管理代管筆記本執行個體的 JupyterLab 介面存取權

本頁說明如何授予 Vertex AI Workbench 代管型筆記本執行個體的 JupyterLab 介面存取權。

您可以透過執行個體的存取模式,控管對代管型筆記本執行個體 JupyterLab 介面的存取權。建立代管型筆記本執行個體時,您會設定 JupyterLab 存取模式。筆記本建立後即無法變更存取模式。

JupyterLab 存取模式會決定誰可以使用執行個體的 JupyterLab 介面。存取模式也會決定執行個體與其他 Google Cloud 服務互動時使用的憑證。

存取限制

將主體存取權授予代管筆記本執行個體的 JupyterLab 介面,並不會授予對執行個體本身的存取權。舉例來說,如要啟動、停止或重設執行個體,您必須在執行個體上設定 IAM 政策,授予主要使用者執行這些作業的存取權。如要授予對代管筆記本執行個體的存取權,請參閱「管理代管筆記本執行個體的存取權」。

JupyterLab 存取模式

代管筆記本執行個體支援下列存取模式:

  • 僅限單一使用者僅限單一使用者存取模式只會將存取權授予您指定的使用者。

  • 服務帳戶服務帳戶存取模式會將存取權授予服務帳戶。您可以透過這個服務帳戶,將存取權授予一或多位使用者。

僅限單一使用者

建立具備「僅限單一使用者」存取權的受管理筆記本執行個體時,請指定使用者帳戶。指定的使用者帳戶是唯一可存取 JupyterLab 介面的使用者。如果執行個體需要存取其他 Google Cloud 資源,這個使用者帳戶也必須具備存取這些 Google Cloud 資源的權限。

將存取權授予單一使用者

如要授予單一使用者的存取權,請完成下列步驟。

  1. 建立代管型筆記本執行個體,並設定下列規格:

    1. 在「Create instance」對話方塊的「IAM and security」部分中,選取「Single user only」存取模式。

    2. 在「使用者電子郵件」欄位中,輸入要授予存取權的使用者帳戶。

  2. 完成對話方塊的其餘步驟,然後按一下「建立」

服務帳戶

建立具備服務帳戶存取權的受管理筆記本執行個體時,您需要指定服務帳戶。如果執行個體需要存取其他 Google 資源,這個服務帳戶也必須具備存取這些 Google 資源的權限。

指定服務帳戶時,請選擇下列任一選項:

  • 選取 Compute Engine 預設服務帳戶。
  • 指定自訂服務帳戶。自訂服務帳戶必須位於與受管理的筆記本執行個體相同的專案中。如要建立執行個體,您必須具備服務帳戶的 iam.serviceAccounts.actAs 權限。

如要透過服務帳戶授予使用者存取權,請為需要存取 JupyterLab 的每位使用者,授予指定服務帳戶的 iam.serviceAccounts.actAs 權限。

透過服務帳戶將存取權授予多位使用者

  1. 建立代管型筆記本執行個體,並設定下列規格:

    1. 在「Create instance」對話方塊的「IAM and security」專區中,選取「Service account」存取模式。

    2. 選擇 Compute Engine 預設服務帳戶或自訂服務帳戶

      • 如要使用 Compute Engine 預設服務帳戶,請選取「Use Compute Engine default service account」(使用 Compute Engine 預設服務帳戶)

      • 如要使用自訂服務帳戶,請取消勾選「使用 Compute Engine 預設服務帳戶」,然後在「服務帳戶電子郵件」欄位中輸入自訂服務帳戶的電子郵件地址。

  2. 完成對話方塊的其餘步驟,然後按一下「建立」

  3. 針對需要存取 JupyterLab 的每位使用者,請授予服務帳戶 iam.serviceAccounts.actAs 權限

存取模式中繼資料

在受管理的筆記本執行個體建立期間設定的存取模式,會儲存在筆記本中繼資料中。

選取「僅限單一使用者」存取模式時,Vertex AI Workbench 會儲存 proxy-modeproxy-user-mail 的值。以下是單一使用者存取權中繼資料項目的範例:

  • proxy-mode=mail
  • proxy-user-mail=user@example.com

選取「服務帳戶」存取模式時,Vertex AI Workbench 會儲存 proxy-mode=service_account 中繼資料項目。

後續步驟