Gerenciar o acesso à interface do JupyterLab de uma instância

Nesta página, descrevemos como conceder acesso à interface do JupyterLab de uma instância do Vertex AI Workbench.

Você controla o acesso à interface do JupyterLab de uma instância do Vertex AI Workbench por meio do modo de acesso da instância. Defina um modo de acesso do JupyterLab ao criar uma instância do Vertex AI Workbench. Não é possível alterar o modo de acesso após a criação do notebook.

O modo de acesso do JupyterLab determina quem pode usar a interface JupyterLab da instância. O modo de acesso também determina quais credenciais são usadas quando a instância interage com outros serviços do Google Cloud.

Limitações de acesso

A concessão de acesso principal à interface JupyterLab de uma instância do Vertex AI Workbench não concede acesso à própria instância. Por exemplo, para iniciar, interromper ou redefinir uma instância, é necessário conceder ao principal o acesso para executar essas operações definindo uma política do IAM na instância. Para conceder acesso à instância do Vertex AI Workbench, consulte Gerenciar o acesso a uma instância do Vertex AI Workbench.

Modos de acesso do JupyterLab

As instâncias do Vertex AI Workbench são compatíveis com os seguintes modos de acesso:

  • Apenas um usuário: o modo de acesso Apenas um usuário só concede acesso ao usuário que você especificar.

  • Conta de serviço: o modo de acesso da conta de serviço concede acesso a uma conta de serviço. É possível conceder acesso a um ou mais usuários por meio dessa conta de serviço.

Apenas um usuário

Ao criar uma instância do Vertex AI Workbench com acesso Apenas de usuário único, você especifica uma conta de usuário. A conta de usuário especificada é a única com acesso à interface JupyterLab. Se o usuário especificado não for o criador da instância, conceda a ele o papel de usuário da conta de serviço (roles/iam.serviceAccountUser) na conta de serviço da instância. Se a instância precisar acessar outros recursos do Google Cloud, essa conta também vai precisar de acesso a esses recursos.

Conceder acesso a um único usuário

Para conceder acesso a um único usuário, siga as etapas abaixo.

  1. Crie uma instância do Vertex AI Workbench com as seguintes especificações:

    1. Na caixa de diálogo Criar instância, na seção IAM e segurança, selecione o modo de acesso Apenas usuário.

    2. No campo E-mail do usuário, insira a conta de usuário a que você quer conceder acesso.

  2. Preencha o restante da caixa de diálogo e clique em Criar.

Conta de serviço

Ao criar uma instância do Vertex AI Workbench com acesso de conta de serviço, você especifica uma conta de serviço. Se a instância precisar acessar outros recursos do Google, essa conta também vai precisar de acesso a esses recursos.

Ao especificar uma conta de serviço, escolha uma das seguintes opções:

  • Selecione a conta de serviço padrão do Compute Engine.
  • Especifique uma conta de serviço personalizada. A conta de serviço personalizada precisa estar no mesmo projeto que sua instância do Vertex AI Workbench. Para criar a instância, é necessário ter a permissão iam.serviceAccounts.actAs na conta de serviço.

Para conceder acesso aos usuários por uma conta de serviço, conceda a permissão iam.serviceAccounts.actAs na conta de serviço especificada para cada usuário que precisar acessar o JupyterLab.

Conceder acesso a vários usuários por meio de uma conta de serviço

  1. Crie uma instância do Vertex AI Workbench com as seguintes especificações:

    1. Na caixa de diálogo Criar instância, na seção IAM e segurança, selecione o modo de acesso da Conta de serviço.

    2. Escolha a conta de serviço padrão do Compute Engine ou uma conta de serviço personalizada.

      • Para usar a conta de serviço padrão do Compute Engine, selecione Usar a conta de serviço padrão do Compute Engine.

      • Para usar uma conta de serviço personalizada, desmarque a opção Usar a conta de serviço padrão do Compute Engine e, no campo E-mail da conta de serviço, digite seu endereço de e-mail da conta de serviço personalizada.

  2. Preencha o restante da caixa de diálogo e clique em Criar.

  3. Para cada usuário que precisar acessar o JupyterLab, conceda a permissão iam.serviceAccounts.actAs na sua conta de serviço.

Metadados do modo de acesso

O modo de acesso configurado durante a criação da instância do Vertex AI Workbench é armazenado nos metadados do notebook.

Quando você seleciona o modo de acesso Apenas usuário único, o Vertex AI Workbench armazena um valor para proxy-mode e proxy-user-mail. Confira a seguir exemplos de entradas de metadados de acesso de usuário único:

  • proxy-mode=mail
  • proxy-user-mail=user@example.com

Quando você seleciona o modo de acesso da Conta de serviço, o Vertex AI Workbench armazena uma entrada de metadados proxy-mode=service_account.

A seguir