Gestire l'accesso all'interfaccia JupyterLab di un'istanza di notebook gestita dall'utente

Questa pagina descrive come concedere l'accesso all'interfaccia JupyterLab di un'istanza di notebook gestita dall'utente di Vertex AI Workbench.

Controlli l'accesso all'interfaccia JupyterLab di un'istanza di Notebooks gestita dall'utente tramite la modalità di accesso dell'istanza. Imposti una modalità di accesso a JupyterLab quando crei un'istanza di blocchi note gestita dall'utente. La modalità di accesso non può essere modificata dopo la creazione del blocco note.

La modalità di accesso a JupyterLab determina chi può utilizzare l'interfaccia JupyterLab dell'istanza. La modalità di accesso determina anche le credenziali utilizzate quando la tua istanza interagisce con altri servizi Google Cloud.

Limitazioni di accesso

La concessione dell'accesso a un'entità all'interfaccia JupyterLab di un'istanza di blocchi note gestita dall'utente non abilita l'accesso all'istanza stessa. Ad esempio, per avviare, arrestare o reimpostare un'istanza, devi concedere al principale l'accesso per eseguire queste operazioni impostando un criterio IAM sull'istanza. Per concedere l'accesso all'istanza di blocchi note gestita dall'utente, consulta Gestire l'accesso a un'istanza di blocchi note gestita dall'utente.

Modalità di accesso a JupyterLab

Le istanze di notebook gestiti dall'utente supportano le seguenti modalità di accesso:

• Solo utente singolo: la modalità di accesso Solo utente singolo concede l'accesso solo all'utente specificato.

• Account di servizio: la modalità di accesso Account di servizio consente di accedere a un account di servizio. Puoi concedere l'accesso a uno o più utenti tramite questo account di servizio.

Solo utente singolo

Quando crei un'istanza di Notebooks gestita dall'utente con accesso Solo utente singolo, specifichi un account utente. L'account utente specificato è l'unico utente con accesso all'interfaccia JupyterLab. Se l'utente specificato non è il creatore dell'istanza, devi concedergli il ruolo Utente account di servizio (roles/iam.serviceAccountUser) nell'account di servizio dell'istanza. Se l'istanza deve accedere ad altre risorse Google Cloud, questo account di servizio deve avere accesso anche a queste risorse.

Concedere l'accesso a un singolo utente

Per concedere l'accesso a un singolo utente, completa i seguenti passaggi.

1. Crea un'istanza di blocchi note gestiti dall'utente con le seguenti specifiche:

   1. Nella finestra di dialogo Crea istanza, nella sezione IAM e sicurezza, seleziona la modalità di accesso Solo utente singolo.

   2. Nel campo Indirizzo email utente, inserisci l'account utente a cui vuoi concedere l'accesso.

2. Compila la parte rimanente della finestra di dialogo e poi fai clic su Crea.

Service account

Quando crei un'istanza di Notebook gestita dall'utente con accesso Account di servizio, specifichi un account di servizio. Se l'istanza deve accedere ad altre risorse Google, questo account di servizio deve avere accesso anche a queste risorse Google.

Quando specifichi un account di servizio, scegli una delle seguenti opzioni:

• Seleziona l'account di servizio predefinito di Compute Engine.
• Specifica un account di servizio personalizzato. L'account di servizio personalizzato deve essere nello stesso progetto dell'istanza di notebook gestita dall'utente. Per creare l'istanza, devi disporre dell'autorizzazione iam.serviceAccounts.actAs per l'account di servizio.

Per concedere l'accesso agli utenti tramite un account di servizio, devi concedere l'autorizzazione iam.serviceAccounts.actAs all'account di servizio specificato per ogni utente che deve accedere a JupyterLab.

Concedi l'accesso a più utenti tramite un account di servizio

1. Crea un'istanza di blocchi note gestiti dall'utente con le seguenti specifiche:

   1. Nella finestra di dialogo Crea istanza, nella sezione IAM e sicurezza, seleziona la modalità di accesso Account di servizio.

   2. Scegli l'account di servizio predefinito di Compute Engine o un account di servizio personalizzato.

      • Per utilizzare l'account di servizio predefinito di Compute Engine, seleziona Usa account di servizio predefinito di Compute Engine.

      • Per utilizzare un account di servizio personalizzato, deseleziona Utilizza l'account di servizio predefinito di Compute Engine, quindi, nel campo Indirizzo email account di servizio, inserisci l'indirizzo email del tuo account di servizio personalizzato.

2. Compila la parte rimanente della finestra di dialogo e poi fai clic su Crea.

3. Per ogni utente che deve accedere a JupyterLab, concedi l'autorizzazione iam.serviceAccounts.actAs sul tuo account di servizio.

Metadati della modalità di accesso

La modalità di accesso configurata durante la creazione dell'istanza di notebook gestita dall'utente viene memorizzata nei metadati del notebook.

Quando selezioni la modalità di accesso Solo utente singolo, Vertex AI Workbench memorizza un valore per proxy-mode e proxy-user-mail. Di seguito sono riportati alcuni esempi di voci dei metadati di accesso per un singolo utente:

• proxy-mode=mail
• proxy-user-mail=user@example.com

Quando selezioni la modalità di accesso Account di servizio, Vertex AI Workbench memorizza una voce di metadati proxy-mode=service_account.

Passaggi successivi

• Concedere a un'entità l'accesso a un'istanza di blocchi note gestiti dall'utente.

• Per scoprire come concedere l'accesso ad altre risorse Google, consulta Gestire l'accesso ad altre risorse.