Controle de acesso
Nesta página, descrevemos como usar o Identity and Access Management (IAM) e um modo de acesso para gerenciar o acesso aos recursos de notebooks gerenciados do Vertex AI Workbench. Para gerenciar o acesso aos recursos da Vertex AI, consulte a página da Vertex AI sobre controle de acesso.
O Vertex AI Workbench usa o IAM para gerenciar o acesso a instâncias de notebooks gerenciados e um modo de acesso para gerenciar o acesso à interface do JupyterLab de cada instância.
Controlar o acesso a uma instância com o IAM
É possível gerenciar o acesso a uma instância do Vertex AI Workbench no nível do projeto ou por instância.
- Para conceder acesso a recursos no nível do projeto, atribua um ou mais papéis a um principal (usuário, grupo ou conta de serviço).
- Para conceder acesso a uma instância específica, defina uma política do IAM nesse recurso. A política define quais papéis são atribuídos a quais principais. Para saber mais, consulte Gerenciar acesso a uma instância.
O acesso a uma instância pode incluir uma ampla variedade de habilidades. Por exemplo, é possível conceder a um principal a capacidade de iniciar, interromper e fazer upgrade de uma instância. No entanto, mesmo conceder um acesso total ao principal para uma instância do Vertex AI Workbench não permite usar a interface JupyterLab da instância. Consulte a seção a seguir.
Controlar o acesso à interface do JupyterLab de uma instância com o modo de acesso
Você controla o acesso à interface do JupyterLab de uma instância do Vertex AI Workbench por meio do modo de acesso da instância. Defina um modo de acesso do JupyterLab ao criar uma instância do Vertex AI Workbench. Não é possível alterar o modo de acesso após a criação do notebook.
O modo de acesso do JupyterLab determina quem pode usar a interface JupyterLab da instância. O modo de acesso também determina quais credenciais são usadas quando a instância interage com outros serviços do Google Cloud. Para saber mais, consulte Gerenciar o acesso à interface do JupyterLab de uma instância.
Tipos de papéis do IAM
Há diferentes tipos de papéis do IAM que podem ser usados na Vertex AI:
Os papéis predefinidos permitem conceder um conjunto de permissões relacionadas aos recursos da Vertex AI no nível do projeto.
Os papéis básicos (proprietário, editor e visualizador) fornecem controle de acesso aos recursos da Vertex AI no nível do projeto e são comuns a todos os serviços do Google Cloud.
Os papéis personalizados permitem escolher um conjunto específico de permissões, criar seu próprio papel com elas e concedê-lo aos usuários da organização.
Para adicionar, atualizar ou remover esses papéis do projeto da Vertex AI, consulte a documentação sobre como conceder, alterar e revogar acesso.
Papéis predefinidos do IAM do Vertex AI Workbench
Os recursos do Vertex AI Workbench são gerenciados pela API Notebooks. Portanto, os papéis do Notebooks definem permissões e acesso ao uso do Vertex AI Workbench.
Role | Permissions |
---|---|
Notebooks Admin( Full access to Notebooks, all resources. Lowest-level resources where you can grant this role:
|
|
Notebooks Legacy Admin( Full access to Notebooks all resources through compute API. |
|
Notebooks Legacy Viewer( Read-only access to Notebooks all resources through compute API. |
|
Notebooks Runner( Restricted access for running scheduled Notebooks. |
|
Notebooks Viewer( Read-only access to Notebooks, all resources. Lowest-level resources where you can grant this role:
|
|
Papéis básicos
Os papéis básicos mais antigos do Google Cloud são comuns a todos os serviços do Google Cloud. Esses papéis são de Proprietário, Editor e Visualizador.
Os papéis básicos fornecem permissões em todo o Google Cloud, não apenas no Vertex AI Workbench. Por esse motivo, use os papéis da Vertex AI Workbench sempre que possível.
Papéis personalizados
Se os papéis predefinidos do IAM para a Vertex AI Workbench não atenderem às suas necessidades, é possível definir papéis personalizados. Os papéis personalizados permitem escolher um conjunto específico de permissões, criar seu próprio papel com elas e concedê-lo aos usuários da organização. Para mais informações, consulte Noções básicas sobre papéis personalizados do IAM.
Acesso no nível do projeto e políticas no nível do recurso
Um recurso herda todas as políticas do
ancestral.
Uma política definida no nível do recurso não
afeta as políticas no nível do projeto. É possível usar o acesso no nível do projeto e as
políticas no nível do recurso para personalizar as permissões.
Por exemplo, você pode conceder permissões roles/notebooks.viewer
no nível do
projeto para os usuários explorarem todos os recursos do Vertex AI Workbench
e, em seguida, conceder permissões roles/notebooks.admin
a cada usuário
em uma instância específica de notebooks gerenciados para que eles
tenham todas as capacidades de um admin
para administrar essa instância.
Nem todos os recursos e papéis predefinidos do Vertex AI Workbench suportam políticas no nível do recurso. Para saber quais papéis podem ser usados em quais recursos, confira as descrições de cada papel.
As mudanças no acesso a um recurso levam algum tempo para serem propagadas. Para mais informações, consulte Propagação de alteração de acesso.
A seguir
Conceder um acesso principal a uma instância do Vertex AI Workbench.
Saiba mais sobre IAM.
Saiba como criar e gerenciar papéis personalizados de IAM.