Controllo dell'accesso con IAM
Questa pagina descrive come utilizzare Identity and Access Management (IAM) per gestire l'accesso alle risorse di Colab Enterprise. Per gestire l'accesso per altre risorse Vertex AI, consulta Controllo dell'controllo dell'accesso con IAM per Vertex AI.
Controllare l'accesso ai notebook con IAM
Puoi gestire l'accesso ai notebook di Colab Enterprise (file IPYNB) a livello di progetto o per notebook.
- Per concedere l'accesso ai notebook a livello di progetto, assegna uno o più ruoli a un'entità (utente, gruppo o account di servizio).
- Per concedere l'accesso a un notebook specifico, assegna uno o più ruoli a un principale nel notebook. Per saperne di più, consulta Gestire l'accesso a un notebook.
Eseguire codice che interagisce con altri servizi Google Cloud
La concessione dell'accesso a un notebook è limitata alle autorizzazioni specifiche relative all'interazione con il notebook. Ad esempio, puoi concedere la possibilità di creare un notebook, scrivere codice al suo interno o eliminarlo.
Per eseguire codice che interagisce con altri servizi Google Cloud , devi utilizzare uno dei seguenti metodi:
Esegui il codice in un runtime con le credenziali dell'utente finale abilitate. Ciò significa che il tuo notebook ha lo stesso accesso ai servizi Google Cloud come l'utente del notebook.
Esegui il codice che autentica e autorizza il tuo notebook a interagire con i servizi diGoogle Cloud .
Per scoprire di più, consulta Eseguire codice che interagisce conGoogle Cloud.
Tipi di ruoli IAM
Esistono diversi tipi di ruoli IAM che possono essere utilizzati in Colab Enterprise:
I ruoli predefiniti ti consentono di concedere un insieme di autorizzazioni correlate alle risorse di Colab Enterprise a livello di progetto.
I ruoli di base (Proprietario, Editor e Visualizzatore) forniscono il controllo dell'accesso alle risorse di Colab Enterprise a livello di progetto e sono comuni a tutti i servizi Google Cloud.
I ruoli personalizzati ti consentono di scegliere un insieme specifico di autorizzazioni, creare il tuo ruolo con queste autorizzazioni e concederlo agli utenti della tua organizzazione.
Per aggiungere, aggiornare o rimuovere questi ruoli nel tuo progetto Colab Enterprise, consulta la documentazione sulla gestione dell'accesso a progetti, cartelle e organizzazioni.
Ruoli predefiniti per Colab Enterprise
Colab Enterprise fa parte di Vertex AI e le risorse di Colab Enterprise vengono gestite tramite l'API Vertex AI. Di conseguenza, puoi concedere alle entità l'accesso alle risorse di Colab Enterprise tramite i ruoli Vertex AI.
La tabella seguente include tutti i ruoli predefiniti di Vertex AI.
Per utilizzare i ruoli predefiniti per le operazioni comuni di Colab Enterprise, consulta Amministratore di Colab Enterprise (
roles/aiplatform.colabEnterpriseAdmin) e Utente di Colab Enterprise (roles/aiplatform.colabEnterpriseUser).Per i ruoli relativi alla gestione del runtime, consulta Notebook Runtime Admin (
roles/aiplatform.notebookRuntimeAdmin) e Notebook Runtime User (roles/aiplatform.notebookRuntimeUser).I ruoli Amministratore Vertex AI (
roles/aiplatform.admin), Utente Vertex AI (roles/aiplatform.user) e Visualizzatore Vertex AI (roles/aiplatform.viewer) includono anche le autorizzazioni di Colab Enterprise.
