Mengelola akses ke antarmuka JupyterLab di instance notebook yang dikelola pengguna

Halaman ini menjelaskan cara memberikan akses ke antarmuka JupyterLab di instance notebook Vertex AI Workbench yang dikelola pengguna.

Anda dapat mengontrol akses ke antarmuka JupyterLab di instance notebook yang dikelola pengguna melalui mode akses instance. Anda menetapkan mode akses JupyterLab saat membuat instance notebook yang dikelola pengguna. Mode akses tidak dapat diubah setelah notebook dibuat.

Mode akses JupyterLab menentukan siapa yang dapat menggunakan antarmuka JupyterLab instance. Mode akses juga menentukan kredensial yang digunakan ketika instance Anda berinteraksi dengan layanan Google Cloud lainnya.

Batasan akses

Memberikan akses utama ke antarmuka JupyterLab di instance notebook yang dikelola pengguna tidak memberikan akses ke instance itu sendiri. Misalnya, untuk memulai, menghentikan, atau mereset instance, Anda harus memberikan akses utama untuk melakukan operasi tersebut dengan menetapkan kebijakan IAM pada instance tersebut. Untuk memberikan akses ke instance notebook yang dikelola pengguna, lihat Mengelola akses ke instance notebook yang dikelola pengguna.

Mode akses JupyterLab

Instance notebook yang dikelola pengguna mendukung mode akses berikut:

  • Single user only: Mode akses Single user only hanya memberikan akses kepada pengguna yang Anda tentukan.

  • Akun layanan: Mode akses Akun layanan memberikan akses ke akun layanan. Anda dapat memberikan akses ke satu atau beberapa pengguna melalui akun layanan ini.

Single user only

Saat membuat instance notebook yang dikelola pengguna dengan akses Single user only, Anda harus menentukan akun pengguna. Akun pengguna yang ditentukan adalah satu-satunya pengguna yang memiliki akses ke antarmuka JupyterLab. Jika pengguna yang ditentukan bukan pembuat instance, Anda harus memberikan peran Service Account User (roles/iam.serviceAccountUser) kepada pengguna yang ditentukan di akun layanan instance tersebut. Jika instance perlu mengakses resource Google Cloud lainnya, akun layanan ini juga harus memiliki akses ke resource Google Cloud tersebut.

Memberikan akses ke satu pengguna

Untuk memberikan akses ke satu pengguna, selesaikan langkah-langkah berikut.

  1. Buat instance notebook yang dikelola pengguna dengan spesifikasi berikut:

    1. Pada dialog Create instance, di bagian IAM and security, pilih mode akses Single user only.

    2. Di kolom Email pengguna, masukkan akun pengguna yang ingin Anda beri akses.

  2. Selesaikan sisa dialog, lalu klik Buat.

Service account

Saat membuat instance notebook yang dikelola pengguna dengan akses Service account, Anda harus menentukan akun layanan. Jika instance perlu mengakses resource Google lainnya, akun layanan ini juga harus memiliki akses ke resource Google tersebut.

Saat Anda menentukan akun layanan, pilih salah satu hal berikut:

  • Pilih akun layanan default Compute Engine.
  • Tentukan akun layanan kustom. Akun layanan kustom harus berada dalam project yang sama dengan instance notebook yang dikelola pengguna. Untuk membuat instance, Anda harus memiliki izin iam.serviceAccounts.actAs di akun layanan.

Untuk memberikan akses kepada pengguna melalui akun layanan, Anda memberikan izin iam.serviceAccounts.actAs pada akun layanan yang ditentukan untuk setiap pengguna yang perlu mengakses JupyterLab.

Memberikan akses ke beberapa pengguna melalui akun layanan

  1. Buat instance notebook yang dikelola pengguna dengan spesifikasi berikut:

    1. Pada dialog Create instance, di bagian IAM and security, pilih mode akses Service account.

    2. Pilih akun layanan default Compute Engine atau akun layanan kustom.

      • Untuk menggunakan akun layanan default Compute Engine, pilih Gunakan akun layanan default Compute Engine.

      • Untuk menggunakan akun layanan kustom, hapus centang Gunakan akun layanan default Compute Engine, lalu di kolom Email akun layanan, masukkan alamat email akun layanan kustom Anda.

  2. Selesaikan sisa dialog, lalu klik Buat.

  3. Untuk setiap pengguna yang perlu mengakses JupyterLab, berikan izin iam.serviceAccounts.actAs di akun layanan Anda.

Metadata mode akses

Mode akses yang Anda konfigurasi selama pembuatan instance notebook yang dikelola pengguna disimpan dalam metadata notebook.

Saat Anda memilih mode akses Single user only, Vertex AI Workbench akan menyimpan nilai untuk proxy-mode dan proxy-user-mail. Berikut adalah contoh entri metadata akses satu pengguna:

  • proxy-mode=mail
  • proxy-user-mail=user@example.com

Saat Anda memilih mode akses Akun layanan, Vertex AI Workbench akan menyimpan entri metadata proxy-mode=service_account.

Langkah berikutnya