Gestisci l'accesso all'interfaccia JupyterLab di un'istanza di blocchi note gestiti dall'utente
Questa pagina descrive come concedere l'accesso all'interfaccia JupyterLab di un'istanza di blocchi note gestiti dall'utente di Vertex AI Workbench.
Puoi controllare l'accesso all'interfaccia JupyterLab di un'istanza di blocchi note gestiti dall'utente tramite la modalità di accesso dell'istanza. Puoi impostare una modalità di accesso a JupyterLab quando crei un'istanza di blocchi note gestiti dall'utente. La modalità di accesso non può essere modificata dopo la creazione del blocco note.
La modalità di accesso a JupyterLab determina chi può utilizzare l'interfaccia JupyterLab dell'istanza. La modalità di accesso determina anche le credenziali utilizzate quando l'istanza interagisce con altri servizi Google Cloud.
Limitazioni di accesso
La concessione dell'accesso di un'entità all'interfaccia JupyterLab di un'istanza di blocchi note gestiti dall'utente non concede l'accesso all'istanza stessa. Ad esempio, per avviare, arrestare o reimpostare un'istanza, devi concedere l'accesso all'entità per eseguire queste operazioni impostando un criterio IAM sull'istanza. Per concedere l'accesso all'istanza di blocchi note gestiti dall'utente, consulta Gestire l'accesso a un'istanza di blocchi note gestiti dall'utente.
Modalità di accesso a JupyterLab
Le istanze di blocchi note gestiti dall'utente supportano le seguenti modalità di accesso:
Solo utente singolo: la modalità di accesso Solo utente singolo consente l'accesso solo all'utente da te specificato.
Account di servizio: la modalità di accesso Account di servizio concede l'accesso a un account di servizio. Puoi concedere l'accesso a uno o più utenti tramite questo account di servizio.
Solo per singolo utente
Quando crei un'istanza di blocchi note gestiti dall'utente con accesso Solo un utente, specifichi un account utente.
L'account utente specificato è l'unico utente con accesso all'interfaccia JupyterLab. Se l'utente specificato non è l'utente che ha creato l'istanza, devi concedergli il ruolo Utente account di servizio (roles/iam.serviceAccountUser
) per l'account di servizio dell'istanza. Se
l'istanza deve accedere ad altre risorse Google Cloud, questo
account di servizio
deve avere accesso anche a queste risorse Google Cloud.
Concedere l'accesso a un singolo utente
Per concedere l'accesso a un singolo utente, segui questi passaggi.
Crea un'istanza di blocchi note gestiti dall'utente con le seguenti specifiche:
Nella finestra di dialogo Crea istanza, nella sezione IAM e sicurezza, seleziona la modalità di accesso Solo utente singolo.
Nel campo Email utente, inserisci l'account utente a cui vuoi concedere l'accesso.
Completa il resto della finestra di dialogo e fai clic su Crea.
Account di servizio
Quando crei un'istanza di blocchi note gestiti dall'utente con accesso Account di servizio, devi specificare un account di servizio. Se l'istanza deve accedere ad altre risorse Google, questo account di servizio deve avere accesso anche a queste risorse Google.
Quando specifichi un account di servizio, scegli una delle seguenti opzioni:
- Seleziona l'account di servizio predefinito di Compute Engine.
- Specifica un account di servizio personalizzato. L'account di servizio personalizzato deve trovarsi nello stesso progetto dell'istanza di blocchi note gestiti dall'utente.
Per creare l'istanza, devi disporre dell'autorizzazione
iam.serviceAccounts.actAs
nell'account di servizio.
Per concedere l'accesso agli utenti tramite un account di servizio, devi concedere l'autorizzazione iam.serviceAccounts.actAs
sull'account di servizio specificato per ogni utente che deve accedere a JupyterLab.
Concedere l'accesso a più utenti tramite un account di servizio
Crea un'istanza di blocchi note gestiti dall'utente con le seguenti specifiche:
Nella finestra di dialogo Crea istanza, nella sezione IAM e sicurezza, seleziona la modalità di accesso Account di servizio.
Scegli l'account di servizio predefinito di Compute Engine o un account di servizio personalizzato.
Per utilizzare l'account di servizio predefinito di Compute Engine, seleziona Utilizza l'account di servizio predefinito di Compute Engine.
Per utilizzare un account di servizio personalizzato, deseleziona Utilizza l'account di servizio predefinito di Compute Engine e inserisci l'indirizzo email del tuo account di servizio personalizzato nel campo Email account di servizio.
Completa il resto della finestra di dialogo e fai clic su Crea.
Per ogni utente che deve accedere a JupyterLab, concedi l'autorizzazione
iam.serviceAccounts.actAs
sul tuo account di servizio.
Metadati della modalità di accesso
La modalità di accesso configurata durante la creazione dell'istanza di blocchi note gestiti dall'utente viene archiviata nei metadati del blocco note.
Quando selezioni la modalità di accesso Solo utente singolo,
Vertex AI Workbench archivia un valore per proxy-mode
e proxy-user-mail
.
Di seguito sono riportati alcuni esempi di voci di metadati di accesso singolo utente:
proxy-mode=mail
proxy-user-mail=user@example.com
Quando selezioni la modalità di accesso Account di servizio, Vertex AI Workbench archivia una voce di metadati proxy-mode=service_account
.
Passaggi successivi
Concedi a un'istanza di blocchi note gestiti dall'utente come entità l'accesso.
Per scoprire come concedere l'accesso ad altre risorse Google, consulta Gestire l'accesso ad altre risorse.