Questa pagina è stata tradotta dall'API Cloud Translation.

Gestisci l'accesso a un'istanza di blocchi note gestiti

Questa guida descrive come concedere l'accesso a specifica istanza di blocchi note gestiti da Vertex AI Workbench. Per gestire l'accesso alle risorse Vertex AI, consulta la pagina di Vertex AI sul controllo dell'accesso.

Per concedere l'accesso a un'istanza di blocchi note gestiti, imposta un Criterio IAM (Identity and Access Management) dell'istanza. Il criterio vincola una o più entità, ad esempio un utente o un a uno o più account di servizio, roles. Ogni ruolo contiene un elenco di autorizzazioni che consentono all'entità di interagire con l'istanza.

Puoi concedere l'accesso a un'istanza, anziché a una risorsa padre come un progetto, una cartella o un'organizzazione, per principio del privilegio minimo.

Se concedi l'accesso a un risorsa padre (ad esempio, a un progetto), concedi implicitamente l'accesso a tutti i suoi risorse (ad esempio, tutte le istanze di quel progetto). Per limitare l'accesso a di risorse, impostano criteri IAM su risorse di livello inferiore anziché a livello di progetto o di livello superiore.

Per informazioni generali su come concedere, modificare e revocare l'accesso a non correlate a Vertex AI Workbench, ad esempio, per concedere l'accesso un progetto Google Cloud, consulta la documentazione IAM per Concessione, modifica e revoca dell'accesso alle risorse.

Limitazioni di accesso

L'accesso a un'istanza può includere una vasta gamma di funzionalità, sul ruolo assegnato all'entità. Ad esempio: puoi concedere a un'entità la possibilità di avviare, arrestare, eseguire l'upgrade per monitorare lo stato di integrità di un'istanza. Per l'elenco completo Autorizzazioni IAM disponibili. Vedi Impostazioni predefinite IAM blocchi note gestiti ruoli.

Tuttavia, anche la concessione di un'entità di accesso completo un'istanza di blocchi note gestiti non concede la possibilità di utilizzare l'interfaccia JupyterLab dell'istanza. Per concedere l'accesso all'interfaccia JupyterLab, consulta Gestire l'accesso a un dell'istanza di blocco note gestito Interfaccia JupyterLab.

Concedi l'accesso alle istanze di blocchi note gestiti

Concedere agli utenti l'autorizzazione ad accedere di una specifica istanza di blocchi note gestiti, e impostare un criterio IAM per l'istanza.

Per concedere un ruolo a un'entità in per un'istanza di blocchi note gestiti, utilizza getIamPolicy per recuperare il criterio corrente, modifica l'accesso del criterio corrente, quindi utilizza setIamPolicy per aggiornare il criterio nell'istanza.

Recupera il criterio attuale

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

INSTANCE_NAME: il nome della tua istanza di blocchi note gestiti

Metodo HTTP e URL:

GET https://notebooks.googleapis.com/v1/INSTANCE_NAME:getIamPolicy

Per inviare la richiesta, scegli una delle seguenti opzioni:

curl

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://notebooks.googleapis.com/v1/INSTANCE_NAME:getIamPolicy"

PowerShell

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://notebooks.googleapis.com/v1/INSTANCE_NAME:getIamPolicy" | Select-Object -Expand Content

La risposta è il testo del criterio IAM dell'istanza. Di seguito è riportato un esempio.

{
  "bindings": [
    {
      "role": "roles/notebooks.viewer",
      "members": [
        "user:email@example.com"
      ]
    }
  ],
  "etag": "BwWWja0YfJA=",
  "version": 3
}

Modifica il criterio

Modifica il criterio con un editor di testo per aggiungere o rimuovere entità e i relativi ruoli associati. Ad esempio, per concedere il ruolo notebooks.admin a eve@example.com, aggiungi la nuova associazione seguente al criterio nella sezione "bindings":

{
  "role": "roles/notebooks.admin",
  "members": [
    "user:eve@example.com"
  ]
}

Dopo aver aggiunto la nuova associazione, il criterio potrebbe avere il seguente aspetto:

{
  "bindings": [
    {
      "role": "roles/notebooks.viewer",
      "members": [
        "user:email@example.com"
      ]
    },
    {
      "role": "roles/notebooks.admin",
      "members": [
        "user:eve@example.com"
      ]
    }
  ],
  "etag": "BwWWja0YfJA=",
  "version": 3
}

Aggiorna il criterio nell'istanza

Nel corpo della richiesta, fornisci i dati IAM aggiornati criterio del passaggio precedente, nidificato all'interno di una sezione "policy".

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

INSTANCE_NAME: il nome della tua istanza di blocchi note gestiti

Metodo HTTP e URL:

POST https://notebooks.googleapis.com/v1/INSTANCE_NAME:setIamPolicy

Corpo JSON della richiesta:

{
  "policy": {
    "bindings": [
      {
        "role": "roles/notebooks.viewer",
        "members": [
          "user:email@example.com"
        ]
      },
      {
        "role": "roles/notebooks.admin",
        "members": [
          "user:eve@example.com"
        ]
      }
    ],
    "etag": "BwWWja0YfJA=",
    "version": 3
  }
}

Per inviare la richiesta, scegli una delle seguenti opzioni:

curl

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v1/INSTANCE_NAME:setIamPolicy"

PowerShell

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v1/INSTANCE_NAME:setIamPolicy" | Select-Object -Expand Content

Dovresti ricevere un codice di stato di operazione riuscita (2xx) e una risposta vuota.

Concedi l'accesso all'interfaccia JupyterLab

Quando si concede l'accesso a un'entità a un'istanza di blocchi note gestiti non concede la possibilità di utilizzare l'interfaccia JupyterLab dell'istanza. Per concedere l'accesso all'interfaccia JupyterLab, consulta Gestire l'accesso a un dell'istanza di blocco note gestito Interfaccia JupyterLab.

Passaggi successivi

Concedi l'accesso a un'entità a JupyterLab.
Per saperne di più su Identity and Access Management (IAM) e su come I ruoli IAM possono aiutare a concedere e limitare l'accesso, consulta la documentazione IAM.
Scopri di più sui ruoli IAM disponibili a Vertex AI Workbench e gestire i blocchi note.
Scopri come creare e gestire ruoli personalizzati.
Per scoprire come concedere l'accesso ad altre risorse Google, consulta Gestisci l'accesso a altre risorse.