管理使用者自行管理的筆記本執行個體 JupyterLab 介面的存取權
本頁說明如何授予 Vertex AI Workbench 使用者管理的筆記本執行個體 JupyterLab 介面的存取權。
您可以透過執行個體的存取模式,控管使用者管理的筆記本執行個體 JupyterLab 介面的存取權。建立由使用者管理的筆記本執行個體時,您可以設定 JupyterLab 存取模式。筆記本建立後即無法變更存取模式。
JupyterLab 存取模式會決定誰可以使用執行個體的 JupyterLab 介面。存取模式也會決定執行個體與其他 Google Cloud 服務互動時使用的憑證。
存取限制
授予主體使用者自管筆記本執行個體 JupyterLab 介面的存取權,並不會授予執行個體本身的存取權。舉例來說,如要啟動、停止或重設執行個體,您必須在執行個體上設定 IAM 政策,授予主體執行這些作業的存取權。如要授予使用者自行管理的筆記本執行個體存取權,請參閱「管理使用者自行管理的筆記本執行個體存取權」。
JupyterLab 存取模式
使用者管理的筆記本執行個體支援下列存取模式:
僅限單一使用者
建立「僅限單一使用者」存取的由使用者管理的筆記本執行個體時,請指定使用者帳戶。只有指定的使用者帳戶可以存取 JupyterLab 介面。如果指定的使用者不是執行個體的建立者,您必須將執行個體服務帳戶的服務帳戶使用者角色 (roles/iam.serviceAccountUser) 授予指定使用者。如果執行個體需要存取其他 Google Cloud 資源,這個服務帳戶也必須有權存取這些 Google Cloud 資源。
將存取權授予單一使用者
如要授予單一使用者存取權,請完成下列步驟。
建立由使用者管理的筆記本執行個體,規格如下:
在「建立執行個體」對話方塊的「IAM 和安全性」部分,選取「僅限單一使用者」存取模式。
在「使用者電子郵件」欄位中,輸入要授予存取權的使用者帳戶。
完成對話方塊的其餘部分,然後按一下「建立」。
服務帳戶
使用「服務帳戶」存取權建立使用者管理的筆記本執行個體時,您會指定服務帳戶。如果執行個體需要存取其他 Google 資源,這個服務帳戶也必須具備這些 Google 資源的存取權。
指定服務帳戶時,請選擇下列其中一個選項:
- 選取 Compute Engine 預設服務帳戶。
- 指定自訂服務帳戶。自訂服務帳戶必須與使用者管理的 Notebooks 執行個體位於同一個專案。如要建立執行個體,您必須具備服務帳戶的
iam.serviceAccounts.actAs權限。
如要透過服務帳戶授予使用者存取權,請為每個需要存取 JupyterLab 的使用者,授予指定服務帳戶的 iam.serviceAccounts.actAs 權限。
透過服務帳戶授予多位使用者存取權
建立由使用者管理的筆記本執行個體,規格如下:
在「建立執行個體」對話方塊的「IAM 和安全性」專區中,選取「服務帳戶」存取模式。
選擇 Compute Engine 預設服務帳戶或自訂服務帳戶。
如要使用 Compute Engine 預設服務帳戶,請選取「Use Compute Engine default service account」(使用 Compute Engine 預設服務帳戶)。
如要使用自訂服務帳戶,請取消勾選「使用 Compute Engine 預設服務帳戶」,然後在「服務帳戶電子郵件地址」欄位中,輸入自訂服務帳戶的電子郵件地址。
完成對話方塊的其餘部分,然後按一下「建立」。
為需要存取 JupyterLab 的每位使用者授予服務帳戶的
iam.serviceAccounts.actAs權限。
存取模式中繼資料
您在建立使用者管理的筆記本執行個體時設定的存取模式,會儲存在筆記本中繼資料中。
選取「僅限單一使用者」存取模式時,Vertex AI Workbench 會儲存 proxy-mode 和 proxy-user-mail 的值。以下是單一使用者存取中繼資料項目的範例:
proxy-mode=mailproxy-user-mail=user@example.com
選取「服務帳戶」存取模式時,Vertex AI Workbench 會儲存 proxy-mode=service_account 中繼資料項目。
後續步驟
如要瞭解如何授予其他 Google 資源的存取權,請參閱「管理其他資源的存取權」。