Gestisci l'accesso a un'istanza
Questa guida descrive come concedere l'accesso a di una specifica istanza di Vertex AI Workbench. Per gestire l'accesso alle risorse Vertex AI, consulta la pagina di Vertex AI sul controllo dell'accesso.
Per concedere l'accesso a un'istanza di Vertex AI Workbench, imposta un Criterio IAM (Identity and Access Management) dell'istanza. Il criterio vincola una o più entità, ad esempio un utente o un a uno o più account di servizio, roles. Ogni ruolo contiene un elenco di autorizzazioni che consentono all'entità di interagire con l'istanza.
Puoi concedere l'accesso a un'istanza, anziché a una risorsa padre come un progetto, una cartella o un'organizzazione, per principio del privilegio minimo.
Se concedi l'accesso a un risorsa padre (ad esempio, a un progetto), concedi implicitamente l'accesso a tutti i suoi (ad esempio, tutte le istanze di quel progetto). Per limitare l'accesso a di risorse, impostano criteri IAM su risorse di livello inferiore anziché a livello di progetto o di livello superiore.
Per informazioni generali su come concedere, modificare e revocare l'accesso a non correlate a Vertex AI Workbench, ad esempio, per concedere l'accesso un progetto Google Cloud, consulta la documentazione IAM per la gestione dell'accesso a progetti, cartelle per le organizzazioni.
Limitazioni di accesso
L'accesso a un'istanza può includere una vasta gamma di funzionalità, sul ruolo assegnato all'entità. Ad esempio: puoi concedere a un'entità la possibilità di avviare, arrestare, eseguire l'upgrade per monitorare lo stato di integrità di un'istanza. Per l'elenco completo Autorizzazioni IAM disponibili. Vedi Impostazioni predefinite IAM di Vertex AI Workbench ruoli.
Tuttavia, anche la concessione di un'entità di accesso completo un'istanza di Vertex AI Workbench non concede la possibilità di utilizzare l'interfaccia JupyterLab dell'istanza. Per concedere l'accesso all'interfaccia JupyterLab, consulta Gestisci l'accesso allo spazio di archiviazione Interfaccia JupyterLab.
Concedi l'accesso alle istanze di Vertex AI Workbench
Concedere agli utenti l'autorizzazione ad accedere di una specifica istanza di Vertex AI Workbench, e impostare un criterio IAM per l'istanza.
gcloud
Per concedere un ruolo a un'entità in
per un'istanza di Vertex AI Workbench, utilizza
get-iam-policy
per recuperare il criterio corrente,
modifica l'accesso del criterio corrente, quindi utilizza
set-iam-policy
per aggiornare il criterio nell'istanza.
Recupera il criterio attuale
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
- INSTANCE_NAME: il nome dell'istanza
- PROJECT_ID: l'ID del tuo progetto Google Cloud
- ZONE: la zona in cui si trova l'istanza
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud workbench instances get-iam-policy INSTANCE_NAME --project=PROJECT_ID --location=ZONE
Windows (PowerShell)
gcloud workbench instances get-iam-policy INSTANCE_NAME --project=PROJECT_ID --location=ZONE
Windows (cmd.exe)
di Gemini Advanced.gcloud workbench instances get-iam-policy INSTANCE_NAME --project=PROJECT_ID --location=ZONE
{ "bindings": [ { "role": "roles/notebooks.viewer", "members": [ "user:email@example.com" ] } ], "etag": "BwWWja0YfJA=", "version": 3 }
Modifica il criterio
Modifica il criterio con un editor di testo per aggiungere o rimuovere entità e i relativi ruoli associati. Ad esempio, per concedere il ruolo
notebooks.admin
aeve@example.com
, aggiungi la seguente nuova associazione al criterio nella sezione"bindings"
:{ "role": "roles/notebooks.admin", "members": [ "user:eve@example.com" ] }
Dopo aver aggiunto la nuova associazione, il criterio potrebbe avere il seguente aspetto:
{ "bindings": [ { "role": "roles/notebooks.viewer", "members": [ "user:email@example.com" ] }, { "role": "roles/notebooks.admin", "members": [ "user:eve@example.com" ] } ], "etag": "BwWWja0YfJA=", "version": 3 }
Salva il criterio aggiornato in un file denominato
request.json
.
Aggiorna il criterio nell'istanza
Nel corpo della richiesta, fornisci i dati IAM aggiornati
criterio del passaggio precedente, nidificato all'interno di una sezione "policy"
.
