Zugriffssteuerung mit IAM
Auf dieser Seite wird beschrieben, wie Sie mit Identity and Access Management (IAM) den Zugriff auf Colab Enterprise-Ressourcen verwalten. Informationen zum Verwalten des Zugriffs auf andere Vertex AI-Ressourcen finden Sie unter Vertex AI-Zugriffssteuerung mit IAM.
Zugriff auf Notebooks mit IAM steuern
Sie können den Zugriff auf Colab Enterprise-Notebooks (IPYNB-Dateien) auf Projektebene oder pro Notebook verwalten.
- Wenn Sie Zugriff auf Notebooks auf Projektebene gewähren möchten, weisen Sie einem Hauptkonto (Nutzer, Gruppe oder Dienstkonto) eine oder mehrere Rollen zu.
- Wenn Sie Zugriff auf ein bestimmtes Notizbuch gewähren möchten, weisen Sie einer Hauptperson im Notizbuch eine oder mehrere Rollen zu. Weitere Informationen finden Sie unter Zugriff auf ein Notebook verwalten.
Code ausführen, der mit anderen Google Cloud -Diensten interagiert
Der Zugriff auf ein Notizbuch ist auf die Berechtigungen beschränkt, die sich auf die Interaktion mit dem Notizbuch beziehen. Sie können beispielsweise die Berechtigung erteilen, ein Notebook zu erstellen, darin Code zu schreiben oder das Notebook zu löschen.
Wenn Sie Code ausführen möchten, der mit anderen Google Cloud -Diensten interagiert, müssen Sie eine der folgenden Methoden verwenden:
Code in einer Laufzeit mit aktivierten Anmeldedaten von Endnutzern ausführen Das bedeutet, dass Ihr Notebook denselben Zugriff auf die Google Cloud -Dienste hat wie der Nutzer Ihres Notebooks.
Code ausführen, der Ihr Notebook authentifiziert und autorisiert, mitGoogle Cloud -Diensten zu interagieren.
Weitere Informationen finden Sie unter Code ausführen, der mitGoogle Cloudinteragiert.
IAM-Rollentypen
In Colab Enterprise können verschiedene Arten von IAM-Rollen verwendet werden:
Mit vordefinierten Rollen können Sie auf Projektebene eine Reihe von zugehörigen Berechtigungen für Ihre Colab Enterprise-Ressourcen gewähren.
Einfache Rollen (Inhaber, Bearbeiter und Betrachter) ermöglichen die Zugriffssteuerung auf Ihre Colab Enterprise-Ressourcen auf Projektebene und sind für alle Google Cloud-Dienste üblich.
Benutzerdefinierte Rollen ermöglichen es Ihnen, einen bestimmten Satz von Berechtigungen auszuwählen, eine eigene Rolle mit diesen Berechtigungen zu erstellen und Nutzern in Ihrer Organisation diese Rolle zuzuweisen.
Informationen zum Hinzufügen, Aktualisieren oder Entfernen dieser Rollen in Ihrem Colab Enterprise-Projekt finden Sie in der Dokumentation zum Verwalten des Zugriffs auf Projekte, Ordner und Organisationen.
Vordefinierte Rollen für Colab Enterprise
Colab Enterprise ist Teil von Vertex AI und Colab Enterprise-Ressourcen werden über die Vertex AI API verwaltet. Daher können Sie Hauptkonten über Vertex AI-Rollen Zugriff auf Colab Enterprise-Ressourcen gewähren.
Die folgende Tabelle enthält alle vordefinierten Rollen für Vertex AI.
Informationen zur Verwendung vordefinierter Rollen für gängige Colab Enterprise-Vorgänge finden Sie unter Colab Enterprise Admin (
roles/aiplatform.colabEnterpriseAdmin) und Colab Enterprise User (roles/aiplatform.colabEnterpriseUser).Rollen im Zusammenhang mit der Laufzeitverwaltung finden Sie unter Notebook Runtime Admin (
roles/aiplatform.notebookRuntimeAdmin) und Notebook Runtime User (roles/aiplatform.notebookRuntimeUser).Die Rollen Vertex AI-Administrator (
roles/aiplatform.admin), Vertex AI-Nutzer (roles/aiplatform.user) und Vertex AI-Betrachter (roles/aiplatform.viewer) umfassen auch Berechtigungen für Colab Enterprise.
