Controle de acesso de notebooks gerenciados
Nesta página, descrevemos como usar o Identity and Access Management (IAM) e um modo de acesso para gerenciar o acesso aos recursos de notebooks gerenciados do Vertex AI Workbench. Para gerenciar o acesso aos recursos da Vertex AI, consulte a página da Vertex AI sobre controle de acesso.
O Vertex AI Workbench usa o IAM para gerenciar o acesso a instâncias de notebooks gerenciados e um modo de acesso para gerenciar o acesso à interface do JupyterLab de cada instância.
Controlar o acesso a uma instância com o IAM
É possível gerenciar o acesso a uma instância de notebooks gerenciados no nível do projeto ou por instância.
- Para conceder acesso a recursos no nível do projeto, atribua um ou mais papéis a um principal (usuário, grupo ou conta de serviço).
- Para conceder acesso a uma instância específica, defina uma política do IAM nesse recurso. A política define quais papéis são atribuídos a quais principais. Para saber mais, consulte Gerenciar o acesso a uma instância de notebooks gerenciados.
O acesso a uma instância pode incluir uma ampla variedade de habilidades. Por exemplo, é possível conceder a um principal a capacidade de iniciar, interromper e fazer upgrade de uma instância. No entanto, o acesso total de um principal a uma instância de notebooks gerenciados não inclui a capacidade de usar a interface JupyterLab da instância. Consulte a seção a seguir.
Controlar o acesso à interface do JupyterLab de uma instância com o modo de acesso
Você controla o acesso à interface JupyterLab de uma instância de notebooks gerenciados pelo usuário usando o modo de acesso da instância. Você define um modo de acesso JupyterLab quando cria uma instância de notebook gerenciada pelo usuário. Não é possível alterar o modo de acesso após a criação do notebook.
O modo de acesso do JupyterLab determina quem pode usar a interface JupyterLab da instância. O modo de acesso também determina quais credenciais são usadas quando a instância interage com outros serviços do Google Cloud. Para saber mais, consulte Gerenciar o acesso a uma interface JupyterLab de uma instância de notebooks gerenciados.
Tipos de papéis do IAM
Há diferentes tipos de papéis do IAM que podem ser usados na Vertex AI:
Os papéis predefinidos permitem conceder um conjunto de permissões relacionadas aos recursos da Vertex AI no nível do projeto.
Os papéis básicos (proprietário, editor e visualizador) fornecem controle de acesso aos recursos da Vertex AI no nível do projeto e são comuns a todos os serviços do Google Cloud.
Os papéis personalizados permitem escolher um conjunto específico de permissões, criar seu próprio papel com elas e concedê-lo aos usuários da organização.
Para adicionar, atualizar ou remover esses papéis no projeto do Vertex AI Workbench, consulte a documentação sobre como gerenciar o acesso a projetos, pastas e organizações.
Papéis predefinidos para o Vertex AI Workbench
Os recursos do Vertex AI Workbench são gerenciados pela API Notebooks. Portanto, os papéis do Notebooks definem permissões e acesso ao uso do Vertex AI Workbench.
| Role | Permissions |
|---|---|
Notebooks Admin( Full access to Notebooks, all resources. Lowest-level resources where you can grant this role:
|
|
Notebooks Legacy Admin( Full access to Notebooks all resources through compute API. |
|
Notebooks Legacy Viewer( Read-only access to Notebooks all resources through compute API. |
|
Notebooks Runner( Restricted access for running scheduled Notebooks. |
|
Notebooks Viewer( Read-only access to Notebooks, all resources. Lowest-level resources where you can grant this role:
|
|
Papéis básicos
Os papéis básicos mais antigos do Google Cloud são comuns a todos os serviços do Google Cloud. Esses papéis são de Proprietário, Editor e Visualizador.
Os papéis básicos fornecem permissões em todo o Google Cloud, não apenas no Vertex AI Workbench. Por esse motivo, use os papéis da Vertex AI Workbench sempre que possível.
Papéis personalizados
Se os papéis predefinidos do IAM para a Vertex AI Workbench não atenderem às suas necessidades, é possível definir papéis personalizados. Os papéis personalizados permitem escolher um conjunto específico de permissões, criar seu próprio papel com elas e concedê-lo aos usuários da organização. Para mais informações, consulte Noções básicas sobre papéis personalizados do IAM.
Acesso no nível do projeto e políticas no nível do recurso
Um recurso herda todas as políticas do
ancestral.
Uma política definida no nível do recurso não
afeta as políticas no nível do projeto. É possível usar o acesso no nível do projeto e as
políticas no nível do recurso para personalizar as permissões.
Por exemplo, você pode conceder permissões roles/notebooks.viewer no nível do
projeto para os usuários explorarem todos os recursos do Vertex AI Workbench
e, em seguida, conceder permissões roles/notebooks.admin a cada usuário
em uma instância específica de notebooks gerenciados para que eles
tenham todas as capacidades de um admin para administrar essa instância.
Nem todos os recursos e papéis predefinidos do Vertex AI Workbench suportam políticas no nível do recurso. Para saber quais papéis podem ser usados em quais recursos, confira as descrições de cada papel.
As mudanças no acesso a um recurso levam algum tempo para serem propagadas. Para mais informações, consulte Propagação de alteração de acesso.
Sobre contas de serviço
Uma conta de serviço é um tipo especial de conta usada por um aplicativo ou instância de máquina virtual (VM), não uma pessoa. É possível criar e atribuir permissões a contas de serviço para conceder permissões específicas a um recurso ou aplicativo.
Em uma instância de notebooks gerenciados, se o notebook executar um código que interage com a Vertex AI ou outros serviços do Google Cloud, você pode usar uma conta de serviço com papéis do IAM específicos para autenticar essa instância nesses serviços.
As contas de serviço são identificadas por um endereço de e-mail.
A seguir
Conceder a um principal o acesso a uma instância de notebooks gerenciados pelo usuário.
Saiba como criar e gerenciar papéis personalizados de IAM.