Anda dapat memberikan dan membatasi akses ke Vertex AI Workbench untuk
organisasi atau project. Untuk melakukannya, Anda menentukan kebijakan organisasi menggunakan jenis kebijakan
GDCHRestrictedService, yang memungkinkan Anda membatasi layanan yang dapat digunakan di Google Distributed Cloud (GDC) yang terisolasi. Jika diterapkan, kebijakan ini akan mencegah
penggunaan API yang dirujuknya.
Misalnya, Anda dapat menggunakan jenis kebijakan ini untuk membatasi penggunaan Vertex AI Workbench ke project tertentu. Hanya organisasi atau project yang tidak dibatasi yang dapat membuat atau mengupdate notebook JupyterLab. Anda juga dapat menggunakan kebijakan untuk membatasi akses sepenuhnya ke layanan Vertex AI Workbench karena Anda ingin menjalankan pengujian sebelum mengizinkan tim Anda menggunakannya.
Halaman ini menjelaskan cara memberikan dan membatasi akses ke
Vertex AI Workbench menggunakan jenis kebijakan GDCHRestrictedService. Untuk
mempelajari lebih lanjut kebijakan organisasi dan cara mengedit kebijakan organisasi
GDCHRestrictedService, lihat
Mengonfigurasi kebijakan organisasi.
Sebelum memulai
Untuk mendapatkan izin yang Anda perlukan guna memberikan atau membatasi akses ke Vertex AI Workbench untuk organisasi atau project, minta Admin IAM Organisasi Anda untuk memberi Anda peran cluster GDC Restricted Service Policy Admin (gdchrestrictedservice-policy-admin) di namespace project Anda.
Untuk mengetahui informasi selengkapnya tentang peran ini, lihat Siapkan izin IAM.
Membatasi akses ke Vertex AI Workbench untuk organisasi Anda
Untuk membatasi akses ke Vertex AI Workbench bagi organisasi Anda, edit
jenis kebijakan GDCHRestrictedService dengan menambahkan grup
API aiplatform.gdc.goog dan jenis Notebook ke kolom kinds kebijakan.
Contoh berikut menunjukkan tampilan kolom kinds dalam jenis kebijakan GDCHRestrictedService saat Anda membatasi akses ke Vertex AI Workbench untuk seluruh organisasi Anda:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
Untuk memulihkan akses organisasi ke Vertex AI Workbench, lihat Memberikan akses ke Vertex AI Workbench untuk organisasi Anda.
Membatasi akses ke Vertex AI Workbench untuk project
Untuk membatasi akses ke Vertex AI Workbench untuk project, edit jenis kebijakan GDCHRestrictedService dengan menambahkan grup API aiplatform.gdc.goog dan jenis Notebook ke kolom kinds kebijakan untuk namespace project.
Perbedaannya dengan membatasi akses untuk organisasi
adalah Anda harus menentukan namespace yang harus dipengaruhi oleh kebijakan. Tambahkan kolom
namespaces ke kebijakan dengan namespace project Anda.
Contoh berikut menunjukkan tampilan kolom kinds dalam
jenis kebijakan GDCHRestrictedService saat Anda membatasi akses ke
Vertex AI Workbench untuk project:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
namespaces: [PROJECT_NAMESPACE]
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
Ganti PROJECT_NAMESPACE dengan namespace project tempat Anda ingin membatasi akses ke Vertex AI Workbench.
Memberikan akses ke Vertex AI Workbench untuk organisasi Anda
Secara default, organisasi Distributed Cloud memiliki akses ke Vertex AI Workbench. Namun, jika Anda membatasi akses ke Vertex AI Workbench untuk organisasi Anda, Anda dapat memberikan akses lagi.
Ikuti langkah-langkah berikut untuk memberikan akses ke Vertex AI Workbench bagi semua project di organisasi Anda:
Identifikasi jenis kebijakan
GDCHRestrictedServicedi organisasi Anda.Temukan grup API
aiplatform.gdc.googdan jenisNotebookdalam kebijakan.Jika grup API
aiplatform.gdc.googdan jenisNotebookadalah satu-satunya konten di kolomkindskebijakan, hapus resourceGDCHRestrictedService.Jika kebijakan
GDCHRestrictedServiceberisi layanan terbatas lainnya, hapus grup APIaiplatform.gdc.googdan jenisNotebookdari kolomkinds, lalu simpan perubahan pada kebijakan.