É possível conceder e restringir o acesso ao Vertex AI Workbench para uma organização ou um projeto. Para isso, defina uma política da organização usando o tipo de política GDCHRestrictedService, que permite restringir qual serviço pode ser usado no Google Distributed Cloud (GDC) isolado por ar. Quando aplicada, a política impede o uso das APIs a que ela se refere.
Por exemplo, é possível usar esse tipo de política para restringir o uso do Vertex AI Workbench a projetos específicos. Somente organizações ou projetos não restritos podem criar ou atualizar notebooks do JupyterLab. Você também pode usar a política para restringir completamente o acesso ao serviço do Vertex AI Workbench porque quer executar testes antes de permitir que suas equipes o usem.
Nesta página, descrevemos como conceder e restringir o acesso ao
Vertex AI Workbench usando o tipo de política GDCHRestrictedService. Para
saber mais sobre políticas da organização e como editar a
política da organização GDCHRestrictedService, consulte
Configurar políticas da organização.
Antes de começar
Para receber as permissões necessárias para conceder ou restringir o acesso ao Vertex AI Workbench em uma organização ou um projeto, peça ao administrador do IAM da organização para conceder a você a função de administrador da política de serviço restrito do GDC (gdchrestrictedservice-policy-admin) no namespace do projeto.
Para mais informações sobre esse papel, consulte Preparar permissões do IAM.
Restringir o acesso ao Vertex AI Workbench na sua organização
Para restringir o acesso ao Vertex AI Workbench na sua organização, edite o tipo de política GDCHRestrictedService adicionando o grupo de APIs aiplatform.gdc.goog e o tipo Notebook ao campo kinds da política.
O exemplo a seguir mostra como o campo kinds aparece no tipo de política GDCHRestrictedService quando você restringe o acesso ao Vertex AI Workbench para toda a organização:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
Para restaurar o acesso de uma organização ao Vertex AI Workbench, consulte Conceder acesso ao Vertex AI Workbench para sua organização.
Restringir o acesso ao Vertex AI Workbench para um projeto
Para restringir o acesso ao Vertex AI Workbench em um projeto, edite o tipo de política GDCHRestrictedService adicionando o grupo de API aiplatform.gdc.goog e o tipo Notebook ao campo kinds da política para o namespace do projeto.
A diferença em relação a restringir o acesso de uma organização é que você precisa especificar o namespace que a política vai afetar. Adicione o campo
namespaces à política com o namespace do projeto.
O exemplo a seguir mostra como o campo kinds aparece no tipo de política
GDCHRestrictedService quando você restringe o acesso ao
Vertex AI Workbench para um projeto:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
namespaces: [PROJECT_NAMESPACE]
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
Substitua PROJECT_NAMESPACE pelo namespace do projeto
em que você quer restringir o acesso ao Vertex AI Workbench.
Conceder acesso ao Vertex AI Workbench para sua organização
Por padrão, as organizações do Distributed Cloud têm acesso ao Vertex AI Workbench. No entanto, se você restringiu o acesso ao Vertex AI Workbench para sua organização, é possível conceder acesso novamente.
Siga estas etapas para conceder acesso ao Vertex AI Workbench a todos os projetos da sua organização:
Identifique o tipo de política
GDCHRestrictedServicena sua organização.Encontre o grupo de APIs
aiplatform.gdc.googe o tipoNotebookna política.Se o grupo de API
aiplatform.gdc.googe o tipoNotebookforem o único conteúdo no campokindsda política, exclua o recursoGDCHRestrictedService.Se a política
GDCHRestrictedServicecontiver outros serviços restritos, remova o grupo de APIsaiplatform.gdc.googe o tipoNotebookdo campokindse salve as mudanças na política.