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
- INSTANCE_NAME: il nome dell'istanza
- PROJECT_ID: l'ID del tuo progetto Google Cloud
- ZONE: la zona in cui si trova l'istanza
Salva i seguenti contenuti in un file denominato request.json
:
{ "policy": { "bindings": [ { "role": "roles/notebooks.viewer", "members": [ "user:email@example.com" ] }, { "role": "roles/notebooks.admin", "members": [ "user:eve@example.com" ] } ], "etag": "BwWWja0YfJA=", "version": 3 } }
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud workbench instances set-iam-policy INSTANCE_NAME --project=PROJECT_ID --location=ZONE request.json --format=json
Windows (PowerShell)
gcloud workbench instances set-iam-policy INSTANCE_NAME --project=PROJECT_ID --location=ZONE request.json --format=json
Windows (cmd.exe)
gcloud workbench instances set-iam-policy INSTANCE_NAME --project=PROJECT_ID --location=ZONE request.json --format=json
Concedi l'accesso all'interfaccia JupyterLab
Quando si concede l'accesso a un'entità a un'istanza di Vertex AI Workbench non concede la possibilità di utilizzare l'interfaccia JupyterLab dell'istanza. Per concedere l'accesso all'interfaccia JupyterLab, consulta Gestire l'accesso a un dell'istanza di Vertex AI Workbench Interfaccia JupyterLab.
API
Per concedere un ruolo a un'entità in
per un'istanza di Vertex AI Workbench, utilizza
getIamPolicy
per recuperare il criterio corrente,
modifica l'accesso del criterio corrente, quindi utilizza
setIamPolicy
per aggiornare il criterio nell'istanza.
Recupera il criterio attuale
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- INSTANCE_NAME: il nome dell'istanza
Metodo HTTP e URL:
GET https://notebooks.googleapis.com/v2/INSTANCE_NAME:getIamPolicy
Per inviare la richiesta, scegli una delle seguenti opzioni:
curl
Esegui questo comando:
curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://notebooks.googleapis.com/v2/INSTANCE_NAME:getIamPolicy"
PowerShell
Esegui questo comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method GET `
-Headers $headers `
-Uri "https://notebooks.googleapis.com/v2/INSTANCE_NAME:getIamPolicy" | Select-Object -Expand Content
{ "bindings": [ { "role": "roles/notebooks.viewer", "members": [ "user:email@example.com" ] } ], "etag": "BwWWja0YfJA=", "version": 3 }
Modifica il criterio
Modifica il criterio con un editor di testo per aggiungere o rimuovere entità e i relativi
ruoli associati. Ad esempio, per concedere il ruolo notebooks.admin
a
eve@example.com, aggiungi la nuova associazione seguente al criterio
nella sezione "bindings"
:
{
"role": "roles/notebooks.admin",
"members": [
"user:eve@example.com"
]
}
Dopo aver aggiunto la nuova associazione, il criterio potrebbe avere il seguente aspetto:
{
"bindings": [
{
"role": "roles/notebooks.viewer",
"members": [
"user:email@example.com"
]
},
{
"role": "roles/notebooks.admin",
"members": [
"user:eve@example.com"
]
}
],
"etag": "BwWWja0YfJA=",
"version": 3
}
Aggiorna il criterio nell'istanza
Nel corpo della richiesta, fornisci i dati IAM aggiornati
criterio del passaggio precedente, nidificato all'interno di una sezione "policy"
.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- INSTANCE_NAME: il nome dell'istanza
Metodo HTTP e URL:
POST https://notebooks.googleapis.com/v2/INSTANCE_NAME:setIamPolicy
Corpo JSON della richiesta:
{ "policy": { "bindings": [ { "role": "roles/notebooks.viewer", "members": [ "user:email@example.com" ] }, { "role": "roles/notebooks.admin", "members": [ "user:eve@example.com" ] } ], "etag": "BwWWja0YfJA=", "version": 3 } }
Per inviare la richiesta, scegli una delle seguenti opzioni:
curl
Salva il corpo della richiesta in un file denominato request.json
.
ed esegui questo comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://notebooks.googleapis.com/v2/INSTANCE_NAME:setIamPolicy"
PowerShell
Salva il corpo della richiesta in un file denominato request.json
.
ed esegui questo comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://notebooks.googleapis.com/v2/INSTANCE_NAME:setIamPolicy" | Select-Object -Expand Content
Dovresti ricevere un codice di stato di operazione riuscita (2xx) e una risposta vuota.
Concedi l'accesso all'interfaccia JupyterLab
Quando si concede l'accesso a un'entità a un'istanza di Vertex AI Workbench non concede la possibilità di utilizzare l'interfaccia JupyterLab dell'istanza. Per concedere l'accesso all'interfaccia JupyterLab, consulta Gestisci l'accesso allo spazio di archiviazione Interfaccia JupyterLab.
Passaggi successivi
Per saperne di più su Identity and Access Management (IAM) e su come I ruoli IAM possono aiutare a concedere e limitare l'accesso, consulta la documentazione IAM.
Scopri di più sui ruoli IAM disponibili a Vertex AI Workbench.
Scopri come creare e gestire ruoli personalizzati.
Per scoprire come concedere l'accesso ad altre risorse Google, consulta Gestisci l'accesso a altre risorse.