Faça a gestão do acesso a um modelo de tempo de execução

Esta página descreve como pode conceder e revogar o acesso a um modelo de tempo de execução no Colab Enterprise.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Vertex AI, Dataform, and Compute Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Vertex AI, Dataform, and Compute Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.

    Funções necessárias

    Para receber as autorizações de que precisa para gerir o acesso a um modelo de tempo de execução, peça ao seu administrador para lhe conceder a função do IAM de administrador do Colab Enterprise (roles/aiplatform.colabEnterpriseAdmin) no projeto. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

    Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

    Conceda acesso a um modelo de tempo de execução

    Para conceder a um principal acesso a um modelo de tempo de execução, pode usar a Google Cloud consola, a CLI do Google Cloud ou o Terraform.

    Consola

    1. Na Google Cloud consola, aceda à página Modelos de tempo de execução do Colab Enterprise.

      Aceda aos modelos dos ambientes de execução

    2. No menu Região, selecione a região que contém o seu modelo de tempo de execução.

    3. No menu Modelo de tempo de execução, selecione um modelo de tempo de execução. Se não forem apresentados modelos de tempo de execução, crie um modelo de tempo de execução.

    4. Clique em  Autorizações.

    5. Na janela Autorizações, clique em  Adicionar principal.

    6. Na caixa de diálogo Conceder acesso, no campo Novos responsáveis, introduza um ou uma lista de responsáveis separada por vírgulas.

    7. No menu Selecionar uma função, conclua a caixa de diálogo para atribuir uma função.

    8. Opcional: clique em  Adicionar outra função e repita o último passo.

    9. Clique em Guardar.

    gcloud

    Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

    • RUNTIME_TEMPLATE_ID: o ID do modelo de ambiente de execução.
    • PRINCIPAL: o principal ao qual adicionar a associação.
    • ROLE: o nome da função a atribuir ao principal.
    • PROJECT_ID: o ID do seu projeto.
    • REGION: a região onde o modelo de tempo de execução está localizado.

    Execute o seguinte comando:

    Linux, macOS ou Cloud Shell

    gcloud colab runtime-templates add-iam-policy-binding RUNTIME_TEMPLATE_ID \
    --member=PRINCIPAL \
    --role=ROLE \
    --project=PROJECT_ID \
    --region=REGION

    Windows (PowerShell)

    gcloud colab runtime-templates add-iam-policy-binding RUNTIME_TEMPLATE_ID `
    --member=PRINCIPAL `
    --role=ROLE `
    --project=PROJECT_ID `
    --region=REGION

    Windows (cmd.exe)

    gcloud colab runtime-templates add-iam-policy-binding RUNTIME_TEMPLATE_ID ^
    --member=PRINCIPAL ^
    --role=ROLE ^
    --project=PROJECT_ID ^
    --region=REGION

    Para mais informações sobre a gestão de políticas de IAM para modelos de tempo de execução a partir da linha de comandos, consulte a documentação da CLI gcloud.

    Terraform

    Para saber como aplicar ou remover uma configuração do Terraform, consulte os comandos básicos do Terraform. Para mais informações, consulte a Terraform documentação de referência do fornecedor.

    O exemplo seguinte usa o recurso do Terraform google_colab_runtime_template_iam_policy para conceder acesso a um modelo de tempo de execução do Colab Enterprise. 

    data "google_iam_policy" "admin" {
  binding {
    role = "roles/viewer"
    members = [
      "user:jane@example.com",
    ]
  }
}

resource "google_colab_runtime_template_iam_policy" "policy" {
  project = google_colab_runtime_template.runtime-template.project
  location = google_colab_runtime_template.runtime-template.location
  runtime_template = google_colab_runtime_template.runtime-template.name
  policy_data = data.google_iam_policy.admin.policy_data
}

    Os principais do Colab Enterprise são utilizadores, grupos ou domínios

    Pode conceder acesso a utilizadores, grupos ou domínios. Veja a seguinte tabela:

    Principal Conta de utilizador de exemplo
    Utilizador único user@gmail.com
    Grupo Google admins@googlegroups.com
    Domínio do Google Workspace example.com

    Revogue o acesso a um modelo de tempo de execução

    Para revogar o acesso a um modelo de tempo de execução, pode usar a Google Cloud consola ou a CLI gcloud.

    Consola

    1. Na Google Cloud consola, aceda à página IAM.

      Aceda ao IAM

    2. Selecione um projeto, uma pasta ou uma organização.

    3. Procure a linha que contém o principal cujo acesso quer revogar. Em seguida, clique em Editar principal nessa linha.

    4. Clique no botão Eliminar para a função que quer revogar e, de seguida, clique em Guardar.

    gcloud

    Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

    • RUNTIME_TEMPLATE_ID: o ID do modelo de ambiente de execução.
    • PRINCIPAL: o principal cujo acesso quer revogar.
    • ROLE: a função a remover do principal.
    • PROJECT_ID: o ID do seu projeto.
    • REGION: a região onde o modelo de tempo de execução está localizado.

    Execute o seguinte comando:

    Linux, macOS ou Cloud Shell

    gcloud colab runtime-templates remove-iam-policy-binding RUNTIME_TEMPLATE_ID \
    --member=PRINCIPAL \
    --role=ROLE \
    --project=PROJECT_ID \
    --region=REGION

    Windows (PowerShell)

    gcloud colab runtime-templates remove-iam-policy-binding RUNTIME_TEMPLATE_ID `
    --member=PRINCIPAL `
    --role=ROLE `
    --project=PROJECT_ID `
    --region=REGION

    Windows (cmd.exe)

    gcloud colab runtime-templates remove-iam-policy-binding RUNTIME_TEMPLATE_ID ^
    --member=PRINCIPAL ^
    --role=ROLE ^
    --project=PROJECT_ID ^
    --region=REGION

    Para mais informações sobre a gestão de políticas de IAM para modelos de tempo de execução a partir da linha de comandos, consulte a documentação da CLI gcloud.

    O que se segue?