管理代管型筆記本執行個體 JupyterLab 介面的存取權

本頁面說明如何授予 Vertex AI Workbench 代管型筆記本執行個體的 JupyterLab 介面存取權。

您可以透過執行個體的存取模式,控管代管型筆記本執行個體 JupyterLab 介面的存取權。建立代管型筆記本執行個體時,您可以設定 JupyterLab 存取模式。筆記本建立後即無法變更存取模式。

JupyterLab 存取模式會決定誰可以使用執行個體的 JupyterLab 介面。存取模式也會決定執行個體與其他 Google Cloud 服務互動時使用的憑證。

存取限制

授予主體存取代管筆記本執行個體 JupyterLab 介面的權限,並不會授予存取執行個體本身的權限。舉例來說,如要啟動、停止或重設執行個體,您必須在執行個體上設定 IAM 政策,授予主體執行這些作業的存取權。如要授予代管筆記本執行個體的存取權,請參閱「管理代管筆記本執行個體的存取權」。

JupyterLab 存取模式

代管筆記本執行個體支援下列存取模式:

  • 僅限單一使用者:「僅限單一使用者」存取模式只會授予您指定的使用者存取權。

  • 服務帳戶:「服務帳戶」存取模式會授予服務帳戶存取權。您可以透過這個服務帳戶,授予一或多位使用者存取權。

僅限單一使用者

使用「僅限單一使用者」存取權建立受管理筆記本執行個體時,您需要指定使用者帳戶。只有指定的使用者帳戶可以存取 JupyterLab 介面。如果執行個體需要存取其他 Google Cloud 資源,這個使用者帳戶也必須有權存取這些 Google Cloud 資源。

將存取權授予單一使用者

如要授予單一使用者存取權,請完成下列步驟。

  1. 建立代管型筆記本執行個體,並符合下列規格:

    1. 在「建立執行個體」對話方塊的「IAM 和安全性」部分,選取「僅限單一使用者」存取模式。

    2. 在「使用者電子郵件」欄位中,輸入要授予存取權的使用者帳戶。

  2. 完成對話方塊的其餘部分,然後按一下「建立」

服務帳戶

使用「服務帳戶」存取權建立代管筆記本執行個體時,您會指定服務帳戶。如果執行個體需要存取其他 Google 資源,這個服務帳戶也必須具備這些 Google 資源的存取權。

指定服務帳戶時,請選擇下列其中一個選項:

  • 選取 Compute Engine 預設服務帳戶。
  • 指定自訂服務帳戶。自訂服務帳戶必須與受管理筆記本執行個體位於同一個專案。如要建立執行個體,您必須具備服務帳戶的 iam.serviceAccounts.actAs 權限。

如要透過服務帳戶授予使用者存取權,請為每個需要存取 JupyterLab 的使用者,授予指定服務帳戶的 iam.serviceAccounts.actAs 權限。

透過服務帳戶授予多位使用者存取權

  1. 建立代管型筆記本執行個體,並符合下列規格:

    1. 在「建立執行個體」對話方塊的「IAM 和安全性」專區中,選取「服務帳戶」存取模式。

    2. 選擇 Compute Engine 預設服務帳戶或自訂服務帳戶

      • 如要使用 Compute Engine 預設服務帳戶,請選取「Use Compute Engine default service account」(使用 Compute Engine 預設服務帳戶)

      • 如要使用自訂服務帳戶,請取消勾選「使用 Compute Engine 預設服務帳戶」,然後在「服務帳戶電子郵件地址」欄位中,輸入自訂服務帳戶的電子郵件地址。

  2. 完成對話方塊的其餘部分,然後按一下「建立」

  3. 為需要存取 JupyterLab 的每位使用者授予服務帳戶的 iam.serviceAccounts.actAs 權限

存取模式中繼資料

您在建立受管理筆記本執行個體時設定的存取模式,會儲存在筆記本中繼資料中。

選取「僅限單一使用者」存取模式時,Vertex AI Workbench 會儲存 proxy-modeproxy-user-mail 的值。以下是單一使用者存取中繼資料項目的範例:

  • proxy-mode=mail
  • proxy-user-mail=user@example.com

選取「服務帳戶」存取模式時,Vertex AI Workbench 會儲存 proxy-mode=service_account 中繼資料項目。

後續步驟