Cette page a été traduite par l'API Cloud Translation.

Contrôler l'accès à Vertex AI Workbench

Vous pouvez accorder ou restreindre l'accès à Vertex AI Workbench pour une organisation ou un projet. Pour ce faire, définissez une règle d'administration à l'aide du type de règle GDCHRestrictedService, qui vous permet de limiter les services que vous pouvez utiliser sur Google Distributed Cloud (GDC) air-gapped. Lorsqu'elle est appliquée, la règle empêche l'utilisation des API auxquelles elle fait référence.

Par exemple, vous pouvez utiliser ce type de règle pour limiter l'utilisation de Vertex AI Workbench à des projets spécifiques. Seules les organisations ou les projets non soumis à des restrictions peuvent créer ou modifier des notebooks JupyterLab. Vous pouvez également utiliser la stratégie pour restreindre complètement l'accès au service Vertex AI Workbench, car vous souhaitez effectuer des tests avant d'autoriser vos équipes à l'utiliser.

Cette page explique comment accorder et restreindre l'accès à Vertex AI Workbench à l'aide du type de règle GDCHRestrictedService. Pour en savoir plus sur les règles d'administration et sur la façon de modifier la règle d'administration GDCHRestrictedService, consultez Configurer des règles d'administration.

Avant de commencer

Pour obtenir les autorisations nécessaires pour accorder ou restreindre l'accès à Vertex AI Workbench pour une organisation ou un projet, demandez à votre administrateur IAM de l'organisation de vous accorder le rôle de cluster Administrateur des règles de service restreintes GDC (gdchrestrictedservice-policy-admin) dans l'espace de noms de votre projet.

Pour en savoir plus sur ce rôle, consultez Préparer les autorisations IAM.

Restreindre l'accès à Vertex AI Workbench pour votre organisation

Pour restreindre l'accès à Vertex AI Workbench pour votre organisation, modifiez le type de règle GDCHRestrictedService en ajoutant le groupe d'API aiplatform.gdc.goog et le type Notebook au champ kinds de la règle.

L'exemple suivant montre à quoi ressemble le champ kinds dans le type de règle GDCHRestrictedService lorsque vous limitez l'accès à Vertex AI Workbench pour l'ensemble de votre organisation :

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: restrict-notebook-for-organization
spec:
  match:
    scope: "Namespaced"
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook

[...]

Pour restaurer l'accès d'une organisation à Vertex AI Workbench, consultez Accorder l'accès à Vertex AI Workbench à votre organisation.

Restreindre l'accès à Vertex AI Workbench pour un projet

Pour restreindre l'accès à Vertex AI Workbench pour un projet, modifiez le type de règle GDCHRestrictedService en ajoutant le groupe d'API aiplatform.gdc.goog et le type Notebook au champ kinds de la règle pour l'espace de noms du projet.

La différence avec la restriction d'accès pour une organisation est que vous devez spécifier l'espace de noms que la règle doit affecter. Ajoutez le champ namespaces à la règle avec l'espace de noms de votre projet.

L'exemple suivant montre à quoi ressemble le champ kinds dans le type de règle GDCHRestrictedService lorsque vous limitez l'accès à Vertex AI Workbench pour un projet :

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: restrict-notebook-for-organization
spec:
  match:
    scope: "Namespaced"
    namespaces: [PROJECT_NAMESPACE]
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook

[...]

Remplacez PROJECT_NAMESPACE par l'espace de noms du projet pour lequel vous souhaitez restreindre l'accès à Vertex AI Workbench.

Accorder l'accès à Vertex AI Workbench pour votre organisation

Par défaut, les organisations Distributed Cloud ont accès à Vertex AI Workbench. Toutefois, si vous avez limité l'accès à Vertex AI Workbench pour votre organisation, vous pouvez l'accorder à nouveau.

Pour accorder l'accès à Vertex AI Workbench pour tous les projets de votre organisation, procédez comme suit :

Identifiez le type de règle GDCHRestrictedService dans votre organisation.
Recherchez le groupe d'API aiplatform.gdc.goog et le type Notebook dans le règlement.
Si le groupe d'API aiplatform.gdc.goog et le type Notebook sont les seuls contenus du champ kinds de la règle, supprimez la ressource GDCHRestrictedService.
Si la règle GDCHRestrictedService contient d'autres services restreints, supprimez le groupe d'API aiplatform.gdc.goog et le type Notebook du champ kinds, puis enregistrez les modifications apportées à la règle.