Puoi concedere e limitare l'accesso a Vertex AI Workbench per un'organizzazione o un progetto. A questo scopo, definisci un criterio dell'organizzazione utilizzando il tipo di criterio GDCHRestrictedService, che ti consente di limitare il servizio che puoi utilizzare su Google Distributed Cloud (GDC) air-gapped. Una volta applicato, il criterio impedisce l'utilizzo delle API a cui fa riferimento.
Ad esempio, puoi utilizzare questo tipo di criterio per limitare l'utilizzo di Vertex AI Workbench a progetti specifici. Solo le organizzazioni o i progetti non limitati possono creare o aggiornare i notebook JupyterLab. Puoi anche utilizzare le norme per limitare completamente l'accesso al servizio Vertex AI Workbench perché vuoi eseguire dei test prima di consentire ai tuoi team di utilizzarlo.
Questa pagina descrive come concedere e limitare l'accesso a
Vertex AI Workbench utilizzando il tipo di policy GDCHRestrictedService. Per
scoprire di più sulle policy dell'organizzazione e su come modificare la
policy dell'organizzazione GDCHRestrictedService, consulta
Configurare le policy dell'organizzazione.
Prima di iniziare
Per ottenere le autorizzazioni necessarie per concedere o limitare l'accesso a Vertex AI Workbench per un'organizzazione o un progetto, chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo del cluster Amministratore delle norme di servizio con limitazioni GDC (gdchrestrictedservice-policy-admin) nello spazio dei nomi del progetto.
Per saperne di più su questo ruolo, consulta Preparare le autorizzazioni IAM.
Limitare l'accesso a Vertex AI Workbench per la tua organizzazione
Per limitare l'accesso a Vertex AI Workbench per la tua organizzazione, modifica il tipo di criterio GDCHRestrictedService aggiungendo il gruppo API aiplatform.gdc.goog e il tipo Notebook al campo kinds del criterio.
L'esempio seguente mostra l'aspetto del campo kinds nel tipo di policy GDCHRestrictedService quando limiti l'accesso a Vertex AI Workbench per l'intera organizzazione:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
Per ripristinare l'accesso di un'organizzazione a Vertex AI Workbench, consulta la pagina Concedere l'accesso a Vertex AI Workbench per la tua organizzazione.
Limita l'accesso a Vertex AI Workbench per un progetto
Per limitare l'accesso a Vertex AI Workbench per un progetto, modifica il
tipo di criterio GDCHRestrictedService aggiungendo il gruppo
API aiplatform.gdc.goog e il tipo Notebook al campo kinds del criterio per lo spazio dei nomi
del progetto.
La differenza rispetto alla limitazione dell'accesso per un'organizzazione
è che devi specificare lo spazio dei nomi che deve essere interessato dal criterio. Aggiungi il campo
namespaces al criterio con lo spazio dei nomi del progetto.
L'esempio seguente mostra l'aspetto del campo kinds nel tipo di norma GDCHRestrictedService quando limiti l'accesso a Vertex AI Workbench per un progetto:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
namespaces: [PROJECT_NAMESPACE]
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
Sostituisci PROJECT_NAMESPACE con lo spazio dei nomi del progetto
in cui vuoi limitare l'accesso a Vertex AI Workbench.
Concedere l'accesso a Vertex AI Workbench per la tua organizzazione
Per impostazione predefinita, le organizzazioni Distributed Cloud hanno accesso a Vertex AI Workbench. Tuttavia, se hai limitato l'accesso a Vertex AI Workbench per la tua organizzazione, puoi concedere nuovamente l'accesso.
Segui questi passaggi per concedere l'accesso a Vertex AI Workbench per tutti i progetti della tua organizzazione:
Identifica il tipo di policy
GDCHRestrictedServicenella tua organizzazione.Trova il gruppo di API
aiplatform.gdc.googe il tipoNotebooknel criterio.Se il gruppo API
aiplatform.gdc.googe il tipoNotebooksono gli unici contenuti nel campokindsdelle norme, elimina la risorsaGDCHRestrictedService.Se il criterio
GDCHRestrictedServicecontiene altri servizi con limitazioni, rimuovi il gruppo APIaiplatform.gdc.googe il tipoNotebookdal campokindse salva le modifiche al criterio.