사용자 관리 노트북 인스턴스의 JupyterLab 인스턴스에 대한 액세스 관리

이 페이지에서는 Vertex AI Workbench 사용자 관리 노트북 인스턴스의 JupyterLab 인터페이스에 대한 액세스 권한을 부여하는 방법을 설명합니다.

인스턴스의 액세스 모드를 통해 사용자 관리 노트북 인스턴스의 JupyterLab 인터페이스에 대한 액세스를 제어합니다. JupyterLab 액세스 모드는 사용자 관리형 노트북 인스턴스를 만들 때 설정됩니다. 노트북이 생성된 후에는 액세스 모드를 변경할 수 없습니다.

JupyterLab 액세스 모드에 따라 인스턴스의 JupyterLab 인터페이스를 사용할 수 있는 사용자가 결정됩니다. 또한 액세스 모드에 따라 인스턴스가 다른 Google Cloud 서비스와 상호작용할 때 사용되는 사용자 인증 정보가 결정됩니다.

액세스 제한사항

주 구성원에게 사용자 관리 노트북 인스턴스의 JupyterLab 인터페이스에 대한 액세스 권한을 부여해도 인스턴스 자체에 대한 액세스 권한은 부여되지 않습니다. 예를 들어 인스턴스를 시작, 중지, 재설정하려면 인스턴스에서 IAM 정책을 설정하여 이러한 작업을 수행할 수 있는 액세스 권한을 주 구성원에게 부여해야 합니다. 사용자 관리 노트북 인스턴스에 대한 액세스 권한을 부여하려면 사용자 관리 노트북 인스턴스에 대한 액세스 관리를 참조하세요.

JupyterLab 액세스 모드

사용자 관리 노트북 인스턴스는 다음과 같은 액세스 모드를 지원합니다.

• 단일 사용자 전용: 단일 사용자 전용 액세스 모드는 지정된 사용자에게만 액세스 권한을 부여합니다.

• 서비스 계정: 서비스 계정 액세스 모드는 서비스 계정에 대한 액세스 권한을 부여합니다. 이 서비스 계정을 통해 하나 이상의 사용자에게 액세스 권한을 부여할 수 있습니다.

단일 사용자 전용

단일 사용자만 액세스 권한을 사용하여 사용자 관리 노트북 인스턴스를 만들 때는 사용자 계정을 지정합니다. 지정된 사용자 계정은 JupyterLab 인터페이스에 액세스할 수 있는 유일한 사용자입니다. 지정된 사용자가 인스턴스의 생성자가 아닌 경우 지정된 사용자에게 인스턴스의 서비스 계정에 대한 서비스 계정 사용자 역할(roles/iam.serviceAccountUser)을 부여해야 합니다. 인스턴스가 다른 Google Cloud 리소스에 액세스해야 하는 경우 이 서비스 계정에 해당 Google Cloud 리소스에 대한 액세스 권한도 있어야 합니다.

단일 사용자에게 액세스 권한 부여

단일 사용자에게 액세스 권한을 부여하려면 다음 단계를 수행합니다.

1. 다음 사양으로 사용자 관리형 노트북 인스턴스를 만듭니다.

   1. 인스턴스 만들기 대화상자의 IAM 및 보안 섹션에서 단일 사용자 전용 액세스 모드를 선택합니다.

   2. 사용자 이메일 필드에 액세스 권한을 부여하려는 사용자 계정을 입력합니다.

2. 대화상자의 나머지 부분을 완료한 후 만들기를 클릭합니다.

서비스 계정

서비스 계정 액세스 권한이 있는 사용자 관리형 노트북 인스턴스를 만들 때는 서비스 계정을 지정하게 됩니다. 인스턴스가 다른 Google 리소스에 액세스해야 하는 경우 이 서비스 계정에 해당 Google 리소스에 대한 액세스 권한도 있어야 합니다.

서비스 계정을 지정할 때 다음 중 하나를 선택합니다.

• Compute Engine 기본 서비스 계정을 선택합니다.
• 커스텀 서비스 계정을 지정합니다. 커스텀 서비스 계정은 사용자 관리 노트북 인스턴스와 동일한 프로젝트에 있어야 합니다. 인스턴스를 만들려면 서비스 계정에 대해 iam.serviceAccounts.actAs 권한이 있어야 합니다.

서비스 계정을 통해 사용자에게 액세스 권한을 부여하려면 JupyterLab에 액세스해야 하는 사용자마다 지정된 서비스 계정에 iam.serviceAccounts.actAs 권한을 부여하도록 합니다.

서비스 계정을 통해 여러 사용자에게 액세스 권한 부여

1. 다음 사양으로 사용자 관리형 노트북 인스턴스를 만듭니다.

   1. 인스턴스 만들기 대화상자의 IAM 및 보안 섹션에서 서비스 계정 액세스 모드를 선택합니다.

   2. Compute Engine 기본 서비스 계정 또는 커스텀 서비스 계정을 선택합니다.

      • Compute Engine 기본 서비스 계정을 사용하려면 Compute Engine 기본 서비스 계정 사용을 선택합니다.

      • 커스텀 서비스 계정을 사용하려면 Compute Engine 기본 서비스 계정 사용을 선택 해제한 후 서비스 계정 이메일 필드에 커스텀 서비스 계정 이메일 주소를 입력합니다.

2. 대화상자의 나머지 부분을 완료한 후 만들기를 클릭합니다.

3. JupyterLab에 액세스해야 하는 사용자마다 서비스 계정에 대한 iam.serviceAccounts.actAs 권한을 부여합니다.

액세스 모드 메타데이터

사용자 관리 노트북 인스턴스 생성 중에 구성하는 액세스 모드는 노트북 메타데이터에 저장됩니다.

단일 사용자 전용 액세스 모드를 선택하면 Vertex AI Workbench에서 proxy-mode 및 proxy-user-mail 값을 저장합니다. 다음은 단일 사용자 액세스 메타데이터 항목의 예시입니다.

• proxy-mode=mail
• proxy-user-mail=user@example.com

서비스 계정 액세스 모드를 선택하면 Vertex AI Workbench에서 proxy-mode=service_account 메타데이터 항목을 저장합니다.

다음 단계

• 주 구성원에게 사용자 관리 노트북 인스턴스에 대한 액세스 권한을 부여하세요.

• 다른 Google 리소스에 대한 액세스 권한을 부여하는 방법은 다른 리소스에 대한 액세스 관리를 참조하세요.