組織またはプロジェクトに対して Vertex AI Workbench へのアクセス権を付与または制限できます。これを行うには、GDCHRestrictedService ポリシータイプを使用して組織のポリシーを定義します。これにより、Google Distributed Cloud(GDC)エアギャップで使用できるサービスを制限できます。このポリシーが適用されると、参照されている API の使用が禁止されます。
たとえば、このポリシータイプを使用して、Vertex AI Workbench の使用を特定のプロジェクトに制限できます。JupyterLab ノートブックを作成または更新できるのは、制限のない組織またはプロジェクトのみです。また、チームが使用する前にテストを実行するため、このポリシーを使用して Vertex AI Workbench サービスへのアクセスを完全に制限することもできます。
このページでは、GDCHRestrictedService ポリシータイプを使用して Vertex AI Workbench へのアクセス権を付与および制限する方法について説明します。組織のポリシーと GDCHRestrictedService 組織のポリシーを編集する方法の詳細については、組織のポリシーを構成するをご覧ください。
始める前に
組織またはプロジェクトの Vertex AI Workbench へのアクセス権を付与または制限するために必要な権限を取得するには、組織の IAM 管理者に、プロジェクトの Namespace で GDC 制限付きサービス ポリシー管理者(gdchrestrictedservice-policy-admin)クラスタロールを付与するよう依頼してください。
このロールの詳細については、IAM 権限を準備するをご覧ください。
組織の Vertex AI Workbench へのアクセスを制限する
組織の Vertex AI Workbench へのアクセスを制限するには、aiplatform.gdc.goog API グループと Notebook 種類をポリシーの kinds フィールドに追加して、GDCHRestrictedService ポリシータイプを編集します。
次の例は、組織全体で Vertex AI Workbench へのアクセスを制限した場合の GDCHRestrictedService ポリシータイプの kinds フィールドを示しています。
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
組織の Vertex AI Workbench へのアクセス権を復元するには、組織の Vertex AI Workbench へのアクセス権を付与するをご覧ください。
プロジェクトの Vertex AI Workbench へのアクセスを制限する
プロジェクトの Vertex AI Workbench へのアクセスを制限するには、プロジェクト Namespace のポリシーの kinds フィールドに aiplatform.gdc.goog API グループと Notebook 種類を追加して、GDCHRestrictedService ポリシータイプを編集します。
組織のアクセスを制限する場合との違いは、ポリシーが影響する名前空間を指定する必要があることです。プロジェクトの Namespace を使用して、namespaces フィールドをポリシーに追加します。
次の例は、プロジェクトの Vertex AI Workbench へのアクセスを制限した場合の GDCHRestrictedService ポリシータイプの kinds フィールドを示しています。
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
namespaces: [PROJECT_NAMESPACE]
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
PROJECT_NAMESPACE は、Vertex AI Workbench へのアクセスを制限するプロジェクトの Namespace に置き換えます。
組織の Vertex AI Workbench へのアクセス権を付与する
デフォルトでは、Distributed Cloud 組織は Vertex AI Workbench にアクセスできます。ただし、組織の Vertex AI Workbench へのアクセスを制限した場合は、アクセス権を再度付与できます。
組織内のすべてのプロジェクトに Vertex AI Workbench へのアクセス権を付与する手順は次のとおりです。
組織内の
GDCHRestrictedServiceポリシータイプを特定します。ポリシーで
aiplatform.gdc.googAPI グループとNotebook種類を見つけます。aiplatform.gdc.googAPI グループとNotebook種類がポリシーのkindsフィールドの唯一のコンテンツである場合は、GDCHRestrictedServiceリソースを削除します。GDCHRestrictedServiceポリシーに他の制限付きサービスが含まれている場合は、kindsフィールドからaiplatform.gdc.googAPI グループとNotebook種類を削除し、ポリシーの変更を保存します。