Control de acceso de notebooks administrados
En esta página, se describe cómo usar Identity and Access Management (IAM) y un modo de acceso para administrar el acceso a los recursos de notebooks administrados de Vertex AI Workbench. Para administrar el acceso a los recursos de Vertex AI, consulta la página de Vertex AI sobre el control de acceso.
Vertex AI Workbench usa IAM para administrar el acceso a instancias de notebooks administrados y un modo de acceso a fin de administrar el acceso a la interfaz de JupyterLab de cada instancia.
Controla el acceso a una instancia con IAM
Puedes administrar el acceso a una instancia de notebooks administrados a nivel de proyecto o por instancia.
- Para otorgar acceso a los recursos a nivel de proyecto, asigna uno o más roles a una principal (usuario, grupo o cuenta de servicio).
- Para otorgar acceso a una instancia específica, establece una política de IAM en ese recurso. La política define qué roles se asignan a qué principales. Para obtener más información, consulta Administra el acceso a una instancia de notebooks administrados.
El acceso a una instancia puede incluir una amplia variedad de capacidades. Por ejemplo, puedes otorgar a una principal la capacidad de iniciar, detener y actualizar una instancia. Sin embargo, incluso otorgar a una instancia principal acceso completo a una instancia de notebook administrada no otorga la capacidad de usar la interfaz de JupyterLab de la instancia. Consulta la siguiente sección.
Controla el acceso a la interfaz de JupyterLab de una instancia con el modo de acceso
Puedes controlar el acceso a la interfaz de JupyterLab de una instancia de notebooks administrados a través del modo de acceso de la instancia. Configuras un modo de acceso a JupyterLab cuando creas una instancia de notebooks administrados. El modo de acceso no se puede cambiar después de crear el notebook.
El modo de acceso de JupyterLab determina quién puede usar la interfaz de JupyterLab de la instancia. El modo de acceso también determina qué credenciales se usan cuando tu instancia interactúa con otros servicios de Google Cloud. Para obtener más información, consulta Administrar el acceso a la interfaz de JupyterLab de una instancia de notebooks administrados.
Tipos de roles de IAM
Hay diferentes tipos de roles de IAM que se pueden usar en Vertex AI Workbench:
Los roles predefinidos te permiten otorgar un conjunto de permisos relacionados con tus recursos de Vertex AI en el nivel del proyecto.
Los roles básicos (propietario, editor y visualizador) proporcionan control de acceso a tus recursos de Vertex AI Workbench en el nivel del proyecto y son comunes para todos los servicios de Google Cloud.
Los roles personalizados te permiten elegir un conjunto de permisos específico, crear tu propio rol con esos permisos y otorgarlo a los usuarios en tu organización.
Para agregar, actualizar o quitar estos roles en tu proyecto de Vertex AI Workbench, consulta la documentación sobre cómo administrar el acceso a proyectos, carpetas y organizaciones.
Roles predefinidos de Vertex AI Workbench
Los recursos de Vertex AI Workbench se administran a través de la API de Notebooks. Por lo tanto, lo roles de Notebooks definen los permisos y el acceso al uso de Vertex AI Workbench.
Role | Permissions |
---|---|
Notebooks Admin( Full access to Notebooks, all resources. Lowest-level resources where you can grant this role:
|
|
Notebooks Legacy Admin( Full access to Notebooks all resources through compute API. |
|
Notebooks Legacy Viewer( Read-only access to Notebooks all resources through compute API. |
|
Notebooks Runner( Restricted access for running scheduled Notebooks. |
|
Notebooks Viewer( Read-only access to Notebooks, all resources. Lowest-level resources where you can grant this role:
|
|
Roles básicos
Las funciones básicas anteriores de Google Cloud son comunes a todos los servicios de Google Cloud. Son los roles de propietario, editor y visualizador.
Los roles básicos proporcionan permisos en Google Cloud, no solo para Vertex AI. Por este motivo, deberías usar los roles de Vertex AI siempre que sea posible.
Roles personalizados
Si los roles predefinidos de IAM para la organización de Vertex AI no satisfacen tus necesidades, puedes definir roles personalizados. Los roles personalizados te permiten elegir un conjunto de permisos específico, crear tu propio rol con esos permisos y otorgarlo a los usuarios en tu organización. Para obtener más información, consulta Comprende los roles personalizados de IAM.
Acceso a nivel de proyecto versus políticas a nivel de recurso
Un recurso hereda todas las políticas de su principal.
Una política establecida a nivel de recursos no afecta las políticas a nivel de proyecto. Puedes usar el acceso a nivel de proyecto y las políticas a nivel de recurso para personalizar los permisos.
Por ejemplo, puedes otorgar a los usuarios permisos de roles/notebooks.viewer
a nivel de proyecto para que puedan ver todos los recursos de Vertex AI Workbench en el proyecto y, luego, puedes otorgar a cada usuario permisos de roles/notebooks.admin
en una instancia de notebook administrada específica a fin de que tengan todas las capacidades de admin
para administrar esa instancia.
No todos los roles y recursos predefinidos de Vertex AI Workbench admiten políticas a nivel de recurso. Para ver qué roles se pueden usar en qué recursos, consulta las descripciones de cada rol.
Los cambios en la capacidad de acceder a un recurso tardan en propagarse. Para obtener más información, consulta Propagación de cambios de acceso.
Acerca de las cuentas de servicio
Una cuenta de servicio es una cuenta especial que usa una aplicación o una instancia de máquina virtual (VM), no una persona. Puedes crear y asignar permisos a cuentas de servicio para proporcionar permisos específicos a un recurso o aplicación.
En una instancia de notebook administrada, si el notebook ejecuta código que interactúa con Vertex AI o algún otro servicio de Google Cloud, puedes usar una cuenta de servicio con roles específicos de IAM para autenticar la instancia de notebook administrada a esos servicios.
Las cuentas de servicio se identifican con una dirección de correo electrónico.
¿Qué sigue?
Otorga a una instancia principal acceso a una instancia de notebook administrado.
Obtén más información sobre cómo crear y administrar funciones personalizadas de IAM.