Zugriff auf die JupyterLab-Schnittstelle einer verwalteten Notebook-Instanz verwalten
Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf die JupyterLab-Benutzeroberfläche einer von Vertex AI Workbench verwalteten Notebooks-Instanz gewähren.
Sie steuern den Zugriff auf die JupyterLab-Schnittstelle einer verwalteten Notebook-Instanz über den Zugriffsmodus der Instanz. Sie legen den Zugriffsmodus für JupyterLab fest, wenn Sie eine verwaltete Notebookinstanz erstellen. Der Zugriffsmodus kann nach dem Erstellen des Notebooks nicht mehr geändert werden.
Der Zugriffsmodus für JupyterLab bestimmt, wer die JupyterLab-Schnittstelle der Instanz verwenden kann. Der Zugriffsmodus legt auch fest, welche Anmeldedaten verwendet werden, wenn Ihre Instanz mit anderen Google Cloud-Diensten interagiert.
Zugriffsbeschränkungen
Wenn Sie einem Hauptkonto Zugriff auf die JupyterLab-Schnittstelle einer verwalteten Notebook-Instanz gewähren, wird der Zugriff auf die Instanz selbst nicht gewährt. Wenn Sie beispielsweise eine Instanz starten, stoppen oder zurücksetzen möchten, müssen Sie dem Hauptkonto Zugriff gewähren, um diese Vorgänge auszuführen. Dazu legen Sie eine IAM-Richtlinie für die Instanz fest. Informationen zum Gewähren des Zugriffs auf die Instanz mit verwalteten Notebooks finden Sie unter Zugriff auf eine Instanz mit verwalteten Notebooks verwalten.
JupyterLab-Zugriffsmodi
Verwaltete Notebookinstanzen unterstützen die folgenden Zugriffsmodi:
Nur einzelner Nutzer: Der Zugriffsmodus Nur einzelner Nutzer gewährt nur Zugriff auf den von Ihnen angegebenen Nutzer.
Dienstkonto: Der Zugriffsmodus Dienstkonto gewährt Zugriff auf ein Dienstkonto. Über dieses Dienstkonto können Sie einem oder mehreren Nutzern Zugriff gewähren.
Nur einzelner Nutzer
Wenn Sie eine verwaltete Notebookinstanz mit dem Zugriff Nur einzelner Nutzer erstellen, geben Sie ein Nutzerkonto an. Das angegebene Nutzerkonto ist der einzige Nutzer mit Zugriff auf die JupyterLab-Benutzeroberfläche. Wenn die Instanz auf andere Google Cloud-Ressourcen zugreifen muss, muss das Nutzerkonto auch Zugriff auf diese Google Cloud-Ressourcen haben.
Einzelnen Nutzern Zugriff gewähren
Führen Sie die folgenden Schritte aus, um einem einzelnen Nutzer Zugriff zu gewähren.
Erstellen Sie eine verwaltete Notebookinstanz mit den folgenden Spezifikationen:
Wählen Sie im Dialogfeld Instanz erstellen im Abschnitt IAM und Sicherheit den Zugriffsmodus Nur einzelner Nutzer aus.
Geben Sie im Feld E-Mail-Adresse des Nutzers das Nutzerkonto ein, dem Sie Zugriff gewähren möchten.
Vervollständigen Sie den Rest des Dialogfelds und klicken Sie auf Erstellen.
Dienstkonto
Wenn Sie eine verwaltete Notebookinstanz mit dem Zugriff Dienstkonto erstellen, geben Sie ein Dienstkonto an. Wenn die Instanz auf andere Google-Ressourcen zugreifen muss, muss das Dienstkonto auch Zugriff auf diese Google-Ressourcen haben.
Wenn Sie ein Dienstkonto angeben, wählen Sie eine der folgenden Optionen aus:
- Wählen Sie das Compute Engine-Standarddienstkonto aus.
- Geben Sie ein benutzerdefiniertes Dienstkonto. Das benutzerdefinierte Dienstkonto muss sich im selben Projekt wie die verwaltete Notebookinstanz befinden.
Zum Erstellen der Instanz benötigen Sie die Berechtigung
iam.serviceAccounts.actAs
für das Dienstkonto.
Wenn Sie Nutzern über ein Dienstkonto Zugriff gewähren möchten, erteilen Sie jedem Nutzer, der auf JupyterLab zugreifen muss, die Berechtigung iam.serviceAccounts.actAs
für das angegebene Dienstkonto.
Mehreren Nutzern über ein Dienstkonto Zugriff gewähren
Erstellen Sie eine verwaltete Notebookinstanz mit den folgenden Spezifikationen:
Wählen Sie im Dialogfeld Instanz erstellen im Abschnitt IAM und Sicherheit den Zugriffsmodus Dienstkonto aus.
Wählen Sie das Compute Engine-Standarddienstkonto oder ein benutzerdefiniertes Dienstkonto aus.
Wählen Sie Compute Engine-Standarddienstkonto verwenden aus, um das Compute Engine-Standarddienstkonto zu verwenden.
Wenn Sie ein benutzerdefiniertes Dienstkonto verwenden möchten, deaktivieren Sie Compute Engine-Standarddienstkonto verwenden und geben Sie dann im Feld E-Mail-Adresse des Dienstkontos die E-Mail-Adresse Ihres benutzerdefinierten Dienstkontos ein.
Vervollständigen Sie den Rest des Dialogfelds und klicken Sie auf Erstellen.
Metadaten für Zugriffsmodus
Der Zugriffsmodus, den Sie beim Erstellen der Instanz mit verwalteten Notebooks konfigurieren, wird in den Notebook-Metadaten gespeichert.
Wenn Sie den Zugriffsmodus Nur einzelner Nutzer auswählen, speichert Vertex AI Workbench einen Wert für proxy-mode
und proxy-user-mail
.
Im Folgenden finden Sie Beispiele für Metadateneinträge für einzelne Nutzerzugriffe:
proxy-mode=mail
proxy-user-mail=user@example.com
Wenn Sie den Zugriffsmodus Dienstkonto auswählen, speichert Vertex AI Workbench einen Metadateneintrag proxy-mode=service_account
.
Nächste Schritte
Einem Hauptkonto Zugriff auf eine verwaltete Notebookinstanz gewähren.
Informationen zum Gewähren des Zugriffs auf andere Google-Ressourcen finden Sie unter Zugriff auf andere Ressourcen verwalten.