이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Vertex AI Workbench에 대한 액세스 제어

조직 또는 프로젝트에 대해 Vertex AI Workbench 액세스 권한을 부여하거나 제한할 수 있습니다. 이렇게 하려면 GDCHRestrictedService 정책 유형을 사용하여 조직 정책을 정의합니다. 이 정책 유형을 사용하면 Google Distributed Cloud (GDC) 에어갭에서 사용할 수 있는 서비스를 제한할 수 있습니다. 적용되면 정책은 참조하는 API의 사용을 방지합니다.

예를 들어 이 정책 유형을 사용하여 Vertex AI Workbench 사용을 특정 프로젝트로 제한할 수 있습니다. 제한되지 않은 조직 또는 프로젝트만 JupyterLab 노트북을 만들거나 업데이트할 수 있습니다. 팀에서 Vertex AI Workbench 서비스를 사용하도록 허용하기 전에 테스트를 실행하려는 경우 정책을 사용하여 Vertex AI Workbench 서비스에 대한 액세스를 완전히 제한할 수도 있습니다.

이 페이지에서는 GDCHRestrictedService 정책 유형을 사용하여 Vertex AI Workbench에 대한 액세스를 부여하고 제한하는 방법을 설명합니다. 조직 정책 및 GDCHRestrictedService 조직 정책을 수정하는 방법을 자세히 알아보려면 조직 정책 구성을 참고하세요.

시작하기 전에

조직 또는 프로젝트의 Vertex AI Workbench에 대한 액세스 권한을 부여하거나 제한하는 데 필요한 권한을 얻으려면 조직 IAM 관리자에게 프로젝트 네임스페이스의 GDC 제한 서비스 정책 관리자 (gdchrestrictedservice-policy-admin) 클러스터 역할을 부여해 달라고 요청하세요.

이 역할에 대한 자세한 내용은 IAM 권한 준비를 참고하세요.

조직의 Vertex AI Workbench 액세스 제한

조직의 Vertex AI Workbench 액세스를 제한하려면 정책의 kinds 필드에 aiplatform.gdc.goog API 그룹과 Notebook 종류를 추가하여 GDCHRestrictedService 정책 유형을 수정합니다.

다음 예시에서는 조직 전체의 Vertex AI Workbench 액세스를 제한할 때 GDCHRestrictedService 정책 유형에서 kinds 필드가 어떻게 표시되는지 보여줍니다.

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: restrict-notebook-for-organization
spec:
  match:
    scope: "Namespaced"
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook

[...]

조직의 Vertex AI Workbench 액세스 권한을 복원하려면 조직에 Vertex AI Workbench 액세스 권한 부여를 참고하세요.

프로젝트의 Vertex AI Workbench 액세스 제한

프로젝트의 Vertex AI Workbench 액세스를 제한하려면 프로젝트 네임스페이스의 정책 kinds 필드에 aiplatform.gdc.goog API 그룹과 Notebook 종류를 추가하여 GDCHRestrictedService 정책 유형을 수정합니다.

조직의 액세스를 제한하는 것과의 차이점은 정책이 적용될 네임스페이스를 지정해야 한다는 것입니다. 프로젝트 네임스페이스를 사용하여 정책에 namespaces 필드를 추가합니다.

다음 예시는 프로젝트의 Vertex AI Workbench에 대한 액세스를 제한할 때 GDCHRestrictedService 정책 유형에서 kinds 필드가 표시되는 방식을 보여줍니다.

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: restrict-notebook-for-organization
spec:
  match:
    scope: "Namespaced"
    namespaces: [PROJECT_NAMESPACE]
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook

[...]

PROJECT_NAMESPACE를 Vertex AI Workbench에 대한 액세스를 제한하려는 프로젝트의 네임스페이스로 바꿉니다.

조직에 Vertex AI Workbench 액세스 권한 부여

기본적으로 Distributed Cloud 조직은 Vertex AI Workbench에 액세스할 수 있습니다. 하지만 조직의 Vertex AI Workbench 액세스를 제한한 경우 액세스 권한을 다시 부여할 수 있습니다.

다음 단계에 따라 조직의 모든 프로젝트에 Vertex AI Workbench에 대한 액세스 권한을 부여하세요.

조직에서 GDCHRestrictedService 정책 유형을 식별합니다.
정책에서 aiplatform.gdc.goog API 그룹과 Notebook 종류를 찾습니다.
aiplatform.gdc.goog API 그룹과 Notebook 종류가 정책의 kinds 필드에 있는 유일한 콘텐츠인 경우 GDCHRestrictedService 리소스를 삭제합니다.
GDCHRestrictedService 정책에 다른 제한된 서비스가 포함되어 있는 경우 kinds 필드에서 aiplatform.gdc.goog API 그룹과 Notebook 종류를 삭제하고 정책 변경사항을 저장합니다.