IAM を使用したアクセス制御
このページでは、Identity and Access Management(IAM)を使用して Colab Enterprise リソースへのアクセスを管理する方法について説明します。他の Vertex AI リソースのアクセスを管理するには、IAM を使用した Vertex AI のアクセス制御をご覧ください。
IAM を使用してノートブックへのアクセスを制御する
Colab Enterprise ノートブック(IPYNB ファイル)へのアクセスは、プロジェクト レベルまたはノートブックごとに管理できます。
- プロジェクト レベルでノートブックへのアクセス権を付与するには、プリンシパル(ユーザー、グループ、またはサービス アカウント)に 1 つ以上のロールを割り当てます。
- 特定のノートブックへのアクセス権を付与するには、ノートブックのプリンシパルに 1 つ以上のロールを割り当てます。詳細については、ノートブックへのアクセスを管理するをご覧ください。
他の Google Cloud サービスとやり取りするコードを実行する
ノートブックへのアクセス権の付与は、ノートブックの操作に関連する特定の権限に制限されます。たとえば、ノートブックの作成、ノートブックへのコードの記述、ノートブックの削除を許可できます。
他の Google Cloud サービスとやり取りするコードを実行するには、次のいずれかの方法を使用する必要があります。
エンドユーザー認証情報が有効になっているランタイムでコードを実行します。つまり、ノートブック ユーザーと同じように、ノートブックは Google Cloud サービスにアクセスできます。
Google Cloud サービスとやり取りできるようにノートブックを認証して承認するコードを実行します。
詳細については、Google Cloudとやり取りするコードを実行するをご覧ください。
IAM ロールのタイプ
Colab Enterprise で使用できる IAM ロールには次のような種類があります。
事前定義ロールを使用すると、Colab Enterprise のリソースに関連する一連の権限をプロジェクト レベルで付与できます。
基本ロール(オーナー、編集者、閲覧者)は、Colab Enterprise のリソースに対するアクセス権をプロジェクト レベルで付与します。すべての Google Cloudサービスに共通のロールです。
カスタムロールを使用すると、特定の権限セットを選択し、それらの権限を持つ独自のロールを作成して、組織内のユーザーに付与できます。
Colab Enterprise プロジェクトでこれらのロールを追加、更新、削除する方法については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
Colab Enterprise の事前定義ロール
Colab Enterprise は Vertex AI の一部であり、Colab Enterprise リソースは Vertex AI API を介して管理されます。したがって、Vertex AI ロールを使用して、プリンシパルに Colab Enterprise リソースへのアクセス権を付与できます。
次の表に、Vertex AI の事前定義ロールを示します。
一般的な Colab Enterprise オペレーションに事前定義されたロールを使用するには、Colab Enterprise 管理者(
roles/aiplatform.colabEnterpriseAdmin)と Colab Enterprise ユーザー(roles/aiplatform.colabEnterpriseUser)をご覧ください。ランタイム管理に関連するロールについては、ノートブック ランタイム管理者(
roles/aiplatform.notebookRuntimeAdmin)とノートブック ランタイム ユーザー(roles/aiplatform.notebookRuntimeUser)をご覧ください。Vertex AI 管理者(
roles/aiplatform.admin)、Vertex AI ユーザー(roles/aiplatform.user)、Vertex AI 閲覧者(roles/aiplatform.viewer)には、Colab Enterprise の権限も含まれています。
| Role | Permissions |
|---|---|
Vertex AI Administrator( Grants full access to all resources in Vertex AI |
|
Colab Enterprise Admin( Admin role of using colab enterprise. |
|
Colab Enterprise User( User role of using colab enterprise. |
|
Vertex AI Feature Store EntityType owner( Provides full access to all permissions for a particular entity type resource. Lowest-level resources where you can grant this role:
|
|
Vertex AI Platform Express Admin Beta( Grants admin access to Vertex AI Express |
|
Vertex AI Platform Express User Beta( Grants user access to Vertex AI Express |
|
Vertex AI Feature Store Admin( Grants full access to all resources in Vertex AI Feature Store Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Viewer( This role provides permissions to read Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Data Writer( This role provides permissions to read and write Feature data. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Instance Creator( Administrator of Featurestore resources, but not the child resources under Featurestores. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store Resource Viewer( Viewer of all resources in Vertex AI Feature Store but cannot make changes. Lowest-level resources where you can grant this role:
|
|
Vertex AI Feature Store User Beta( Deprecated. Use featurestoreAdmin instead. |
|
Vertex AI Migration Service User( Grants access to use migration service in Vertex AI |
|
Notebook Executor User Beta( Grants users full access to schedules and notebook execution jobs. |
|
Notebook Runtime Admin( Grants full access to all runtime templates and runtimes in Notebook Service. |
|
Notebook Runtime User( Grants users permissions to create runtime resources using a runtime template and manage the runtime resources they created. |
|
Vertex AI Platform Provisioned Throughput Admin Beta( Grants access to use all resources related to Vertex AI Provisioned Throughput |
|
Vertex AI Tensorboard Web App User Beta( Grants access to the Vertex AI TensorBoard web app. |
|
Vertex AI User( Grants access to use all resource in Vertex AI |
|
Vertex AI Viewer( Grants access to view all resource in Vertex AI |
|
基本ロール
以前の Google Cloudの基本ロールは、すべての Google Cloud サービスで共通です。オーナー、編集者、閲覧者のロールがあります。
基本ロールは、Colab Enterprise だけでなく、 Google Cloud全体に対する権限を付与します。このため、可能であれば Colab Enterprise のロールを使用してください。
カスタムロール
Colab Enterprise の IAM 事前定義ロールがニーズに合わない場合は、カスタムロールを定義できます。カスタムロールを使用すると、特定の権限セットを選択し、それらの権限を持つ独自のロールを作成して、組織内のユーザーに付与できます。詳細については、IAM カスタムロールについてをご覧ください。
Colab Enterprise のサービス エージェント
Colab Enterprise は、サービス エージェントを自動的に作成して使用し、ユーザーに代わってリソースにアクセスします。サービス エージェントが作成されると、サービス エージェントにプロジェクトの事前定義ロールが付与されます。
次の表に、Colab Enterprise サービス エージェント、そのメールアドレス、それぞれのロールを示します。
| 名前 | 用途 | メールアドレス | ロール |
|---|---|---|---|
| Vertex AI サービス エージェント | Vertex AI の機能 | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
| Vertex AI Colab サービス エージェント | Colab Enterprise が機能するための適切な権限を付与します。 | service-PROJECT_NUMBER@gcp-sa-vertex-nb.iam.gserviceaccount.com |
roles/aiplatform.colabServiceAgent |
| Vertex AI ノートブック サービス エージェント | 権限が制限されているユーザー プロジェクトでノートブック マネージド リソースを実行する | service-PROJECT_NUMBER@gcp-sa-aiplatform-vm.iam.gserviceaccount.com |
roles/aiplatform.notebookServiceAgent |
Colab Enterprise サービス エージェントのデフォルトのロールを削除すると、Colab Enterprise はこれらのロールを自動的に再割り当てし、サービスの機能が中断されないようにします。Colab Enterprise サービスをオフにするには、ロールを削除するのではなく、関連する API をオフにする必要があります。
次のステップ
カスタム IAM ロールの作成および管理方法を学習する。
サービス エージェントの詳細