Questa pagina è stata tradotta dall'API Cloud Translation.

Gestire l'accesso a un'istanza di notebook gestita

Questa guida descrive come concedere l'accesso a un'istanza di notebook gestiti di Vertex AI Workbench specifica. Per gestire l'accesso alle risorse Vertex AI, consulta la pagina di Vertex AI sul controllo dell'accesso.

Puoi concedere l'accesso a un'istanza di Notebook gestita impostando un criterio IAM (Identity and Access Management) sull'istanza. Il criterio associa una o più entità, ad esempio un utente o un account di servizio, a uno o più ruoli. Ogni ruolo contiene un elenco di autorizzazioni che consentono all'entità di interagire con l'istanza.

Per applicare il principio del privilegio minimo, puoi concedere l'accesso a un'istanza anziché a una risorsa principale come un progetto, una cartella o un'organizzazione.

Se concedi l'accesso a una risorsa principale (ad esempio a un progetto), concedi implicitamente l'accesso a tutte le sue risorse figlie (ad esempio a tutte le istanze del progetto). Per limitare l'accesso alle risorse, imposta i criteri IAM sulle risorse di livello inferiore, se possibile, anziché a livello di progetto o superiore.

Per informazioni generali su come concedere, modificare e revocare l'accesso alle risorse non correlate a Vertex AI Workbench, ad esempio per concedere l'accesso a un Google Cloud progetto, consulta la documentazione IAM relativa a concessione, modifica e revoca dell'accesso alle risorse.

Limitazioni di accesso

L'accesso a un'istanza può includere una vasta gamma di funzionalità, a seconda del ruolo assegnato all'entità. Ad esempio, potresti concedere a un principale la possibilità di avviare, arrestare, eseguire l'upgrade e monitorare lo stato di integrità di un'istanza. Per l'elenco completo delle autorizzazioni IAM disponibili, consulta Ruoli IAM predefiniti per i notebook gestiti.

Tuttavia, anche se concedi a un principale l'accesso completo a un'istanza di notebook gestita, non gli viene concessa la possibilità di utilizzare l'interfaccia JupyterLab dell'istanza. Per concedere l'accesso all'interfaccia di JupyterLab, consulta Gestire l'accesso all'interfaccia JupyterLab di un'istanza di blocchi note gestita.

Concedi l'accesso alle istanze di notebook gestiti

Per concedere agli utenti l'autorizzazione ad accedere a una specifica istanza di Notebooks gestiti, imposta un criterio IAM sull'istanza.

Per concedere un ruolo a un principale su una istanza di notebook gestita, utilizza il metodo getIamPolicy per recuperare il criterio corrente, modifica l'accesso del criterio corrente e poi utilizza il metodo setIamPolicy per aggiornare il criterio nell'istanza.

Recupera il criterio corrente

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

INSTANCE_NAME: il nome dell'istanza di Notebook gestiti

Metodo HTTP e URL:

GET https://notebooks.googleapis.com/v1/INSTANCE_NAME:getIamPolicy

Per inviare la richiesta, scegli una delle seguenti opzioni:

curl

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://notebooks.googleapis.com/v1/INSTANCE_NAME:getIamPolicy"

PowerShell

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso alla CLI gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://notebooks.googleapis.com/v1/INSTANCE_NAME:getIamPolicy" | Select-Object -Expand Content

La risposta è il testo del criterio IAM dell'istanza. Vedi di seguito un esempio.

{
  "bindings": [
    {
      "role": "roles/notebooks.viewer",
      "members": [
        "user:email@example.com"
      ]
    }
  ],
  "etag": "BwWWja0YfJA=",
  "version": 3
}

Modifica il criterio

Modifica il criterio con un editor di testo per aggiungere o rimuovere le entità e i relativi ruoli associati. Ad esempio, per concedere il ruolo notebooks.admin a eve@example.com, aggiungi la seguente nuova associazione al criterio nella sezione "bindings":

{
  "role": "roles/notebooks.admin",
  "members": [
    "user:eve@example.com"
  ]
}

Dopo aver aggiunto la nuova associazione, il criterio potrebbe avere il seguente aspetto:

{
  "bindings": [
    {
      "role": "roles/notebooks.viewer",
      "members": [
        "user:email@example.com"
      ]
    },
    {
      "role": "roles/notebooks.admin",
      "members": [
        "user:eve@example.com"
      ]
    }
  ],
  "etag": "BwWWja0YfJA=",
  "version": 3
}

Aggiorna il criterio nell'istanza

Nel corpo della richiesta, fornisci il criterio IAM aggiornato del passaggio precedente, nidificato all'interno di una sezione "policy".

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

INSTANCE_NAME: il nome dell'istanza di Notebook gestiti

Metodo HTTP e URL:

POST https://notebooks.googleapis.com/v1/INSTANCE_NAME:setIamPolicy

Corpo JSON della richiesta:

{
  "policy": {
    "bindings": [
      {
        "role": "roles/notebooks.viewer",
        "members": [
          "user:email@example.com"
        ]
      },
      {
        "role": "roles/notebooks.admin",
        "members": [
          "user:eve@example.com"
        ]
      }
    ],
    "etag": "BwWWja0YfJA=",
    "version": 3
  }
}

Per inviare la richiesta, scegli una delle seguenti opzioni:

curl

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v1/INSTANCE_NAME:setIamPolicy"

PowerShell

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v1/INSTANCE_NAME:setIamPolicy" | Select-Object -Expand Content

Dovresti ricevere un codice di stato di operazione riuscita (2xx) e una risposta vuota.

Concedi l'accesso all'interfaccia JupyterLab

La concessione dell'accesso a un'entità a un'istanza di notebook gestita non abilita all'utilizzo dell'interfaccia JupyterLab dell'istanza. Per concedere l'accesso all'interfaccia di JupyterLab, consulta Gestire l'accesso all'interfaccia JupyterLab di un'istanza di blocchi note gestita.

Passaggi successivi

Concedere a un'entità l'accesso a JupyterLab.
Per scoprire di più su Identity and Access Management (IAM) e su come i ruoli IAM possono aiutarti a concedere e limitare l'accesso, consulta la documentazione IAM.
Scopri i ruoli IAM disponibili per i notebook gestiti di Vertex AI Workbench.
Scopri come creare e gestire ruoli personalizzati.
Per scoprire come concedere l'accesso ad altre risorse Google, consulta Gestire l'accesso ad altre risorse.