Gestire l'accesso a un'istanza di blocchi note gestiti dall'utente
Questa guida descrive come concedere l'accesso a un'istanza specifica di notebook gestiti dall'utente di Vertex AI Workbench. Per gestire l'accesso alle risorse Vertex AI, consulta la pagina di Vertex AI sul controllo dell'accesso.
Puoi concedere l'accesso a un'istanza di notebook gestiti dall'utente impostando una policy IAM (Identity and Access Management) sull'istanza. La policy vincola una o più entità, ad esempio un utente o un account di serviziot, a uno o più ruoli. Ogni ruolo contiene un elenco di autorizzazioni che consentono all'entità di interagire con l'istanza.
Puoi concedere l'accesso a un'istanza anziché a una risorsa padre come un progetto, una cartella o un'organizzazione, per applicare il principio del privilegio minimo.
Se concedi l'accesso a una risorsa principale (ad esempio a un progetto), concedi implicitamente l'accesso a tutte le sue risorse secondarie (ad esempio a tutte le istanze del progetto). Per limitare l'accesso alle risorse, imposta le policy IAM sulle risorse di livello inferiore, se possibile, anziché a livello di progetto o superiore.
Per informazioni generali su come concedere, modificare e revocare l'accesso alle risorse non correlate a Vertex AI Workbench, ad esempio per concedere l'accesso a un progetto Google Cloud , consulta la documentazione IAM relativa a Gestione dell'accesso a progetti, cartelle e organizzazioni.
Limitazioni di accesso
L'accesso a un'istanza può includere un'ampia gamma di funzionalità, a seconda del ruolo che assegni all'entità. Ad esempio, puoi concedere a un principal la possibilità di avviare, arrestare, eseguire l'upgrade e monitorare lo stato di integrità di un'istanza. Per l'elenco completo delle autorizzazioni IAM disponibili, consulta Ruoli IAM predefiniti per i notebook gestiti dall'utente.
Tuttavia, anche se concedi a un principal l'accesso completo a un'istanza di blocchi note gestiti dall'utente, non gli concedi la possibilità di utilizzare l'interfaccia JupyterLab dell'istanza. Per concedere l'accesso all'interfaccia JupyterLab, consulta Gestire l'accesso all'interfaccia JupyterLab di un'istanza di blocchi note gestiti dall'utente.
Concedere l'accesso alle istanze di blocchi note gestiti dall'utente
Per concedere agli utenti l'autorizzazione di accesso a una specifica istanza di notebook gestiti dall'utente, imposta una policy IAM sull'istanza.
gcloud
Per concedere un ruolo a un'entità in un'istanza di blocchi note gestiti dall'utente, utilizza il comando get-iam-policy per recuperare la policy attuale, modifica l'accesso della policy attuale e poi utilizza il comando set-iam-policy per aggiornare la policy sull'istanza.
Recupera la norma attuale
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- INSTANCE_NAME: Il nome dell'istanza di blocchi note gestiti dall'utente
- PROJECT_ID: il tuo ID progetto Google Cloud
- ZONE: la zona in cui si trova l'istanza
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud notebooks instances get-iam-policy INSTANCE_NAME --project=PROJECT_ID --location=ZONE
Windows (PowerShell)
gcloud notebooks instances get-iam-policy INSTANCE_NAME --project=PROJECT_ID --location=ZONE
Windows (cmd.exe)
gcloud notebooks instances get-iam-policy INSTANCE_NAME --project=PROJECT_ID --location=ZONE
{
"bindings": [
{
"role": "roles/notebooks.viewer",
"members": [
"user:email@example.com"
]
}
],
"etag": "BwWWja0YfJA=",
"version": 3
}
Modifica la norma
Modifica la policy con un editor di testo per aggiungere o rimuovere le entità e i relativi ruoli associati. Ad esempio, per concedere il ruolo
notebooks.adminaeve@example.com, aggiungi la seguente nuova associazione alla policy nella sezione"bindings":{ "role": "roles/notebooks.admin", "members": [ "user:eve@example.com" ] }Dopo aver aggiunto la nuova associazione, il criterio potrebbe avere il seguente aspetto:
{ "bindings": [ { "role": "roles/notebooks.viewer", "members": [ "user:email@example.com" ] }, { "role": "roles/notebooks.admin", "members": [ "user:eve@example.com" ] } ], "etag": "BwWWja0YfJA=", "version": 3 }Salva il criterio aggiornato in un file denominato
request.json.
Aggiorna il criterio sull'istanza
Nel corpo della richiesta, fornisci la policy IAM
aggiornata del passaggio precedente, nidificata all'interno di una sezione "policy".
