IAM を使用したアクセス制御
このページでは、Identity and Access Management(IAM)を使用して Colab Enterprise リソースへのアクセスを管理する方法について説明します。他の Vertex AI リソースのアクセスを管理するには、IAM を使用した Vertex AI のアクセス制御をご覧ください。
IAM を使用してノートブックへのアクセスを制御する
Colab Enterprise ノートブック(IPYNB ファイル)へのアクセスは、プロジェクト レベルまたはノートブックごとに管理できます。
- プロジェクト レベルでノートブックへのアクセス権を付与するには、プリンシパル(ユーザー、グループ、またはサービス アカウント)に 1 つ以上のロールを割り当てます。
- 特定のノートブックへのアクセス権を付与するには、ノートブックのプリンシパルに 1 つ以上のロールを割り当てます。詳細については、ノートブックへのアクセスを管理するをご覧ください。
他の Google Cloud サービスとやり取りするコードを実行する
ノートブックへのアクセス権の付与は、ノートブックの操作に関連する特定の権限に制限されます。たとえば、ノートブックの作成、ノートブックへのコードの記述、ノートブックの削除を許可できます。
他の Google Cloud サービスとやり取りするコードを実行するには、次のいずれかの方法を使用する必要があります。
エンドユーザー認証情報が有効になっているランタイムでコードを実行します。つまり、ノートブックには、ノートブック ユーザーと同じサービスへのアクセス権があります。 Google Cloud
ノートブックを認証して、Google Cloud サービスとやり取りできるようにするコードを実行します。
詳細については、Google Cloudとやり取りするコードを実行するをご覧ください。
IAM ロールのタイプ
Colab Enterprise で使用できる IAM ロールには次のような種類があります。
事前定義ロールを使用すると、Colab Enterprise のリソースに関連する一連の権限をプロジェクト レベルで付与できます。
基本ロール(オーナー、編集者、閲覧者)は、Colab Enterprise のリソースに対するアクセス権をプロジェクト レベルで付与します。すべての Google Cloudサービスに共通のロールです。
カスタムロールを使用すると、特定の権限セットを選択し、それらの権限を持つ独自のロールを作成して、組織内のユーザーに付与できます。
Colab Enterprise プロジェクトでこれらのロールを追加、更新、削除する方法については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
Colab Enterprise の事前定義ロール
Colab Enterprise は Vertex AI の一部であり、Colab Enterprise リソースは Vertex AI API を介して管理されます。したがって、Vertex AI ロールを使用して、プリンシパルに Colab Enterprise リソースへのアクセス権を付与できます。
次の表に、Vertex AI の事前定義ロールを示します。
一般的な Colab Enterprise オペレーションに事前定義されたロールを使用するには、Colab Enterprise 管理者(
roles/aiplatform.colabEnterpriseAdmin)と Colab Enterprise ユーザー(roles/aiplatform.colabEnterpriseUser)をご覧ください。ランタイム管理に関連するロールについては、ノートブック ランタイム管理者(
roles/aiplatform.notebookRuntimeAdmin)とノートブック ランタイム ユーザー(roles/aiplatform.notebookRuntimeUser)をご覧ください。Vertex AI 管理者(
roles/aiplatform.admin)、Vertex AI ユーザー(roles/aiplatform.user)、Vertex AI 閲覧者(roles/aiplatform.viewer)には、Colab Enterprise の権限も含まれています。
| Role | Permissions |
|---|---|
Vertex AI Administrator( Grants full access to all resources in Vertex AI |
|
Colab Enterprise Admin( Admin role of using colab enterprise. |
|
Colab Enterprise User( User role of using colab enterprise. |
|
Vertex AI Feature Store EntityType owner( Provides full access to all permissions for a particular entity type resource. Lowest-level resources where you can grant this role:
|
|
Vertex AI Platform Express Admin Beta( Grants admin access to Vertex AI Express |
|
Vertex AI Platform Express User Beta( Grants user access to Vertex AI Express |
|
Vertex AI Feature Store Admin( Grants full access to all resources in Vertex AI Feature Store Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Viewer( This role provides permissions to read Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Writer( This role provides permissions to read and write Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Instance Creator( Administrator of Featurestore resources, but not the child resources under Featurestores. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Resource Viewer( Viewer of all resources in Vertex AI Feature Store but cannot make changes. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store User Beta( Deprecated. Use featurestoreAdmin instead. |
|
Vertex AI Migration Service User( Grants access to use migration service in Vertex AI |
|
Notebook Executor User Beta( Grants users full access to schedules and notebook execution jobs. |
|
Notebook Runtime Admin( Grants full access to all runtime templates and runtimes in Notebook Service. |
|
Notebook Runtime User( Grants users permissions to create runtime resources using a runtime template and manage the runtime resources they created. |
|
Vertex AI Platform Provisioned Throughput Admin Beta( Grants access to use all resources related to Vertex AI Provisioned Throughput |
|
Vertex AI Tensorboard Web App User Beta( Grants access to the Vertex AI TensorBoard web app. |
|
Vertex AI User( Grants access to use all resource in Vertex AI |
|
Vertex AI Viewer( Grants access to view all resource in Vertex AI |
|
基本ロール
従来の Google Cloud 基本ロールは、すべての Google Cloud サービスで共通です。オーナー、編集者、閲覧者のロールがあります。
基本ロールは、Colab Enterprise だけでなく Google Cloud全体に対する権限を付与します。このため、可能であれば Colab Enterprise のロールを使用してください。
カスタムロール
Colab Enterprise の IAM 事前定義ロールがニーズに合わない場合は、カスタムロールを定義できます。カスタムロールを使用すると、特定の権限セットを選択し、それらの権限を持つ独自のロールを作成して、組織内のユーザーに付与できます。詳細については、IAM カスタムロールについてをご覧ください。
Colab Enterprise のサービス エージェント
Colab Enterprise は、サービス エージェントを自動的に作成して使用し、ユーザーに代わってリソースにアクセスします。サービス エージェントが作成されると、サービス エージェントにプロジェクトの事前定義ロールが付与されます。
次の表に、Colab Enterprise サービス エージェント、そのメールアドレス、それぞれのロールを示します。
| 名前 | 用途 | メールアドレス | ロール |
|---|---|---|---|
| Vertex AI サービス エージェント | Vertex AI の機能 | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
| Vertex AI Colab サービス エージェント | Colab Enterprise が機能するための適切な権限を付与します。 | service-PROJECT_NUMBER@gcp-sa-vertex-nb.iam.gserviceaccount.com |
roles/aiplatform.colabServiceAgent |
| Vertex AI ノートブック サービス エージェント | 権限が制限されているユーザー プロジェクトでノートブック マネージド リソースを実行する | service-PROJECT_NUMBER@gcp-sa-aiplatform-vm.iam.gserviceaccount.com |
roles/aiplatform.notebookServiceAgent |
Colab Enterprise サービス エージェントのデフォルトのロールを削除すると、Colab Enterprise はこれらのロールを自動的に再割り当てし、サービスの機能が中断されないようにします。Colab Enterprise サービスをオフにするには、ロールを削除するのではなく、関連する API をオフにする必要があります。
次のステップ
カスタム IAM ロールの作成および管理方法を学習する。
サービス エージェントの詳細