Gestionar el acceso a la interfaz de JupyterLab de una instancia de cuadernos gestionados por usuarios

En esta página se describe cómo conceder acceso a la interfaz de JupyterLab de una instancia de notebooks gestionados por el usuario de Vertex AI Workbench.

Puedes controlar el acceso a la interfaz de JupyterLab de una instancia de cuadernos gestionados por usuarios mediante el modo de acceso de la instancia. Puedes definir un modo de acceso a JupyterLab al crear una instancia de cuadernos gestionados por usuarios. El modo de acceso no se puede cambiar una vez que se ha creado el cuaderno.

El modo de acceso a JupyterLab determina quién puede usar la interfaz de JupyterLab de la instancia. El modo de acceso también determina qué credenciales se utilizan cuando tu instancia interactúa con otros Google Cloud servicios.

Limitaciones de acceso

Conceder acceso a una interfaz de JupyterLab de una instancia de cuadernos gestionados por usuarios a una entidad no le da acceso a la instancia en sí. Por ejemplo, para iniciar, detener o restablecer una instancia, debes conceder al principal acceso para realizar esas operaciones configurando una política de IAM en la instancia. Para conceder acceso a la instancia de cuadernos gestionados por usuarios, consulta Gestionar el acceso a una instancia de cuadernos gestionados por usuarios.

Modos de acceso a JupyterLab

Las instancias de cuadernos gestionados por usuarios admiten los siguientes modos de acceso:

• Solo un usuario: el modo de acceso Solo un usuario solo concede acceso al usuario que especifiques.

• Cuenta de servicio: el modo de acceso Cuenta de servicio concede acceso a una cuenta de servicio. Puedes conceder acceso a uno o varios usuarios a través de esta cuenta de servicio.

Solo un usuario

Cuando creas una instancia de cuadernos gestionados por usuarios con acceso de Un solo usuario, especificas una cuenta de usuario. La cuenta de usuario especificada es la única que tiene acceso a la interfaz de JupyterLab. Si el usuario especificado no es el creador de la instancia, debes asignarle el rol Usuario de cuenta de servicio (roles/iam.serviceAccountUser) en la cuenta de servicio de la instancia. Si la instancia necesita acceder a otros recursos de Google Cloud , esta cuenta de servicio también debe tener acceso a esos recursos de Google Cloud .

Conceder acceso a un solo usuario

Para dar acceso a un solo usuario, sigue estos pasos.

1. Cree una instancia de cuadernos gestionados por usuarios con las siguientes especificaciones:

   1. En el cuadro de diálogo Crear instancia, en la sección Gestión de identidades y accesos y seguridad, selecciona el modo de acceso Un solo usuario.

   2. En el campo Correo del usuario, introduce la cuenta de usuario a la que quieras dar acceso.

2. Completa el resto del cuadro de diálogo y, a continuación, haz clic en Crear.

Cuenta de servicio

Cuando creas una instancia de notebooks gestionada por el usuario con acceso de cuenta de servicio, especificas una cuenta de servicio. Si la instancia necesita acceder a otros recursos de Google, esta cuenta de servicio también debe tener acceso a esos recursos.

Cuando especifiques una cuenta de servicio, elige una de las siguientes opciones:

• Selecciona la cuenta de servicio predeterminada de Compute Engine.
• Especifica una cuenta de servicio personalizada. La cuenta de servicio personalizada debe estar en el mismo proyecto que tu instancia de cuaderno gestionada por el usuario. Para crear la instancia, debes tener el permiso iam.serviceAccounts.actAs en la cuenta de servicio.

Para conceder acceso a los usuarios a través de una cuenta de servicio, debes otorgar el permiso iam.serviceAccounts.actAs en la cuenta de servicio especificada a cada usuario que necesite acceder a JupyterLab.

Conceder acceso a varios usuarios a través de una cuenta de servicio

1. Cree una instancia de cuadernos gestionados por usuarios con las siguientes especificaciones:

   1. En el cuadro de diálogo Crear instancia, en la sección IAM y seguridad, selecciona el modo de acceso Cuenta de servicio.

   2. Elige la cuenta de servicio predeterminada de Compute Engine o una cuenta de servicio personalizada.

      • Para usar la cuenta de servicio predeterminada de Compute Engine, selecciona Usar la cuenta de servicio predeterminada de Compute Engine.

      • Para usar una cuenta de servicio personalizada, desmarca Usar la cuenta de servicio predeterminada de Compute Engine y, a continuación, en el campo Correo de la cuenta de servicio, introduce la dirección de correo de tu cuenta de servicio personalizada.

2. Completa el resto del cuadro de diálogo y, a continuación, haz clic en Crear.

3. Por cada usuario que necesite acceder a JupyterLab, concede el permiso iam.serviceAccounts.actAs en tu cuenta de servicio.

Metadatos del modo de acceso

El modo de acceso que configures al crear una instancia de cuadernos gestionados por usuarios se almacena en los metadatos del cuaderno.

Cuando seleccionas el modo de acceso Solo un usuario, Vertex AI Workbench almacena un valor para proxy-mode y proxy-user-mail. A continuación, se muestran ejemplos de entradas de metadatos de acceso de un solo usuario:

• proxy-mode=mail
• proxy-user-mail=user@example.com

Cuando seleccionas el modo de acceso Cuenta de servicio, Vertex AI Workbench almacena una entrada de metadatos proxy-mode=service_account.

Siguientes pasos

• Concede acceso a una principal a una instancia de cuadernos gestionados por usuarios.

• Para saber cómo conceder acceso a otros recursos de Google, consulta el artículo Gestionar el acceso a otros recursos.