Esta página se ha traducido con Cloud Translation API.

Gestionar el acceso a una plantilla de tiempo de ejecución

En esta página se describe cómo puedes conceder y revocar el acceso a una plantilla de entorno de ejecución en Colab Enterprise.

Antes de empezar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Vertex AI, Dataform, and Compute Engine APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Vertex AI, Dataform, and Compute Engine APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Roles obligatorios

Para obtener los permisos que necesitas para gestionar el acceso a una plantilla de tiempo de ejecución, pide a tu administrador que te conceda el rol de gestión de identidades y accesos de administrador de Colab Enterprise (roles/aiplatform.colabEnterpriseAdmin) en el proyecto. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Uno o varios de los roles obligatorios incluyen el permiso dataform.repositories.list. Los usuarios a los que se les haya concedido el permiso dataform.repositories.list o el rol Creador de código (roles/dataform.codeCreator) en un proyecto pueden enumerar los nombres de los recursos de código de ese proyecto mediante la API de Dataform o la interfaz de línea de comandos (CLI) de Dataform. Los usuarios que no sean administradores y usen BigQuery Studio solo podrán ver los recursos de código que hayan creado o que se hayan compartido con ellos.

Conceder acceso a una plantilla de tiempo de ejecución

Para conceder acceso a una plantilla de tiempo de ejecución a una entidad de seguridad, puedes usar la Google Cloud consola, la CLI de Google Cloud o Terraform.

Consola

En la Google Cloud consola, ve a la página Plantillas de tiempo de ejecución de Colab Enterprise.

Ir a Plantillas de entorno de ejecución
En el menú Región, seleccione la región que contenga su plantilla de tiempo de ejecución.
En el menú Plantilla de tiempo de ejecución, selecciona una plantilla de tiempo de ejecución. Si no hay ninguna plantilla de tiempo de ejecución en la lista, crea una.
Haz clic en Permisos.
En la ventana Permisos, haz clic en Añadir principal.
En el cuadro de diálogo Conceder acceso, en el campo Nuevos principales, introduce uno o varios principales separados por comas.
En el menú Selecciona un rol, completa el cuadro de diálogo para asignar un rol.
Opcional: Haz clic en Añadir otro rol y repite el último paso.
Haz clic en Guardar.

gcloud

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

RUNTIME_TEMPLATE_ID: el ID de tu plantilla de entorno de ejecución.
PRINCIPAL: la cuenta principal a la que se va a añadir la vinculación.
ROLE: el nombre del rol que se va a asignar a la cuenta principal.
PROJECT_ID: tu ID de proyecto.
REGION: la región en la que se encuentra tu plantilla de tiempo de ejecución.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud colab runtime-templates add-iam-policy-binding RUNTIME_TEMPLATE_ID \
    --member=PRINCIPAL \
    --role=ROLE \
    --project=PROJECT_ID \
    --region=REGION

Windows (PowerShell)

gcloud colab runtime-templates add-iam-policy-binding RUNTIME_TEMPLATE_ID `
    --member=PRINCIPAL `
    --role=ROLE `
    --project=PROJECT_ID `
    --region=REGION

Windows (cmd.exe)

gcloud colab runtime-templates add-iam-policy-binding RUNTIME_TEMPLATE_ID ^
    --member=PRINCIPAL ^
    --role=ROLE ^
    --project=PROJECT_ID ^
    --region=REGION

Para obtener más información sobre cómo gestionar políticas de gestión de identidades y accesos de plantillas de tiempo de ejecución desde la línea de comandos, consulta la documentación de la CLI de gcloud.

Terraform

Para saber cómo aplicar o quitar una configuración de Terraform, consulta Comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor Terraform.

En el siguiente ejemplo se usa el recurso de Terraform google_colab_runtime_template_iam_policy para conceder acceso a una plantilla de entorno de ejecución de Colab Enterprise.

data "google_iam_policy" "admin" {
  binding {
    role = "roles/viewer"
    members = [
      "user:jane@example.com",
    ]
  }
}

resource "google_colab_runtime_template_iam_policy" "policy" {
  project = google_colab_runtime_template.runtime-template.project
  location = google_colab_runtime_template.runtime-template.location
  runtime_template = google_colab_runtime_template.runtime-template.name
  policy_data = data.google_iam_policy.admin.policy_data
}

Las entidades principales de Colab Enterprise son usuarios, grupos o dominios

Puedes conceder acceso a usuarios, grupos o dominios. Consulta la siguiente tabla:

Principal	Cuenta de usuario de ejemplo
Un solo usuario	`user@gmail.com`
Grupo de Google	`admins@googlegroups.com`
Dominio de Google Workspace	`example.com`

Revocar el acceso a una plantilla de entorno de ejecución

Para revocar el acceso a una plantilla de tiempo de ejecución, puedes usar la Google Cloud consola o la CLI de gcloud.

Consola

En la consola, ve a la página Gestión de identidades y accesos. Google Cloud

Ir a IAM
Selecciona un proyecto, una carpeta o una organización.
Busca la fila que contenga la cuenta principal cuyo acceso quieras revocar. A continuación, haz clic en Editar principal en esa fila.

Nota: No puedes editar los roles heredados al gestionar el acceso a un recurso. Para editar los roles heredados, ve al recurso en el que se concedió el rol.
Haga clic en el botón Eliminar del rol que quiera revocar y, a continuación, haga clic en Guardar.

gcloud

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

RUNTIME_TEMPLATE_ID: el ID de tu plantilla de entorno de ejecución.
PRINCIPAL: el principal cuyo acceso quieres revocar.
ROLE: el rol que se va a quitar de la cuenta principal.
PROJECT_ID: tu ID de proyecto.
REGION: la región en la que se encuentra tu plantilla de tiempo de ejecución.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud colab runtime-templates remove-iam-policy-binding RUNTIME_TEMPLATE_ID \
    --member=PRINCIPAL \
    --role=ROLE \
    --project=PROJECT_ID \
    --region=REGION

Windows (PowerShell)

gcloud colab runtime-templates remove-iam-policy-binding RUNTIME_TEMPLATE_ID `
    --member=PRINCIPAL `
    --role=ROLE `
    --project=PROJECT_ID `
    --region=REGION

Windows (cmd.exe)

gcloud colab runtime-templates remove-iam-policy-binding RUNTIME_TEMPLATE_ID ^
    --member=PRINCIPAL ^
    --role=ROLE ^
    --project=PROJECT_ID ^
    --region=REGION

Siguientes pasos

Para saber cómo conceder acceso a un cuaderno, consulta Gestionar el acceso a un cuaderno.