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- INSTANCE_NAME: Il nome dell'istanza di blocchi note gestiti dall'utente
- PROJECT_ID: il tuo ID progetto Google Cloud
- ZONE: la zona in cui si trova l'istanza
Salva i seguenti contenuti in un file denominato request.json:
{ "policy": { "bindings": [ { "role": "roles/notebooks.viewer", "members": [ "user:email@example.com" ] }, { "role": "roles/notebooks.admin", "members": [ "user:eve@example.com" ] } ], "etag": "BwWWja0YfJA=", "version": 3 } }
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud notebooks instances set-iam-policy INSTANCE_NAME --project=PROJECT_ID --location=ZONE request.json --format=json
Windows (PowerShell)
gcloud notebooks instances set-iam-policy INSTANCE_NAME --project=PROJECT_ID --location=ZONE request.json --format=json
Windows (cmd.exe)
gcloud notebooks instances set-iam-policy INSTANCE_NAME --project=PROJECT_ID --location=ZONE request.json --format=json
Concedere l'accesso all'interfaccia JupyterLab
La concessione dell'accesso a un principal a un'istanza di blocchi note gestiti dall'utente non concede la possibilità di utilizzare l'interfaccia JupyterLab dell'istanza. Per concedere l'accesso all'interfaccia JupyterLab, consulta Gestire l'accesso all'interfaccia JupyterLab di un'istanza di blocchi note gestiti dall'utente.
API
Per concedere un ruolo a un principal su
un'istanza di notebook gestiti dall'utente, utilizza il
metodo getIamPolicy
per recuperare il criterio attuale,
modificare l'accesso del criterio attuale e poi utilizzare il
metodo setIamPolicy
per aggiornare il criterio sull'istanza.
Recupera la norma attuale
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
- INSTANCE_NAME: Il nome dell'istanza di blocchi note gestiti dall'utente
Metodo HTTP e URL:
GET https://notebooks.googleapis.com/v1/INSTANCE_NAME:getIamPolicy
Per inviare la richiesta, scegli una di queste opzioni:
curl
Esegui questo comando:
curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://notebooks.googleapis.com/v1/INSTANCE_NAME:getIamPolicy"
PowerShell
Esegui questo comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method GET `
-Headers $headers `
-Uri "https://notebooks.googleapis.com/v1/INSTANCE_NAME:getIamPolicy" | Select-Object -Expand Content
{
"bindings": [
{
"role": "roles/notebooks.viewer",
"members": [
"user:email@example.com"
]
}
],
"etag": "BwWWja0YfJA=",
"version": 3
}
Modifica la norma
Modifica la policy con un editor di testo per aggiungere o rimuovere le entità e
i relativi ruoli associati. Ad esempio, per concedere il ruolo notebooks.admin a
eve@example.com, aggiungi la seguente nuova associazione alla policy
nella sezione "bindings":
{
"role": "roles/notebooks.admin",
"members": [
"user:eve@example.com"
]
}
Dopo aver aggiunto la nuova associazione, il criterio potrebbe avere il seguente aspetto:
{
"bindings": [
{
"role": "roles/notebooks.viewer",
"members": [
"user:email@example.com"
]
},
{
"role": "roles/notebooks.admin",
"members": [
"user:eve@example.com"
]
}
],
"etag": "BwWWja0YfJA=",
"version": 3
}
Aggiorna il criterio sull'istanza
Nel corpo della richiesta, fornisci la policy IAM
aggiornata del passaggio precedente, nidificata all'interno di una sezione "policy".
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
- INSTANCE_NAME: Il nome dell'istanza di blocchi note gestiti dall'utente
Metodo HTTP e URL:
POST https://notebooks.googleapis.com/v1/INSTANCE_NAME:setIamPolicy
Corpo JSON della richiesta:
{
"policy": {
"bindings": [
{
"role": "roles/notebooks.viewer",
"members": [
"user:email@example.com"
]
},
{
"role": "roles/notebooks.admin",
"members": [
"user:eve@example.com"
]
}
],
"etag": "BwWWja0YfJA=",
"version": 3
}
}
Per inviare la richiesta, scegli una di queste opzioni:
curl
Salva il corpo della richiesta in un file denominato request.json,
ed esegui questo comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://notebooks.googleapis.com/v1/INSTANCE_NAME:setIamPolicy"
PowerShell
Salva il corpo della richiesta in un file denominato request.json,
ed esegui questo comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://notebooks.googleapis.com/v1/INSTANCE_NAME:setIamPolicy" | Select-Object -Expand Content
Dovresti ricevere un codice di stato riuscito (2xx) e una risposta vuota.
Concedere l'accesso all'interfaccia JupyterLab
La concessione dell'accesso a un principal a un'istanza di blocchi note gestiti dall'utente non concede la possibilità di utilizzare l'interfaccia JupyterLab dell'istanza. Per concedere l'accesso all'interfaccia JupyterLab, consulta Gestire l'accesso all'interfaccia JupyterLab di un'istanza di blocchi note gestiti dall'utente.
Passaggi successivi
Per saperne di più su Identity and Access Management (IAM) e su come i ruoli IAM possono contribuire a concedere e limitare l'accesso, consulta la documentazione IAM.
Scopri di più sui ruoli IAM disponibili per i notebook gestiti dall'utente di Vertex AI Workbench.
Scopri come creare e gestire i ruoli personalizzati.
Per scoprire come concedere l'accesso ad altre risorse Google, consulta Gestire l'accesso ad altre risorse.