管理執行個體的 JupyterLab 介面存取權

本頁面說明如何授予 Vertex AI Workbench 執行個體的 JupyterLab 介面存取權。

您可以透過執行個體的存取模式，控管 Vertex AI Workbench 執行個體的 JupyterLab 介面存取權。建立 Vertex AI Workbench 執行個體時，您會設定 JupyterLab 存取模式。筆記本建立後即無法變更存取模式。

JupyterLab 存取模式會決定誰可以使用執行個體的 JupyterLab 介面。存取模式也會決定執行個體與其他 Google Cloud 服務互動時使用的憑證。

存取限制

將主要存取權授予 Vertex AI Workbench 執行個體的 JupyterLab 介面，並不會授予對該執行個體的存取權。舉例來說，如要啟動、停止或重設執行個體，您必須在執行個體上設定 IAM 政策，授予主要使用者執行這些作業的存取權。如要授予 Vertex AI Workbench 執行個體的存取權，請參閱「管理 Vertex AI Workbench 執行個體的存取權」。

JupyterLab 存取模式

Vertex AI Workbench 執行個體支援下列存取模式：

• 僅限單一使用者：僅限單一使用者存取模式只會將存取權授予您指定的使用者。

• 服務帳戶：服務帳戶存取模式會將存取權授予服務帳戶。您可以透過這個服務帳戶，將存取權授予一或多位使用者。

僅限單一使用者

建立 單一使用者存取權的 Vertex AI Workbench 執行個體時，請指定使用者帳戶。指定的使用者帳戶是唯一可存取 JupyterLab 介面的使用者。如果指定使用者不是執行個體的建立者，您必須為該使用者授予執行個體服務帳戶的服務帳戶使用者角色 (roles/iam.serviceAccountUser)。如果執行個體需要存取其他 Google Cloud 資源，這個服務帳戶也必須具備存取這些 Google Cloud 資源的權限。

將存取權授予單一使用者

如要授予單一使用者的存取權，請完成下列步驟。

1. 建立 Vertex AI Workbench 執行個體，並設定以下規格：

   1. 在「Create instance」對話方塊的「IAM and security」部分中，選取「Single user only」存取模式。

   2. 在「使用者電子郵件」欄位中，輸入要授予存取權的使用者帳戶。

2. 完成對話方塊的其餘步驟，然後按一下「建立」。

服務帳戶

建立具有服務帳戶存取權的 Vertex AI Workbench 執行個體時，您必須指定服務帳戶。如果執行個體需要存取其他 Google 資源，這個服務帳戶也必須具備存取這些 Google 資源的權限。

指定服務帳戶時，請選擇下列任一選項：

• 選取 Compute Engine 預設服務帳戶。
• 指定自訂服務帳戶。自訂服務帳戶必須與 Vertex AI Workbench 執行個體所屬專案相同。如要建立執行個體，您必須具備服務帳戶的 iam.serviceAccounts.actAs 權限。

如要透過服務帳戶授予使用者存取權，請為需要存取 JupyterLab 的每位使用者，授予指定服務帳戶的 iam.serviceAccounts.actAs 權限。

透過服務帳戶將存取權授予多位使用者

1. 建立 Vertex AI Workbench 執行個體，並設定以下規格：

   1. 在「Create instance」對話方塊的「IAM and security」專區中，選取「Service account」存取模式。

   2. 選擇 Compute Engine 預設服務帳戶或自訂服務帳戶。

      • 如要使用 Compute Engine 預設服務帳戶，請選取「Use Compute Engine default service account」(使用 Compute Engine 預設服務帳戶)。

      • 如要使用自訂服務帳戶，請取消勾選「使用 Compute Engine 預設服務帳戶」，然後在「服務帳戶電子郵件」欄位中輸入自訂服務帳戶的電子郵件地址。

2. 完成對話方塊的其餘步驟，然後按一下「建立」。

3. 針對需要存取 JupyterLab 的每位使用者，請授予服務帳戶 iam.serviceAccounts.actAs 權限。

存取模式中繼資料

您在建立 Vertex AI Workbench 執行個體時設定的存取模式會儲存在筆記本中繼資料中。

選取「僅限單一使用者」存取模式時，Vertex AI Workbench 會儲存 proxy-mode 和 proxy-user-mail 的值。以下是單一使用者存取權中繼資料項目的範例：

• proxy-mode=mail
• proxy-user-mail=user@example.com

選取「服務帳戶」存取模式時，Vertex AI Workbench 會儲存 proxy-mode=service_account 中繼資料項目。

後續步驟

• 授予實體存取 Vertex AI Workbench 執行個體的權限。

• 如要瞭解如何授予其他 Google 資源的存取權，請參閱「管理其他資源的存取權」。