Contrôle des accès avec IAM
Cette page explique comment utiliser la gestion de l'authentification et des accès (IAM) pour gérer l'accès aux ressources Colab Enterprise. Pour gérer l'accès à d'autres ressources Vertex AI, consultez Contrôle des accès à Vertex AI avec IAM.
Contrôler l'accès aux notebooks avec IAM
Vous pouvez gérer l'accès aux notebooks Colab Enterprise (fichiers IPYNB) au niveau du projet ou par notebook.
- Pour accorder l'accès aux notebooks au niveau du projet, attribuez un ou plusieurs rôles à un compte principal (utilisateur, groupe ou compte de service).
- Pour accorder l'accès à un bloc-notes spécifique, attribuez un ou plusieurs rôles à un principal dans le bloc-notes. Pour en savoir plus, consultez la section Gérer l'accès à un notebook.
Exécuter du code qui interagit avec d'autres Google Cloud services
L'octroi d'un accès à un bloc-notes est limité aux autorisations spécifiques liées à l'interaction avec le bloc-notes. Par exemple, vous pouvez autoriser la création d'un notebook, l'écriture de code dans celui-ci ou la suppression du notebook.
Pour exécuter du code qui interagit avec d'autres services Google Cloud , vous devez utiliser l'une des méthodes suivantes:
Exécutez le code dans un environnement d'exécution avec les identifiants de l'utilisateur final activés. Cela signifie que votre notebook dispose du même accès aux services Google Cloud que l'utilisateur de votre notebook.
Exécutez du code qui authentifie et autorise votre notebook à interagir avec les servicesGoogle Cloud .
Pour en savoir plus, consultez Exécuter du code qui interagit avecGoogle Cloud.
Types de rôles IAM
Différents types de rôles IAM peuvent être utilisés dans Colab Enterprise:
Les rôles prédéfinis vous permettent d'accorder à vos ressources Colab Enterprise un ensemble d'autorisations associées au niveau du projet.
Les rôles de base (Propriétaire, Éditeur et Lecteur) permettent de contrôler l'accès à vos ressources Colab Enterprise au niveau du projet et sont communs à tous les services Google Cloud.
Les rôles personnalisés vous permettent de choisir un ensemble d'autorisations spécifique, de créer un rôle disposant de ces autorisations et d'attribuer ce dernier à des utilisateurs de votre organisation.
Pour ajouter, modifier ou supprimer ces rôles dans votre projet Colab Enterprise, consultez la documentation sur la gestion des accès aux projets, aux dossiers et aux organisations.
Rôles prédéfinis pour Colab Enterprise
Colab Enterprise fait partie de Vertex AI, et les ressources Colab Enterprise sont gérées via l'API Vertex AI. Vous pouvez donc accorder aux principaux un accès aux ressources Colab Enterprise via des rôles Vertex AI.
Le tableau suivant inclut tous les rôles prédéfinis de Vertex AI.
Pour utiliser des rôles prédéfinis pour les opérations Colab Enterprise courantes, consultez les rôles Administrateur Colab Enterprise (
roles/aiplatform.colabEnterpriseAdmin) et Utilisateur Colab Enterprise (roles/aiplatform.colabEnterpriseUser).Pour les rôles liés à la gestion de l'environnement d'exécution, consultez les rôles Administrateur de l'environnement d'exécution de notebook (
roles/aiplatform.notebookRuntimeAdmin) et Utilisateur de l'environnement d'exécution de notebook (roles/aiplatform.notebookRuntimeUser).Les rôles Administrateur Vertex AI (
roles/aiplatform.admin), Utilisateur Vertex AI (roles/aiplatform.user) et Lecteur Vertex AI (roles/aiplatform.viewer) incluent également des autorisations Colab Enterprise.
