控制对 Vertex AI Workbench 的访问权限

您可以为组织或项目授予和限制对 Vertex AI Workbench 的访问权限。为此,您可以使用 GDCHRestrictedService 政策类型定义组织政策,该政策类型可让您限制可在 Google Distributed Cloud (GDC) 气隙环境中使用的服务。应用后,该政策会阻止使用其引用的 API。

例如,您可以使用此政策类型将 Vertex AI Workbench 的使用限制为特定项目。只有非受限的组织或项目才能创建或更新 JupyterLab 笔记本。您还可以使用该政策完全限制对 Vertex AI Workbench 服务的访问权限,因为您希望在允许团队使用该服务之前先运行测试。

本页面介绍了如何使用 GDCHRestrictedService 政策类型授予和限制对 Vertex AI Workbench 的访问权限。如需详细了解组织政策以及如何修改 GDCHRestrictedService 组织政策,请参阅配置组织政策

准备工作

如需获得授予或限制对组织或项目的 Vertex AI Workbench 的访问权限所需的权限,请让您的组织 IAM 管理员为您授予项目命名空间中的 GDC Restricted Service Policy Admin (gdchrestrictedservice-policy-admin) 集群角色。

如需详细了解此角色,请参阅准备 IAM 权限

限制组织对 Vertex AI Workbench 的访问权限

如需限制组织对 Vertex AI Workbench 的访问权限,请通过向政策的 kinds 字段添加 aiplatform.gdc.goog API 组和 Notebook 种类来修改 GDCHRestrictedService 政策类型。

以下示例展示了当您限制整个组织对 Vertex AI Workbench 的访问权限时,kinds 字段在 GDCHRestrictedService 政策类型中的外观:

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: restrict-notebook-for-organization
spec:
  match:
    scope: "Namespaced"
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook

[...]

如需恢复组织对 Vertex AI Workbench 的访问权限,请参阅为组织授予对 Vertex AI Workbench 的访问权限

限制对项目的 Vertex AI Workbench 的访问权限

如需限制对项目的 Vertex AI Workbench 的访问权限,请修改 GDCHRestrictedService 政策类型,方法是将 aiplatform.gdc.goog API 组和 Notebook 种类添加到项目命名空间的政策的 kinds 字段中。

限制组织的访问权限不同的是,您必须指定政策应影响的命名空间。向政策添加 namespaces 字段,并指定您的项目命名空间。

以下示例展示了当您限制对某个项目的 Vertex AI Workbench 的访问权限时,GDCHRestrictedService 政策类型中的 kinds 字段会是什么样子:

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: restrict-notebook-for-organization
spec:
  match:
    scope: "Namespaced"
    namespaces: [PROJECT_NAMESPACE]
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook

[...]

PROJECT_NAMESPACE 替换为要限制对 Vertex AI Workbench 的访问权限的项目的命名空间。

为组织授予对 Vertex AI Workbench 的访问权限

默认情况下,Distributed Cloud 组织可以访问 Vertex AI Workbench。不过,如果您限制了组织对 Vertex AI Workbench 的访问权限,则可以重新授予访问权限。

请按照以下步骤为组织中的所有项目授予对 Vertex AI Workbench 的访问权限:

  1. 确定组织中的 GDCHRestrictedService 政策类型。

  2. 在政策中找到 aiplatform.gdc.goog API 组和 Notebook 种类。

  3. 如果 aiplatform.gdc.goog API 组和 Notebook kind 是政策的 kinds 字段中唯一的 content,请删除 GDCHRestrictedService 资源。

  4. 如果 GDCHRestrictedService 政策包含其他受限服务,请从 kinds 字段中移除 aiplatform.gdc.goog API 组和 Notebook 种类,然后保存对政策所做的更改。