Gérer l'accès à l'interface JupyterLab d'une instance de notebooks gérés par l'utilisateur
Cette page explique comment accorder l'accès à l'interface JupyterLab à une instance Vertex AI Workbench de notebooks gérés par l'utilisateur.
Vous contrôlez l'accès à l'interface JupyterLab d'une instance de notebooks gérés par l'utilisateur via le mode d'accès de l'instance. Vous définissez un mode d'accès JupyterLab lorsque vous créez une instance de notebooks gérés par l'utilisateur. Vous ne pouvez pas modifier le mode d'accès une fois le notebook créé.
Le mode d'accès de JupyterLab détermine qui peut utiliser l'interface JupyterLab de l'instance. Le mode d'accès détermine également les identifiants utilisés lorsque votre instance interagit avec d'autres services Google Cloud.
Limites d'accès
Le fait d'accorder à un compte principal l'accès à l'interface JupyterLab d'une instance de notebooks gérés par l'utilisateur n'accorde pas l'accès à l'instance elle-même. Par exemple, pour démarrer, arrêter ou réinitialiser une instance, vous devez autoriser le compte principal à effectuer ces opérations en définissant une stratégie IAM pour l'instance. Pour accorder l'accès à une instance de notebooks gérés par l'utilisateur, consultez la page Gérer l'accès à une instance de notebooks gérés par l'utilisateur.
Modes d'accès de JupyterLab
Les instances de notebooks gérés par l'utilisateur sont compatibles avec les modes d'accès suivants :
Un seul utilisateur : le mode d'accès Un seul utilisateur n'accorde l'accès qu'à l'utilisateur que vous spécifiez.
Compte de service : le mode d'accès Compte de service permet d'accéder à un compte de service. Vous pouvez accorder l'accès à un ou plusieurs utilisateurs via ce compte de service.
Un seul utilisateur
Lorsque vous créez une instance de notebooks gérés par l'utilisateur avec un accès Un seul utilisateur, vous spécifiez un compte utilisateur.
Le compte utilisateur spécifié est le seul utilisateur ayant accès à l'interface JupyterLab. Si l'utilisateur spécifié n'est pas le créateur de l'instance, vous devez lui attribuer le rôle Utilisateur du compte de service (roles/iam.serviceAccountUser
) sur le compte de service de l'instance. Si l'instance doit accéder à d'autres ressources Google Cloud, ce compte de service doit également avoir accès à ces ressources Google Cloud.
Accorder l'accès à un seul utilisateur
Pour accorder l'accès à un seul utilisateur, procédez comme suit :
Créez une instance de notebooks gérés par l'utilisateur avec les spécifications suivantes :
Dans la boîte de dialogue Créer une instance, dans la section IAM et sécurité, sélectionnez le mode d'accès Un seul utilisateur.
Dans le champ Adresse e-mail de l'utilisateur, saisissez le compte utilisateur auquel vous souhaitez accorder l'accès.
Renseignez le reste de la boîte de dialogue, puis cliquez sur Créer.
Service account
Lorsque vous créez une instance de notebooks gérés par l'utilisateur avec un accès Compte de service, vous spécifiez un compte de service. Si l'instance doit accéder à d'autres ressources Google, ce compte de service doit également avoir accès à ces ressources Google.
Lorsque vous spécifiez un compte de service, choisissez l'une des options suivantes :
- Sélectionnez le compte de service Compute Engine par défaut.
- Spécifiez un compte de service personnalisé. Le compte de service personnalisé doit se trouver dans le même projet que votre instance de notebooks gérés par l'utilisateur.
Pour créer l'instance, vous devez disposer de l'autorisation
iam.serviceAccounts.actAs
sur le compte de service.
Pour accorder l'accès aux utilisateurs via un compte de service, vous accordez l'autorisation iam.serviceAccounts.actAs
au compte de service spécifié pour chaque utilisateur ayant besoin d'accéder à JupyterLab.
Accorder l'accès à plusieurs utilisateurs via un compte de service
Créez une instance de notebooks gérés par l'utilisateur avec les spécifications suivantes :
Dans la boîte de dialogue Créer une instance, dans la section IAM et sécurité, sélectionnez le mode d'accès Compte de service.
Choisissez le compte de service Compute Engine par défaut ou un compte de service personnalisé.
Pour utiliser le compte de service Compute Engine par défaut, sélectionnez Utiliser le compte de service Compute Engine par défaut.
Pour utiliser un compte de service personnalisé, décochez la case Utiliser le compte de service Compute Engine par défaut, puis, dans le champ Adresse e-mail du compte de service, saisissez l'adresse e-mail du compte de service personnalisé.
Renseignez le reste de la boîte de dialogue, puis cliquez sur Créer.
Pour chaque utilisateur devant accéder à JupyterLab, accordez l'autorisation
iam.serviceAccounts.actAs
sur votre compte de service.
Métadonnées du mode d'accès
Le mode d'accès que vous configurez lors de la création de l'instance de notebooks gérés par l'utilisateur est stocké dans les métadonnées du notebook :
Lorsque vous sélectionnez le mode d'accès Un seul utilisateur, Vertex AI Workbench stocke une valeur pour proxy-mode
et proxy-user-mail
.
Voici des exemples d'entrées de métadonnées à accès unique :
proxy-mode=mail
proxy-user-mail=user@example.com
Lorsque vous sélectionnez le mode d'accès Compte de service, Vertex AI Workbench stocke une entrée de métadonnées proxy-mode=service_account
.
Étapes suivantes
Accordez à un compte principal l'accès à une instance de notebooks gérés par l'utilisateur.
Pour savoir comment accorder l'accès à d'autres ressources Google, consultez la page Gérer l'accès aux autres ressources.