Zugriff auf die JupyterLab-Schnittstelle einer nutzerverwalteten Notebook-Instanz verwalten

Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf die JupyterLab-Benutzeroberfläche einer nutzerverwalteten Notebooks-Instanz von Vertex AI Workbench gewähren.

Sie steuern den Zugriff auf die JupyterLab-Schnittstelle einer vom Nutzer verwalteten Notebooks über den Zugriffsmodus der Instanz. Sie legen den Zugriffsmodus für JupyterLab fest, wenn Sie eine nutzerverwaltete Notebookinstanz erstellen. Der Zugriffsmodus kann nach dem Erstellen des Notebooks nicht mehr geändert werden.

Der Zugriffsmodus für JupyterLab bestimmt, wer die JupyterLab-Schnittstelle der Instanz verwenden kann. Der Zugriffsmodus legt auch fest, welche Anmeldedaten verwendet werden, wenn Ihre Instanz mit anderen Google Cloud-Diensten interagiert.

Zugriffsbeschränkungen

Wenn Sie einem Hauptkonto Zugriff auf die JupyterLab-Schnittstelle einer nutzerverwalteten Notebook-Instanz gewähren, wird der Zugriff auf die Instanz selbst nicht gewährt. Wenn Sie beispielsweise eine Instanz starten, stoppen oder zurücksetzen möchten, müssen Sie dem Hauptkonto Zugriff gewähren, um diese Vorgänge auszuführen. Dazu legen Sie eine IAM-Richtlinie für die Instanz fest. Informationen zum Gewähren des Zugriffs auf die nutzerverwaltete Notebookinstanz finden Sie unter Zugriff auf eine nutzerverwaltete Notebookinstanz verwalten.

JupyterLab-Zugriffsmodi

Nutzerverwaltete Notebookinstanzen unterstützen die folgenden Zugriffsmodi:

• Nur einzelner Nutzer: Der Zugriffsmodus Nur einzelner Nutzer gewährt nur Zugriff auf den von Ihnen angegebenen Nutzer.

• Dienstkonto: Der Zugriffsmodus Dienstkonto gewährt Zugriff auf ein Dienstkonto. Über dieses Dienstkonto können Sie einem oder mehreren Nutzern Zugriff gewähren.

Nur einzelner Nutzer

Wenn Sie eine nutzerverwaltete Notebookinstanz mit dem Zugriff Nur einzelner Nutzer erstellen, geben Sie ein Nutzerkonto an. Das angegebene Nutzerkonto ist der einzige Nutzer mit Zugriff auf die JupyterLab-Benutzeroberfläche. Wenn der angegebene Nutzer nicht der Ersteller der Instanz ist, müssen Sie ihm die Rolle Dienstkontonutzer (roles/iam.serviceAccountUser) im Dienstkonto der Instanz zuweisen. eine Wenn die Instanz auf andere Google Cloud-Ressourcen zugreifen muss, muss das Dienstkonto auch Zugriff auf diese Google Cloud-Ressourcen haben.

Einzelnen Nutzern Zugriff gewähren

Führen Sie die folgenden Schritte aus, um einem einzelnen Nutzer Zugriff zu gewähren.

1. Erstellen Sie eine nutzerverwaltete Notebookinstanz mit den folgenden Spezifikationen:

   1. Wählen Sie im Dialogfeld Instanz erstellen im Abschnitt IAM und Sicherheit den Zugriffsmodus Nur einzelner Nutzer aus.

   2. Geben Sie im Feld E-Mail-Adresse des Nutzers das Nutzerkonto ein, dem Sie Zugriff gewähren möchten.

2. Vervollständigen Sie den Rest des Dialogfelds und klicken Sie auf Erstellen.

Dienstkonto

Wenn Sie eine nutzerverwaltete Notebookinstanz mit dem Zugriff Dienstkonto erstellen, geben Sie ein Dienstkonto an. Wenn die Instanz auf andere Google-Ressourcen zugreifen muss, muss das Dienstkonto auch Zugriff auf diese Google-Ressourcen haben.

Wenn Sie ein Dienstkonto angeben, wählen Sie eine der folgenden Optionen aus:

• Wählen Sie das Compute Engine-Standarddienstkonto aus.
• Geben Sie ein benutzerdefiniertes Dienstkonto. Das benutzerdefinierte Dienstkonto muss sich im selben Projekt wie die nutzerverwaltete Notebookinstanz befinden. Zum Erstellen der Instanz benötigen Sie die Berechtigung iam.serviceAccounts.actAs für das Dienstkonto.

Wenn Sie Nutzern über ein Dienstkonto Zugriff gewähren möchten, erteilen Sie jedem Nutzer, der auf JupyterLab zugreifen muss, die Berechtigung iam.serviceAccounts.actAs für das angegebene Dienstkonto.

Mehreren Nutzern über ein Dienstkonto Zugriff gewähren

1. Erstellen Sie eine nutzerverwaltete Notebookinstanz mit den folgenden Spezifikationen:

   1. Wählen Sie im Dialogfeld Instanz erstellen im Abschnitt IAM und Sicherheit den Zugriffsmodus Dienstkonto aus.

   2. Wählen Sie das Compute Engine-Standarddienstkonto oder ein benutzerdefiniertes Dienstkonto aus.

      • Wählen Sie Compute Engine-Standarddienstkonto verwenden aus, um das Compute Engine-Standarddienstkonto zu verwenden.

      • Wenn Sie ein benutzerdefiniertes Dienstkonto verwenden möchten, deaktivieren Sie Compute Engine-Standarddienstkonto verwenden und geben Sie dann im Feld E-Mail-Adresse des Dienstkontos die E-Mail-Adresse Ihres benutzerdefinierten Dienstkontos ein.

2. Vervollständigen Sie den Rest des Dialogfelds und klicken Sie auf Erstellen.

3. Gewähren Sie jedem Nutzer, der auf JupyterLab zugreifen muss, die Berechtigung iam.serviceAccounts.actAs für Ihr Dienstkonto.

Metadaten für Zugriffsmodus

Der Zugriffsmodus, den Sie während der Erstellung von nutzerverwalteten Notebooks-Instanzen konfigurieren, wird in den Notebookmetadaten gespeichert:

Wenn Sie den Zugriffsmodus Nur einzelner Nutzer auswählen, speichert Vertex AI Workbench einen Wert für proxy-mode und proxy-user-mail. Im Folgenden finden Sie Beispiele für Metadateneinträge für einzelne Nutzerzugriffe:

• proxy-mode=mail
• proxy-user-mail=user@example.com

Wenn Sie den Zugriffsmodus Dienstkonto auswählen, speichert Vertex AI Workbench einen Metadateneintrag proxy-mode=service_account.

Nächste Schritte

• Einem Hauptkonto Zugriff auf eine vom Nutzer verwaltete Notebookinstanz gewähren.

• Informationen zum Gewähren des Zugriffs auf andere Google-Ressourcen finden Sie unter Zugriff auf andere Ressourcen verwalten.