Kontrol akses notebook terkelola
Halaman ini menjelaskan cara menggunakan Identity and Access Management (IAM) dan mode akses untuk mengelola akses ke resource notebook terkelola Vertex AI Workbench. Untuk mengelola akses ke resource Vertex AI, lihat halaman Vertex AI tentang kontrol akses.
Vertex AI Workbench menggunakan IAM untuk mengelola akses ke instance notebook terkelola dan mode akses untuk mengelola akses ke antarmuka JupyterLab setiap instance.
Mengontrol akses ke instance dengan IAM
Anda dapat mengelola akses ke instance notebook terkelola di level project atau per instance.
- Untuk memberikan akses ke resource di level project, tetapkan satu atau beberapa peran ke akun utama (pengguna, grup, atau akun layanan).
- Untuk memberikan akses ke instance tertentu, tetapkan kebijakan IAM pada resource tersebut. Kebijakan ini menentukan peran yang ditetapkan ke akun utama. Untuk mempelajari lebih lanjut, lihat Mengelola akses ke instance notebook terkelola.
Akses ke instance dapat mencakup berbagai kemampuan. Misalnya, Anda dapat memberi akun utama kemampuan untuk memulai, menghentikan, dan mengupgrade instance. Namun, akses penuh ke instance notebook terkelola yang diberikan kepada akun utama tidak serta-merta memberikan kemampuan untuk menggunakan antarmuka JupyterLab instance. Lihat bagian berikut.
Mengontrol akses ke antarmuka JupyterLab instance dengan mode akses
Anda dapat mengontrol akses ke antarmuka JupyterLab instance notebook terkelola melalui mode akses instance. Anda menetapkan mode akses JupyterLab saat membuat instance notebook terkelola. Mode akses tidak dapat diubah setelah notebook dibuat.
Mode akses JupyterLab menentukan siapa yang dapat menggunakan antarmuka JupyterLab instance. Mode akses juga menentukan kredensial yang digunakan ketika instance Anda berinteraksi dengan layanan Google Cloud lainnya. Untuk mempelajari lebih lanjut, lihat Mengelola akses ke antarmuka JupyterLab instance notebook terkelola.
Jenis peran IAM
Ada berbagai jenis peran IAM yang dapat digunakan di Vertex AI Workbench:
Peran yang telah ditetapkan memungkinkan Anda memberikan sekumpulan izin terkait ke resource Vertex AI Workbench di level project.
Peran dasar (Pemilik, Editor, dan Viewer) memberikan kontrol akses ke resource Vertex AI Workbench pada level project, dan bersifat umum untuk semua layanan Google Cloud.
Peran khusus memungkinkan Anda memilih sekumpulan izin tertentu, membuat peran Anda sendiri dengan izin tersebut, dan memberikan peran tersebut kepada pengguna di organisasi Anda.
Untuk menambahkan, memperbarui, atau menghapus peran ini dalam project Vertex AI Workbench, lihat dokumentasi tentang mengelola akses ke project, folder, dan organisasi.
Peran yang telah ditetapkan untuk Vertex AI Workbench
Resource Vertex AI Workbench dikelola melalui Notebooks API. Oleh karena itu, peran Notebooks menentukan izin dan akses ke penggunaan Vertex AI Workbench.
Role | Permissions |
---|---|
Notebooks Admin( Full access to Notebooks, all resources. Lowest-level resources where you can grant this role:
|
|
Notebooks Legacy Admin( Full access to Notebooks all resources through compute API. |
|
Notebooks Legacy Viewer( Read-only access to Notebooks all resources through compute API. |
|
Notebooks Runner( Restricted access for running scheduled Notebooks. |
|
Notebooks Viewer( Read-only access to Notebooks, all resources. Lowest-level resources where you can grant this role:
|
|
Peran dasar
Peran dasar Google Cloud yang lama bersifat umum untuk semua layanan Google Cloud. Peran ini terdiri dari Pemilik, Editor, dan Viewer.
Peran dasar memberikan izin di seluruh Google Cloud, tidak hanya untuk Vertex AI Workbench. Karena alasan ini, Anda harus menggunakan peran Vertex AI Workbench jika memungkinkan.
Peran khusus
Jika peran IAM yang telah ditetapkan untuk Vertex AI Workbench tidak memenuhi kebutuhan Anda, Anda dapat menentukan peran khusus. Peran khusus memungkinkan Anda memilih sekumpulan izin tertentu, membuat peran Anda sendiri dengan izin tersebut, dan memberikan peran tersebut kepada pengguna di organisasi Anda. Untuk informasi selengkapnya, lihat Memahami peran khusus IAM.
Akses level project versus kebijakan level resource
Resource mewarisi semua kebijakan dari
ancestrinya.
Kebijakan yang ditetapkan di level resource tidak
memengaruhi kebijakan level project. Anda dapat menggunakan kebijakan akses level project dan
level resource untuk menyesuaikan izin.
Misalnya, Anda dapat memberi pengguna izin roles/notebooks.viewer
di level project sehingga mereka dapat melihat semua
resource Vertex AI Workbench dalam project,
lalu Anda dapat memberikan roles/notebooks.admin
kepada setiap pengguna izin pada instance notebook terkelola tertentu sehingga memiliki semua kemampuan admin
untuk mengelola instance tersebut.
Tidak semua peran dan resource Vertex AI Workbench yang telah ditetapkan mendukung kebijakan level resource. Untuk mengetahui peran yang dapat digunakan di resource tertentu, lihat deskripsi untuk setiap peran.
Perubahan kemampuan untuk mengakses resource memerlukan waktu untuk diterapkan. Untuk mengetahui informasi selengkapnya, lihat Proagasi perubahan akses.
Tentang akun layanan
Akun layanan adalah akun khusus yang digunakan oleh aplikasi atau instance mesin virtual (VM), bukan orang. Anda dapat membuat dan menetapkan izin ke akun layanan untuk memberikan izin khusus ke resource atau aplikasi.
Dalam instance notebook terkelola, jika notebook Anda menjalankan kode yang berinteraksi dengan Vertex AI atau layanan Google Cloud lainnya, Anda dapat menggunakan akun layanan dengan peran IAM tertentu untuk mengautentikasi instance notebook terkelola Anda ke layanan tersebut.
Akun layanan diidentifikasi dengan alamat email
Langkah selanjutnya
Pelajari cara membuat dan mengelola peran IAM kustom.