管理使用者自行管理的筆記本執行個體 JupyterLab 介面的存取權
本頁說明如何授予 Vertex AI Workbench 使用者管理的筆記本執行個體 JupyterLab 介面存取權。
您可以透過執行個體的存取模式,控管使用者管理的筆記本執行個體 JupyterLab 介面。建立由使用者管理的筆記本執行個體時,您會設定 JupyterLab 存取模式。筆記本建立後即無法變更存取模式。
JupyterLab 存取模式會決定誰可以使用執行個體的 JupyterLab 介面。存取模式也會決定執行個體與其他 Google Cloud 服務互動時使用的憑證。
存取限制
將主要存取權授予使用者管理的筆記本執行個體 JupyterLab 介面,並不會授予執行個體本身的存取權。舉例來說,如要啟動、停止或重設執行個體,您必須在執行個體上設定 IAM 政策,授予主要使用者執行這些作業的存取權。如要授予使用者自行管理的筆記本執行個體存取權,請參閱「管理使用者自行管理的筆記本執行個體存取權」。
JupyterLab 存取模式
使用者管理的筆記本執行個體支援下列存取模式:
僅限單一使用者
建立由使用者管理的筆記本執行個體時,如果您選擇「僅限單一使用者」存取權,請指定使用者帳戶。指定的使用者帳戶是唯一可存取 JupyterLab 介面的使用者。如果指定使用者不是執行個體的建立者,您必須為該使用者授予執行個體服務帳戶的服務帳戶使用者角色 (roles/iam.serviceAccountUser)。如果執行個體需要存取其他 Google Cloud 資源,這個服務帳戶也必須具備存取這些 Google Cloud 資源的權限。
將存取權授予單一使用者
如要授予單一使用者的存取權,請完成下列步驟。
建立由使用者管理的筆記本執行個體,並設定下列規格:
在「Create instance」對話方塊的「IAM and security」部分中,選取「Single user only」存取模式。
在「使用者電子郵件」欄位中,輸入要授予存取權的使用者帳戶。
完成對話方塊的其餘步驟,然後按一下「建立」。
服務帳戶
建立具有服務帳戶存取權的使用者管理筆記本執行個體時,您需要指定服務帳戶。如果執行個體需要存取其他 Google 資源,這個服務帳戶也必須具備存取這些 Google 資源的權限。
指定服務帳戶時,請選擇下列任一選項:
- 選取 Compute Engine 預設服務帳戶。
- 指定自訂服務帳戶。自訂服務帳戶必須與使用者管理的 Notebook 執行個體位於相同專案。如要建立執行個體,您必須具備服務帳戶的
iam.serviceAccounts.actAs權限。
如要透過服務帳戶授予使用者存取權,請為需要存取 JupyterLab 的每位使用者,授予指定服務帳戶的 iam.serviceAccounts.actAs 權限。
透過服務帳戶將存取權授予多位使用者
建立由使用者管理的筆記本執行個體,並設定下列規格:
在「Create instance」對話方塊的「IAM and security」專區中,選取「Service account」存取模式。
選擇 Compute Engine 預設服務帳戶或自訂服務帳戶。
如要使用 Compute Engine 預設服務帳戶,請選取「Use Compute Engine default service account」(使用 Compute Engine 預設服務帳戶)。
如要使用自訂服務帳戶,請取消勾選「使用 Compute Engine 預設服務帳戶」,然後在「服務帳戶電子郵件」欄位中輸入自訂服務帳戶的電子郵件地址。
完成對話方塊的其餘步驟,然後按一下「建立」。
針對需要存取 JupyterLab 的每位使用者,請授予服務帳戶
iam.serviceAccounts.actAs權限。
存取模式中繼資料
在建立使用者管理的筆記本執行個體時所設定的存取模式,會儲存在筆記本中繼資料中。
選取「僅限單一使用者」存取模式時,Vertex AI Workbench 會儲存 proxy-mode 和 proxy-user-mail 的值。以下是單一使用者存取權中繼資料項目的範例:
proxy-mode=mailproxy-user-mail=user@example.com
選取「服務帳戶」存取模式時,Vertex AI Workbench 會儲存 proxy-mode=service_account 中繼資料項目。
後續步驟
如要瞭解如何授予其他 Google 資源的存取權,請參閱「管理其他資源的存取權」。