Kontrol akses dengan IAM
Halaman ini menjelaskan cara menggunakan Identity and Access Management (IAM) untuk mengelola akses ke resource Colab Enterprise. Untuk mengelola akses untuk resource Vertex AI lainnya, lihat Kontrol akses Vertex AI dengan IAM.
Mengontrol akses ke notebook dengan IAM
Anda dapat mengelola akses ke notebook Colab Enterprise (file IPYNB) di level project atau per notebook.
- Untuk memberikan akses ke notebook di tingkat project, tetapkan satu atau beberapa peran ke akun utama (pengguna, grup, atau akun layanan).
- Untuk memberikan akses ke notebook tertentu, tetapkan satu atau beberapa peran ke prinsipal di notebook. Untuk mempelajari lebih lanjut, lihat Mengelola akses ke notebook.
Menjalankan kode yang berinteraksi dengan layanan Google Cloud lain
Pemberian akses ke notebook dibatasi pada izin tertentu yang terkait dengan interaksi dengan notebook. Misalnya, Anda dapat memberikan kemampuan untuk membuat notebook, menulis kode di dalamnya, atau menghapus notebook.
Untuk menjalankan kode yang berinteraksi dengan layanan Google Cloud lain, Anda harus menggunakan salah satu metode berikut:
Menjalankan kode di runtime dengan kredensial pengguna akhir yang diaktifkan. Artinya, notebook Anda memiliki akses yang sama ke layanan Google Cloud seperti pengguna notebook Anda.
Jalankan kode yang mengautentikasi dan memberi otorisasi notebook Anda untuk berinteraksi dengan layananGoogle Cloud .
Untuk mempelajari lebih lanjut, lihat Menjalankan kode yang berinteraksi dengan Google Cloud.
Jenis peran IAM
Ada berbagai jenis peran IAM yang dapat digunakan di Colab Enterprise:
Peran yang telah ditetapkan memungkinkan Anda memberikan serangkaian izin terkait ke resource Colab Enterprise di level project.
Peran dasar (Pemilik, Editor, dan Viewer) memberikan kontrol akses ke resource Colab Enterprise Anda di level project, dan bersifat umum untuk semua layanan Google Cloud.
Peran khusus memungkinkan Anda memilih sekumpulan izin tertentu, membuat peran Anda sendiri dengan izin tersebut, dan memberikan peran tersebut kepada pengguna di organisasi Anda.
Untuk menambahkan, memperbarui, atau menghapus peran ini dalam project Colab Enterprise, lihat dokumentasi tentang mengelola akses ke project, folder, dan organisasi.
Peran bawaan untuk Colab Enterprise
Colab Enterprise adalah bagian dari Vertex AI, dan resource Colab Enterprise dikelola melalui Vertex AI API. Oleh karena itu, Anda dapat memberikan akses ke resource Colab Enterprise kepada akun utama melalui peran Vertex AI.
Tabel berikut menyertakan semua peran standar Vertex AI.
Untuk menggunakan peran yang telah ditentukan untuk operasi Colab Enterprise umum, lihat Admin Colab Enterprise (
roles/aiplatform.colabEnterpriseAdmin) dan Pengguna Colab Enterprise (roles/aiplatform.colabEnterpriseUser).Untuk peran yang terkait dengan pengelolaan runtime, lihat Notebook Runtime Admin (
roles/aiplatform.notebookRuntimeAdmin) dan Notebook Runtime User (roles/aiplatform.notebookRuntimeUser).Vertex AI Administrator (
roles/aiplatform.admin), Vertex AI User (roles/aiplatform.user), dan Vertex AI Viewer (roles/aiplatform.viewer) juga menyertakan izin Colab Enterprise.
Peran dasar
Peran dasar Google Cloud yang lama bersifat umum untuk semua layanan Google Cloud . Peran ini terdiri dari Pemilik, Editor, dan Viewer.
Peran dasar memberikan izin di seluruh Google Cloud, tidak hanya untuk Colab Enterprise. Karena alasan ini, Anda harus menggunakan peran Colab Enterprise jika memungkinkan.
Peran khusus
Jika peran IAM yang telah ditetapkan untuk Colab Enterprise tidak memenuhi kebutuhan Anda, Anda dapat menentukan peran kustom. Peran khusus memungkinkan Anda memilih sekumpulan izin tertentu, membuat peran Anda sendiri dengan izin tersebut, dan memberikan peran tersebut kepada pengguna di organisasi Anda. Untuk informasi selengkapnya, lihat Memahami peran khusus IAM.
Agen layanan untuk Colab Enterprise
Colab Enterprise secara otomatis membuat dan menggunakan agen layanan untuk mengakses resource atas nama Anda. Saat dibuat, agen layanan akan diberi peran yang telah ditetapkan untuk project Anda.
Tabel berikut mencantumkan agen layanan Colab Enterprise, alamat email mereka, dan peran masing-masing:
| Nama | Digunakan untuk | Alamat email | Peran |
|---|---|---|---|
| Agen Layanan Vertex AI | Kemampuan Vertex AI | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
roles/aiplatform.serviceAgent |
| Agen Layanan Colab Vertex AI | Memberikan izin yang tepat agar Colab Enterprise dapat berfungsi | service-PROJECT_NUMBER@gcp-sa-vertex-nb.iam.gserviceaccount.com |
roles/aiplatform.colabServiceAgent |
| Agen Layanan Notebook Vertex AI | Menjalankan resource yang dikelola notebook di project pengguna dengan izin terbatas | service-PROJECT_NUMBER@gcp-sa-aiplatform-vm.iam.gserviceaccount.com |
roles/aiplatform.notebookServiceAgent |
Jika Anda menghapus peran default agen layanan Colab Enterprise, Colab Enterprise dapat otomatis menetapkan ulang peran tersebut untuk memastikan fungsi layanan tidak terganggu. Untuk menonaktifkan layanan Colaboratory Enterprise, Anda harus menonaktifkan API yang relevan, bukan menghapus peran.
Langkah selanjutnya
Pelajari cara membuat dan mengelola peran IAM kustom.
Pelajari Agen layanan lebih lanjut