Gerenciar o acesso à interface JupyterLab de uma instância de notebooks gerenciados pelo usuário
Saiba nesta página como conceder acesso à interface JupyterLab de uma instância de notebooks gerenciados pelo usuário do Vertex AI Workbench.
Você controla o acesso à interface JupyterLab de uma instância de notebooks gerenciados pelo usuário usando o modo de acesso da instância. Você define um modo de acesso JupyterLab quando cria uma instância de notebook gerenciada pelo usuário. Não é possível alterar o modo de acesso após a criação do notebook.
O modo de acesso do JupyterLab determina quem pode usar a interface JupyterLab da instância. O modo de acesso também determina quais credenciais são usadas quando a instância interage com outros serviços do Google Cloud.
Limitações de acesso
O acesso de um principal à interface JupyterLab de uma instância de notebooks gerenciados pelo usuário não inclui o acesso à instância. Por exemplo, para iniciar, interromper ou redefinir uma instância, é necessário conceder ao principal o acesso para executar essas operações definindo uma política do IAM na instância. Saiba como conceder acesso à instância de notebooks gerenciados pelo usuário em Gerenciar o acesso a uma instância de notebooks gerenciados pelo usuário.
Modos de acesso do JupyterLab
As instâncias de notebooks gerenciados pelo usuário oferecem suporte aos seguintes modos de acesso:
Apenas um usuário: o modo de acesso Apenas um usuário só concede acesso ao usuário que você especificar.
Conta de serviço: o modo de acesso da conta de serviço concede acesso a uma conta de serviço. É possível conceder acesso a um ou mais usuários por meio dessa conta de serviço.
Apenas um usuário
Ao criar uma instância de notebook gerenciada pelo usuário com acesso Somente usuário único, você especifica uma conta de usuário.
A conta de usuário especificada é a única com acesso à
interface JupyterLab. Se o usuário especificado não for o criador da
instância, conceda a ele o
papel de usuário da conta de serviço
(roles/iam.serviceAccountUser
) na conta de serviço da instância. Se
a instância precisar acessar
outros recursos do Google Cloud,
essa conta também vai precisar de acesso
a esses recursos.
Conceder acesso a um único usuário
Para conceder acesso a um único usuário, siga as etapas abaixo.
Crie uma instância de notebook gerenciada pelo usuário com as seguintes especificações:
Na caixa de diálogo Criar instância, na seção IAM e segurança, selecione o modo de acesso Apenas usuário.
No campo E-mail do usuário, insira a conta de usuário a que você quer conceder acesso.
Preencha o restante da caixa de diálogo e clique em Criar.
Conta de serviço
Ao criar uma instância de notebook gerenciada pelo usuário com acesso à conta de serviço, você especifica uma conta de serviço. Se a instância precisar acessar outros recursos do Google, essa conta também vai precisar de acesso a esses recursos.
Ao especificar uma conta de serviço, escolha uma das seguintes opções:
- Selecione a conta de serviço padrão do Compute Engine.
- Especifique uma conta de serviço personalizada. A conta de serviço personalizada precisa estar
no mesmo projeto da instância de notebooks gerenciados pelo usuário.
Para criar a instância, é necessário ter
a permissão
iam.serviceAccounts.actAs
na conta de serviço.
Para conceder acesso aos usuários por uma conta de serviço,
conceda a permissão iam.serviceAccounts.actAs
na
conta de serviço especificada para cada usuário que precisar
acessar o JupyterLab.
Conceder acesso a vários usuários por meio de uma conta de serviço
Crie uma instância de notebook gerenciada pelo usuário com as seguintes especificações:
Na caixa de diálogo Criar instância, na seção IAM e segurança, selecione o modo de acesso da Conta de serviço.
Escolha a conta de serviço padrão do Compute Engine ou uma conta de serviço personalizada.
Para usar a conta de serviço padrão do Compute Engine, selecione Usar a conta de serviço padrão do Compute Engine.
Para usar uma conta de serviço personalizada, desmarque a opção Usar a conta de serviço padrão do Compute Engine e, no campo E-mail da conta de serviço, digite seu endereço de e-mail da conta de serviço personalizada.
Preencha o restante da caixa de diálogo e clique em Criar.
Para cada usuário que precisar acessar o JupyterLab, conceda a permissão
iam.serviceAccounts.actAs
na sua conta de serviço.
Metadados do modo de acesso
O modo de acesso configurado durante a criação da instância de notebooks gerenciados pelo usuário fica armazenado nos metadados do notebook.
Quando você seleciona o modo de acesso Apenas usuário único,
o Vertex AI Workbench armazena um valor para proxy-mode
e proxy-user-mail
.
Confira a seguir exemplos de entradas de metadados de acesso de usuário único:
proxy-mode=mail
proxy-user-mail=user@example.com
Quando você seleciona o modo de acesso da Conta de serviço, o Vertex AI Workbench
armazena uma entrada de metadados proxy-mode=service_account
.
A seguir
Conceder a um principal o acesso a uma instância de notebooks gerenciados pelo usuário.
Para saber como conceder acesso a outros recursos do Google, consulte Gerenciar o acesso a outros recursos.