Gestire l'accesso all'interfaccia JupyterLab di un'istanza di blocchi note gestiti

Questa pagina descrive come concedere l'accesso all'interfaccia JupyterLab di un'istanza di notebook gestiti di Vertex AI Workbench.

Controlli l'accesso all'interfaccia JupyterLab di un'istanza di blocchi note gestiti tramite la modalità di accesso dell'istanza. Imposti una modalità di accesso JupyterLab quando crei un'istanza di blocchi note gestiti. La modalità di accesso non può essere modificata dopo la creazione del notebook.

La modalità di accesso a JupyterLab determina chi può utilizzare l'interfaccia JupyterLab dell'istanza. La modalità di accesso determina anche quali credenziali vengono utilizzate quando l'istanza interagisce con altri servizi Google Cloud .

Limitazioni di accesso

La concessione dell'accesso a un'entità all'interfaccia JupyterLab di un'istanza di notebook gestiti non concede l'accesso all'istanza stessa. Ad esempio, per avviare, arrestare o reimpostare un'istanza, devi concedere all'entità l'accesso per eseguire queste operazioni impostando un criterio IAM sull'istanza. Per concedere l'accesso all'istanza di blocchi note gestiti, vedi Gestire l'accesso a un'istanza di blocchi note gestiti.

Modalità di accesso a JupyterLab

Le istanze di blocchi note gestiti supportano le seguenti modalità di accesso:

• Solo utente singolo: la modalità di accesso Solo utente singolo concede l'accesso solo all'utente specificato.

• Service account: la modalità di accesso Service account concede l'accesso a un account di servizio. Puoi concedere l'accesso a uno o più utenti tramite questoaccount di serviziot.

Solo utente singolo

Quando crei un'istanza di blocchi note gestiti con accesso Solo utente singolo, specifichi un account utente. L'account utente specificato è l'unico utente con accesso all'interfaccia JupyterLab. Se l'istanza deve accedere ad altre risorse Google Cloud , questo account utente deve avere accesso anche a queste risorse Google Cloud .

Concedere l'accesso a un singolo utente

Per concedere l'accesso a un singolo utente, completa i seguenti passaggi.

1. Crea un'istanza di notebook gestiti con le seguenti specifiche:

   1. Nella finestra di dialogo Crea istanza, nella sezione IAM e sicurezza, seleziona la modalità di accesso Solo singolo utente.

   2. Nel campo Email utente, inserisci l'account utente a cui vuoi concedere l'accesso.

2. Completa il resto della finestra di dialogo e poi fai clic su Crea.

Service account

Quando crei un'istanza di Managed Notebooks con accesso Service Account, devi specificare unaccount di serviziot. Se l'istanza deve accedere ad altre risorse Google, anche questaccount di serviziont deve avere accesso a queste risorse Google.

Quando specifichi un account di servizio, scegli una delle seguenti opzioni:

• Seleziona l'account di servizio predefinito di Compute Engine.
• Specifica un account di servizio personalizzato. Il account di servizio personalizzato deve trovarsi nello stesso progetto dell'istanza di Managed Notebooks. Per creare l'istanza, devi disporre dell'autorizzazione iam.serviceAccounts.actAs per il account di servizio.

Per concedere l'accesso agli utenti tramite un service account, concedi l'autorizzazione iam.serviceAccounts.actAs per l'account di servizio specificato per ogni utente che deve accedere a JupyterLab.

Concedere l'accesso a più utenti tramite un account di servizio

1. Crea un'istanza di notebook gestiti con le seguenti specifiche:

   1. Nella finestra di dialogo Crea istanza, nella sezione IAM e sicurezza, seleziona la modalità di accesso Service account.

   2. Scegli il account di servizio predefinito di Compute Engine o un service account personalizzato.

      • Per utilizzare il account di servizio Compute Engine predefinito, seleziona Usa service account Compute Engine predefinito.

      • Per utilizzare un account di servizio personalizzato, deseleziona Usa il service account predefinito di Compute Engine e poi, nel campo Email service account, inserisci l'indirizzo email del account di servizio personalizzato.

2. Completa il resto della finestra di dialogo e poi fai clic su Crea.

3. Per ogni utente che deve accedere a JupyterLab, concedi l'autorizzazione iam.serviceAccounts.actAs per il tuo service account.

Metadati della modalità di accesso

La modalità di accesso che configuri durante la creazione dell'istanza di notebook gestiti viene memorizzata nei metadati del notebook.

Quando selezioni la modalità di accesso Solo utente singolo, Vertex AI Workbench memorizza un valore per proxy-mode e proxy-user-mail. Di seguito sono riportati alcuni esempi di voci di metadati di accesso per un singolo utente:

• proxy-mode=mail
• proxy-user-mail=user@example.com

Quando selezioni la modalità di accesso Service account, Vertex AI Workbench memorizza una voce di metadati proxy-mode=service_account.

Passaggi successivi

• Concedi a un principal l'accesso a un'istanza di blocchi note gestiti.

• Per scoprire come concedere l'accesso ad altre risorse Google, consulta Gestire l'accesso ad altre risorse.