Administra el acceso a la interfaz de JupyterLab de una instancia de notebooks administrada por el usuario
En esta página, se describe cómo otorgar acceso a la interfaz de JupyterLab de una instancia de notebooks administrados por el usuario de Vertex AI Workbench.
Puedes controlar el acceso a la interfaz de JupyterLab de una instancia de notebooks administrados por el usuario a través del modo de acceso de la instancia. Configuras un modo de acceso a JupyterLab cuando creas una instancia de notebooks administrados por el usuario. El modo de acceso no se puede cambiar después de crear el notebook.
El modo de acceso de JupyterLab determina quién puede usar la interfaz de JupyterLab de la instancia. El modo de acceso también determina qué credenciales se usan cuando tu instancia interactúa con otros servicios de Google Cloud.
Limitaciones de acceso
Otorgar un acceso principal a la interfaz de JupyterLab de una instancia de notebook administrada por el usuario no otorga acceso a la instancia. Por ejemplo, para iniciar, detener o restablecer una instancia, debes otorgar a la principal acceso para realizar esas operaciones mediante la configuración de una política de IAM en la instancia. Para otorgar acceso a la instancia de notebook administrada por el usuario, consulta Administra el acceso a una instancia de notebook administrada por el usuario.
Modos de acceso de JupyterLab
Las instancias de notebooks administrados por el usuario admiten los siguientes modos de acceso:
Solo usuario único: El modo de acceso Solo usuario único otorga acceso solo al usuario que especifiques.
Cuenta de servicio: El modo de acceso Cuenta de servicio otorga acceso a una cuenta de servicio. Puedes otorgar acceso a uno o más usuarios a través de esta cuenta de servicio.
Solo usuario único
Cuando creas una instancia de notebook administrada por el usuario con acceso de Solo usuario único, especificas una cuenta de usuario.
La cuenta de usuario especificada es el único usuario con acceso a la interfaz de JupyterLab. Si el usuario especificado no es el creador de la instancia, debes otorgarle al usuario el rol de usuario de cuenta de servicio (roles/iam.serviceAccountUser
) en la cuenta de servicio de la instancia. Si la instancia necesita acceder a otros recursos de Google Cloud, esta cuenta de servicio también debe tener acceso a esos recursos.
Otorga acceso a un solo usuario
Para otorgar acceso a un solo usuario, completa los siguientes pasos.
Crea una instancia de notebooks administrados por el usuario con las siguientes especificaciones:
En el cuadro de diálogo Crear instancia, en la sección IAM y seguridad, selecciona el modo de acceso Solo usuario.
En el campo Correo electrónico del usuario, ingresa la cuenta de usuario a la que deseas otorgar acceso.
Completa el resto del cuadro de diálogo y haz clic en Crear.
Cuenta de servicio
Cuando creas una instancia de notebooks administrados por el usuario con acceso a la cuenta de servicio, especificas una cuenta de servicio. Si la instancia necesita acceder a otros recursos de Google, esta cuenta de servicio también debe tener acceso a esos recursos.
Cuando especificas una cuenta de servicio, eliges una de las siguientes opciones:
- Selecciona la cuenta de servicio predeterminada de Compute Engine.
- Especifica una cuenta de servicio personalizada. La cuenta de servicio personalizada debe estar en el mismo proyecto que la instancia de notebooks administrados por el usuario.
Para crear la instancia, debes tener el permiso
iam.serviceAccounts.actAs
en la cuenta de servicio.
Para otorgar acceso a los usuarios a través de una cuenta de servicio, debes otorgar el permiso iam.serviceAccounts.actAs
en la cuenta de servicio especificada para cada usuario que necesite acceder a JupyterLab.
Otorga acceso a varios usuarios a través de una cuenta de servicio
Crea una instancia de notebooks administrados por el usuario con las siguientes especificaciones:
En el cuadro de diálogo Crear instancia, en la sección IAM y seguridad, selecciona el modo de acceso Cuenta de servicio.
Elige la cuenta de servicio predeterminada de Compute Engine o una cuenta de servicio personalizada.
Para usar la cuenta de servicio predeterminada de Compute Engine, selecciona Usar la cuenta de servicio predeterminada de Compute Engine.
Para usar una cuenta de servicio personalizada, borra Usar cuenta de servicio predeterminada de Compute Engine y, luego, en el campo Correo electrónico de la cuenta de servicio, ingresa tu dirección de correo electrónico de la cuenta de servicio personalizada.
Completa el resto del cuadro de diálogo y haz clic en Crear.
Para cada usuario que necesite acceder a JupyterLab, otorga el permiso
iam.serviceAccounts.actAs
en tu cuenta de servicio.
Metadatos del modo de acceso
El modo de acceso que configuras durante la creación de la instancia de notebooks administrados por el usuario se almacena en los metadatos del notebook:
Cuando seleccionas el modo de acceso Solo usuario único, Vertex AI Workbench almacena un valor para proxy-mode
y proxy-user-mail
.
Los siguientes son ejemplos de entradas de metadatos de acceso de usuario único:
proxy-mode=mail
proxy-user-mail=user@example.com
Cuando seleccionas el modo de acceso Cuenta de servicio, Vertex AI Workbench almacena una entrada de metadatos proxy-mode=service_account
.
¿Qué sigue?
Otorga a una instancia principal acceso a una instancia de notebook administrada por el usuario.
Para obtener información sobre cómo otorgar acceso a otros recursos de Google, consulta Administra el acceso a otros recursos.