Fügen Sie optional die Option -upgrade ein, um die neueste Google-Anbieterversion zu verwenden:
```
terraform init -upgrade
```

Änderungen anwenden

Prüfen Sie die Konfiguration und prüfen Sie, ob die Ressourcen, die Terraform erstellen oder aktualisieren wird, Ihren Erwartungen entsprechen:
```
terraform plan
```
Korrigieren Sie die Konfiguration nach Bedarf.
Wenden Sie die Terraform-Konfiguration an. Führen Sie dazu den folgenden Befehl aus und geben Sie yes an der Eingabeaufforderung ein:
```
terraform apply
```
Warten Sie, bis Terraform die Meldung „Apply complete“ anzeigt.
Öffnen Sie Ihr Cloud de Confiance -Projekt, um die Ergebnisse aufzurufen. Rufen Sie in der Cloud de Confiance Console Ihre Ressourcen in der Benutzeroberfläche auf, um sicherzustellen, dass Terraform sie erstellt oder aktualisiert hat.