| Role | Permissions |
|---|---|
Vertex AI Administrator( Grants full access to all resources in Vertex AI |
|
Colab Enterprise Admin( Admin role of using colab enterprise. |
|
Colab Enterprise User( User role of using colab enterprise. |
|
Vertex AI Feature Store EntityType owner( Provides full access to all permissions for a particular entity type resource. Lowest-level resources where you can grant this role:
|
|
Vertex AI Platform Express Admin Beta( Grants admin access to Vertex AI Express |
|
Vertex AI Platform Express User Beta( Grants user access to Vertex AI Express |
|
Vertex AI Feature Store Admin( Grants full access to all resources in Vertex AI Feature Store Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Viewer( This role provides permissions to read Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Writer( This role provides permissions to read and write Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Instance Creator( Administrator of Featurestore resources, but not the child resources under Featurestores. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Resource Viewer( Viewer of all resources in Vertex AI Feature Store but cannot make changes. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store User Beta( Deprecated. Use featurestoreAdmin instead. |
|
Vertex AI Migration Service User( Grants access to use migration service in Vertex AI |
|
Notebook Executor User Beta( Grants users full access to schedules and notebook execution jobs. |
|
Notebook Runtime Admin( Grants full access to all runtime templates and runtimes in Notebook Service. |
|
Notebook Runtime User( Grants users permissions to create runtime resources using a runtime template and manage the runtime resources they created. |
|
Vertex AI Platform Provisioned Throughput Admin Beta( Grants access to use all resources related to Vertex AI Provisioned Throughput |
|
Vertex AI Tensorboard Web App User Beta( Grants access to the Vertex AI TensorBoard web app. |
|
Vertex AI User( Grants access to use all resource in Vertex AI |
|
Vertex AI Viewer( Grants access to view all resource in Vertex AI |
|
Einfache Rollen
Die älteren grundlegenden Rollen von Google Cloudsind für alle Google Cloud -Dienste üblich. Diese Rollen heißen "Inhaber", "Bearbeiter" und "Betrachter".
Die einfachen Rollen gewähren Berechtigungen in Google Cloud, nicht nur für Colaboratory Enterprise. Aus diesem Grund sollten Sie wann immer möglich Colab Enterprise-Rollen verwenden.
Benutzerdefinierte Rollen
Wenn die vordefinierten IAM-Rollen für Colab Enterprise nicht Ihren Anforderungen entsprechen, können Sie benutzerdefinierte Rollen definieren. Benutzerdefinierte Rollen ermöglichen es Ihnen, einen bestimmten Satz von Berechtigungen zu wählen, eine eigene Rolle mit diesen Berechtigungen zu erstellen und diese Rolle Nutzern in Ihrer Organisation zu gewähren. Weitere Informationen finden Sie unter Informationen zu benutzerdefinierten IAM-Rollen.
Kundenservicemitarbeiter für Colab Enterprise
Colab Enterprise erstellt und verwendet automatisch Dienst-Agents, um in Ihrem Namen auf Ressourcen zuzugreifen. Wenn ein Dienst-Agent erstellt wird, erhält er eine vordefinierte Rolle für Ihr Projekt.
In der folgenden Tabelle sind Colab Enterprise-Kundenservicemitarbeiter, ihre E-Mail-Adressen sowie ihre jeweiligen Rollen aufgeführt:
| Name | Verwendet für | E-Mail-Adresse | Rolle |
|---|---|---|---|
| Vertex AI-Dienst-Agent | Vertex AI-Funktionen | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
| Vertex AI Colab Service Agent | Gewährt Colab Enterprise die für den Betrieb erforderlichen Berechtigungen | service-PROJECT_NUMBER@gcp-sa-vertex-nb.iam.gserviceaccount.com |
roles/aiplatform.colabServiceAgent |
| Vertex AI Notebook Service Agent | Notebook-verwaltete Ressourcen im Nutzerprojekt mit eingeschränkten Berechtigungen ausführen | service-PROJECT_NUMBER@gcp-sa-aiplatform-vm.iam.gserviceaccount.com |
roles/aiplatform.notebookServiceAgent |
Wenn Sie die Standardrollen der Colab Enterprise-Dienst-Agents entfernen, kann Colab Enterprise diese Rollen automatisch neu zuweisen, um eine unterbrechungsfreie Dienstfunktion zu gewährleisten. Wenn Sie den Colab Enterprise-Dienst deaktivieren möchten, müssen Sie die entsprechenden APIs deaktivieren, anstatt Rollen zu entfernen.