| Role | Permissions |
|---|---|
Vertex AI Administrator( Grants full access to all resources in Vertex AI |
|
Colab Enterprise Admin( Admin role of using colab enterprise. |
|
Colab Enterprise User( User role of using colab enterprise. |
|
Vertex AI Feature Store EntityType owner( Provides full access to all permissions for a particular entity type resource. Lowest-level resources where you can grant this role:
|
|
Vertex AI Platform Express Admin Beta( Grants admin access to Vertex AI Express |
|
Vertex AI Platform Express User Beta( Grants user access to Vertex AI Express |
|
Vertex AI Feature Store Admin( Grants full access to all resources in Vertex AI Feature Store Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Viewer( This role provides permissions to read Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Writer( This role provides permissions to read and write Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Instance Creator( Administrator of Featurestore resources, but not the child resources under Featurestores. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Resource Viewer( Viewer of all resources in Vertex AI Feature Store but cannot make changes. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store User Beta( Deprecated. Use featurestoreAdmin instead. |
|
Vertex AI Migration Service User( Grants access to use migration service in Vertex AI |
|
Notebook Executor User Beta( Grants users full access to schedules and notebook execution jobs. |
|
Notebook Runtime Admin( Grants full access to all runtime templates and runtimes in Notebook Service. |
|
Notebook Runtime User( Grants users permissions to create runtime resources using a runtime template and manage the runtime resources they created. |
|
Vertex AI Platform Provisioned Throughput Admin Beta( Grants access to use all resources related to Vertex AI Provisioned Throughput |
|
Vertex AI Tensorboard Web App User Beta( Grants access to the Vertex AI TensorBoard web app. |
|
Vertex AI User( Grants access to use all resource in Vertex AI |
|
Vertex AI Viewer( Grants access to view all resource in Vertex AI |
|
Ruoli di base
I ruoli di base Google Cloudprecedenti sono comuni a tutti i servizi Google Cloud . Questi ruoli sono Proprietario, Editor e Visualizzatore.
I ruoli di base forniscono autorizzazioni in Google Cloud, non solo per Collaborazione Enterprise. Per questo motivo, dovresti utilizzare i ruoli di Colab Enterprise, se possibile.
Ruoli personalizzati
Se i ruoli IAM predefiniti per Colab Enterprise non soddisfano le tue esigenze, puoi definire ruoli personalizzati. I ruoli personalizzati ti consentono di scegliere un insieme specifico di autorizzazioni, creare il tuo ruolo con queste autorizzazioni e concederlo agli utenti della tua organizzazione. Per ulteriori informazioni, consulta Informazioni sui ruoli IAM personalizzati.
Agenti di servizio per Colab Enterprise
Colab Enterprise crea e utilizza automaticamente agenti di servizio per accedere alle risorse per conto tuo. Quando viene creato un agente di servizio, a quest'ultimo viene assegnato un ruolo predefinito per il progetto.
La tabella seguente elenca gli agenti di servizio di Colab Enterprise, i relativi indirizzi email e i relativi ruoli:
| Nome | Utilizzato per | Indirizzo email | Ruolo |
|---|---|---|---|
| Vertex AI Service Agent | Funzionalità di Vertex AI | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
| Vertex AI Colab Service Agent | Concede a Colab Enterprise le autorizzazioni appropriate per funzionare | service-PROJECT_NUMBER@gcp-sa-vertex-nb.iam.gserviceaccount.com |
roles/aiplatform.colabServiceAgent |
| Agente di servizio notebook Vertex AI | Esegui risorse gestite da notebook nel progetto utente con autorizzazioni limitate | service-PROJECT_NUMBER@gcp-sa-aiplatform-vm.iam.gserviceaccount.com |
roles/aiplatform.notebookServiceAgent |
Se rimuovi i ruoli predefiniti degli agenti di servizio di Colab Enterprise, Colab Enterprise può riassegnare automaticamente questi ruoli per garantire la funzionalità ininterrotta del servizio. Per disattivare il servizio Colab Enterprise, devi disattivare le API pertinenti anziché rimuovere i ruoli.
Passaggi successivi
Concedere a un principale l'accesso a un blocco note di Colab Enterprise.
Scopri come creare e gestire ruoli IAM personalizzati.
Scopri di più sugli agenti di servizio