| Role | Permissions |
|---|---|
Vertex AI Administrator( Grants full access to all resources in Vertex AI |
|
Colab Enterprise Admin( Admin role of using colab enterprise. |
|
Colab Enterprise User( User role of using colab enterprise. |
|
Vertex AI Feature Store EntityType owner( Provides full access to all permissions for a particular entity type resource. Lowest-level resources where you can grant this role:
|
|
Vertex AI Platform Express Admin Beta( Grants admin access to Vertex AI Express |
|
Vertex AI Platform Express User Beta( Grants user access to Vertex AI Express |
|
Vertex AI Feature Store Admin( Grants full access to all resources in Vertex AI Feature Store Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Viewer( This role provides permissions to read Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Writer( This role provides permissions to read and write Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Instance Creator( Administrator of Featurestore resources, but not the child resources under Featurestores. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Resource Viewer( Viewer of all resources in Vertex AI Feature Store but cannot make changes. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store User Beta( Deprecated. Use featurestoreAdmin instead. |
|
Vertex AI Migration Service User( Grants access to use migration service in Vertex AI |
|
Notebook Executor User Beta( Grants users full access to schedules and notebook execution jobs. |
|
Notebook Runtime Admin( Grants full access to all runtime templates and runtimes in Notebook Service. |
|
Notebook Runtime User( Grants users permissions to create runtime resources using a runtime template and manage the runtime resources they created. |
|
Vertex AI Platform Provisioned Throughput Admin Beta( Grants access to use all resources related to Vertex AI Provisioned Throughput |
|
Vertex AI Tensorboard Web App User Beta( Grants access to the Vertex AI TensorBoard web app. |
|
Vertex AI User( Grants access to use all resource in Vertex AI |
|
Vertex AI Viewer( Grants access to view all resource in Vertex AI |
|
Rôles de base
Les anciens Google Cloud rôles de base sont communs à tous les Google Cloud services. Il s'agit des rôles Propriétaire, Éditeur et Lecteur.
Les rôles de base fournissent des autorisations pour l'ensemble de Google Cloud, et pas uniquement pour Colab Enterprise. Pour cette raison, nous vous recommandons d'utiliser les rôles Colab Enterprise chaque fois que cela est possible.
Rôles personnalisés
Si les rôles IAM prédéfinis pour Colab Enterprise ne répondent pas à vos besoins, vous pouvez définir des rôles personnalisés. Les rôles personnalisés vous permettent de choisir un ensemble d'autorisations spécifique, de créer un rôle disposant de ces autorisations et d'attribuer ce dernier à des utilisateurs de votre organisation. Pour en savoir plus, consultez la page Comprendre les rôles personnalisés IAM.
Agents de service pour Colab Enterprise
Colab Enterprise crée et utilise automatiquement des agents de service pour accéder aux ressources en votre nom. Lorsqu'un agent de service est créé, il se voit attribuer un rôle prédéfini pour votre projet.
Le tableau suivant répertorie les agents de service de Colab Enterprise, leurs adresses e-mail et leurs rôles respectifs:
| Nom | Utilisation | Adresse e-mail | Rôle |
|---|---|---|---|
| Agent de service Vertex AI | Fonctionnalités de Vertex AI | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
| Agent de service Vertex AI Colab | Accorde à Colab Enterprise les autorisations nécessaires pour fonctionner | service-PROJECT_NUMBER@gcp-sa-vertex-nb.iam.gserviceaccount.com |
roles/aiplatform.colabServiceAgent |
| Agent de service de notebook Vertex AI | Exécuter des ressources gérées par un notebook dans le projet utilisateur avec des autorisations limitées | service-PROJECT_NUMBER@gcp-sa-aiplatform-vm.iam.gserviceaccount.com |
roles/aiplatform.notebookServiceAgent |
Si vous supprimez les rôles par défaut des agents de service Colab Enterprise, Colab Enterprise peut les réattribuer automatiquement pour assurer le bon fonctionnement du service. Pour désactiver le service Colab Enterprise, vous devez désactiver les API pertinentes au lieu de supprimer des rôles.
Étape suivante
Accordez à un compte principal l'accès à un notebook Colab Enterprise.
Découvrez comment créer et gérer des rôles IAM personnalisés.
En savoir plus sur les agents de service