本頁面由 Cloud Translation API 翻譯而成。

控管 Vertex AI Workbench 的存取權

您可以授予或限制機構或專案的 Vertex AI Workbench 存取權。如要這麼做，請使用 GDCHRestrictedService 政策類型定義機構政策，限制您在 Google Distributed Cloud (GDC) Air-gapped 上可使用的服務。套用後，這項政策會禁止使用其參照的 API。

舉例來說，您可以運用這類政策，限制只有特定專案能使用 Vertex AI Workbench。只有非受限的機構或專案才能建立或更新 JupyterLab 筆記本。您也可以使用這項政策完全限制存取 Vertex AI Workbench 服務，因為您想先執行測試，再允許團隊使用。

本頁說明如何使用 GDCHRestrictedService 政策類型，授予及限制 Vertex AI Workbench 的存取權。如要進一步瞭解機構政策，以及如何編輯GDCHRestrictedService機構政策，請參閱「設定機構政策」。

事前準備

如要取得權限，以便授予或限制機構或專案的 Vertex AI Workbench 存取權，請要求機構 IAM 管理員在專案命名空間中，授予您 GDC Restricted Service Policy Admin (gdchrestrictedservice-policy-admin) 叢集角色。

如要進一步瞭解這個角色，請參閱「準備 IAM 權限」。

限制機構存取 Vertex AI Workbench

如要限制貴機構存取 Vertex AI Workbench，請編輯 GDCHRestrictedService 政策類型，在政策的 kinds 欄位中新增 aiplatform.gdc.goog API 群組和 Notebook 種類。

以下範例顯示當您限制整個機構存取 Vertex AI Workbench 時，GDCHRestrictedService 政策類型中的 kinds 欄位會如何顯示：

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: restrict-notebook-for-organization
spec:
  match:
    scope: "Namespaced"
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook

[...]

如要還原機構對 Vertex AI Workbench 的存取權，請參閱「授予機構對 Vertex AI Workbench 的存取權」。

限制專案的 Vertex AI Workbench 存取權

如要限制專案的 Vertex AI Workbench 存取權，請編輯GDCHRestrictedService政策類型，將 aiplatform.gdc.goog API 群組和 Notebook 種類新增至專案命名空間政策的 kinds 欄位。

與限制機構存取權不同的是，您必須指定政策應影響的命名空間。在政策中加入 namespaces 欄位，並填入專案命名空間。

以下範例顯示在您限制專案的 Vertex AI Workbench 存取權時，GDCHRestrictedService 政策類型中的 kinds 欄位會是什麼樣子：

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: restrict-notebook-for-organization
spec:
  match:
    scope: "Namespaced"
    namespaces: [PROJECT_NAMESPACE]
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook

[...]

將 PROJECT_NAMESPACE 替換為要限制存取 Vertex AI Workbench 的專案命名空間。

為貴機構授予 Vertex AI Workbench 的存取權

根據預設，Distributed Cloud 機構可存取 Vertex AI Workbench。不過，如果限制貴機構存取 Vertex AI Workbench，您可以再次授予存取權。

如要授予機構中所有專案的 Vertex AI Workbench 存取權，請按照下列步驟操作：

找出貴機構的 GDCHRestrictedService 政策類型。
在政策中找出 aiplatform.gdc.goog API 群組和 Notebook 種類。
如果 aiplatform.gdc.goog API 群組和 Notebook 類型是政策 kinds 欄位中的唯一內容，請刪除 GDCHRestrictedService 資源。
如果 GDCHRestrictedService 政策包含其他受限制的服務，請移除 aiplatform.gdc.goog API 群組和 Notebook 欄位中的 kinds 種類，然後儲存政策變更。