インスタンスの JupyterLab インターフェースへのアクセスを管理する

このページでは、Vertex AI Workbench インスタンスの JupyterLab インターフェースへのアクセス権を付与する方法について説明します。

Vertex AI Workbench インスタンスの JupyterLab インターフェースへのアクセスは、インスタンスのアクセスモードを介して制御します。 Vertex AI Workbench インスタンスを作成するときに、JupyterLab のアクセスモードを設定します。ノートブックの作成後にアクセスモードを変更することはできません。

JupyterLab のアクセスモードによって、インスタンスの JupyterLab インターフェースを使用できるユーザーが決まります。また、インスタンスが他の Google Cloud サービスとやり取りするときに使用する認証情報もアクセスモードによって決まります。

アクセスの制限

Vertex AI Workbench インスタンスの JupyterLab インターフェースへのアクセス権をプリンシパルに付与しても、インスタンス自体へのアクセス権は付与されません。たとえば、インスタンスを起動、停止、リセットするには、そのインスタンスの IAM ポリシーを設定して、これらのオペレーションを実行するためのアクセス権をプリンシパルに付与する必要があります。Vertex AI Workbench インスタンスへのアクセス権を付与するには、Vertex AI Workbench インスタンスへのアクセスを管理するをご覧ください。

JupyterLab のアクセスモード

Vertex AI Workbench インスタンスは、次のアクセスモードをサポートしています。

シングルユーザーのみ: アクセスモードがシングルユーザーのみの場合、指定したユーザーにのみアクセス権が付与されます。
サービスアカウント: アクセスモードがサービスアカウントの場合、サービスアカウントへのアクセスが許可されます。このサービスアカウントを使用して 1 人以上のユーザーにアクセス権を付与できます。

シングルユーザーのみ

シングルユーザーのみのアクセス権を持つ Vertex AI Workbench インスタンスを作成する場合は、ユーザーアカウントを指定します。指定されたユーザーアカウントが、JupyterLab インターフェースにアクセスできる唯一のユーザーになります。指定したユーザーがインスタンスの作成者でない場合は、指定したユーザーにインスタンスのサービスアカウントに対するサービスアカウントユーザーのロール（roles/iam.serviceAccountUser）を付与する必要があります。インスタンスが他の Google Cloud リソースにアクセスする必要がある場合、このサービスアカウントにも Google Cloud リソースへのアクセス権が必要になります。

個々のユーザーにアクセス権を付与する

1 人のユーザーにアクセス権を付与するには、次の手順を行います。

次の仕様で Vertex AI Workbench インスタンスを作成します。
1. [インスタンスを作成] ダイアログの [IAM とセキュリティ] セクションで、アクセスモードに [Single user only] を選択します。
2. [ユーザーのメール] フィールドに、アクセス権を付与するユーザーアカウントを入力します。
ダイアログの残りの部分を入力して、[作成] をクリックします。

サービスアカウント

サービスアカウントのアクセス権を持つ Vertex AI Workbench インスタンスを作成する場合は、サービスアカウントを指定します。インスタンスが他の Google リソースにアクセスする必要がある場合、このサービスアカウントにも Google リソースへのアクセス権が必要になります。

サービスアカウントを指定する場合は、次のいずれかを選択します。

Compute Engine のデフォルトのサービスアカウントを選択する。
カスタムサービスアカウントを指定する。カスタムサービスアカウントは、Vertex AI Workbench インスタンスと同じプロジェクトに存在する必要があります。インスタンスを作成するには、サービスアカウントに対する iam.serviceAccounts.actAs 権限が必要です。

サービスアカウントを使用してユーザーにアクセス権を付与するには、JupyterLab にアクセスする必要があるユーザーごとに、指定されたサービスアカウントに対する iam.serviceAccounts.actAs 権限を付与します。

サービスアカウントを使用して複数のユーザーにアクセス権を付与する

次の仕様で Vertex AI Workbench インスタンスを作成します。
1. [インスタンスを作成] ダイアログの [IAM とセキュリティ] セクションで、アクセスモードに [サービスアカウント] を選択します。
2. Compute Engine のデフォルトのサービスアカウントまたはカスタムサービスアカウントを選択します。
  - Compute Engine のデフォルトのサービスアカウントを使用するには、[Compute Engine のデフォルトのサービスアカウントを使用する] を選択します。
  - カスタムサービスアカウントを使用するには、[Compute Engine のデフォルトのサービスアカウントを使用する] をクリアし、[サービスアカウントのメールアドレス] フィールドにカスタムサービスアカウントのメールアドレスを入力します。
ダイアログの残りの部分を入力して、[作成] をクリックします。
JupyterLab にアクセスする必要があるユーザーごとに、サービスアカウントに対する iam.serviceAccounts.actAs 権限を付与します。

アクセスモードのメタデータ

Vertex AI Workbench インスタンスの作成時に構成するアクセスモードは、ノートブックメタデータに保存されます。

アクセスモードに [シングルユーザーのみ] を選択すると、Vertex AI Workbench は proxy-mode と proxy-user-mail の値を保存します。シングルユーザーアクセスのメタデータエントリの例を次に示します。

proxy-mode=mail
proxy-user-mail=user@example.com

アクセスモードに [サービスアカウント] を選択すると、Vertex AI Workbench は proxy-mode=service_account メタデータエントリを保存します。

次のステップ

プリンシパルに Vertex AI Workbench インスタンスへのアクセス権を付与する。
他の Google リソースへのアクセス権を付与する方法を確認する。他のリソースへのアクセス権の管理をご覧ください。