Gérer l'accès à l'interface JupyterLab d'une instance

Cette page explique comment accorder l'accès à l'interface JupyterLab d'une instance Vertex AI Workbench.

Vous contrôlez l'accès à l'interface JupyterLab d'une instance Vertex AI Workbench via le mode d'accès de l'instance. Vous définissez un mode d'accès JupyterLab lorsque vous créez une instance Vertex AI Workbench. Vous ne pouvez pas modifier le mode d'accès une fois le notebook créé.

Le mode d'accès de JupyterLab détermine qui peut utiliser l'interface JupyterLab de l'instance. Le mode d'accès détermine également les identifiants utilisés lorsque votre instance interagit avec d'autres services Google Cloud.

Limites d'accès

Accorder à un compte principal l'accès à l'interface JupyterLab d'une instance Vertex AI Workbench ne permet pas d'accorder l'accès à l'instance elle-même. Par exemple, pour démarrer, arrêter ou réinitialiser une instance, vous devez autoriser le compte principal à effectuer ces opérations en définissant une stratégie IAM pour l'instance. Pour accorder l'accès à l'instance Vertex AI Workbench, consultez la page Gérer l'accès à une instance Vertex AI Workbench.

Modes d'accès de JupyterLab

Les instances Vertex AI Workbench sont compatibles avec les modes d'accès suivants:

• Un seul utilisateur : le mode d'accès Un seul utilisateur n'accorde l'accès qu'à l'utilisateur que vous spécifiez.

• Compte de service : le mode d'accès Compte de service permet d'accéder à un compte de service. Vous pouvez accorder l'accès à un ou plusieurs utilisateurs via ce compte de service.

Un seul utilisateur

Lorsque vous créez une instance Vertex AI Workbench avec un accès Un seul utilisateur, vous spécifiez un compte utilisateur. Le compte utilisateur spécifié est le seul utilisateur ayant accès à l'interface JupyterLab. Si l'utilisateur spécifié n'est pas le créateur de l'instance, vous devez lui attribuer le rôle Utilisateur du compte de service (roles/iam.serviceAccountUser) sur le compte de service de l'instance. Si l'instance doit accéder à d'autres ressources Google Cloud, ce compte de service doit également avoir accès à ces ressources Google Cloud.

Accorder l'accès à un seul utilisateur

Pour accorder l'accès à un seul utilisateur, procédez comme suit :

1. Créez une instance Vertex AI Workbench avec les spécifications suivantes:

   1. Dans la boîte de dialogue Créer une instance, dans la section IAM et sécurité, sélectionnez le mode d'accès Un seul utilisateur.

   2. Dans le champ Adresse e-mail de l'utilisateur, saisissez le compte utilisateur auquel vous souhaitez accorder l'accès.

2. Renseignez le reste de la boîte de dialogue, puis cliquez sur Créer.

Compte de service

Lorsque vous créez une instance Vertex AI Workbench avec un accès Compte de service, vous spécifiez un compte de service. Si l'instance doit accéder à d'autres ressources Google, ce compte de service doit également avoir accès à ces ressources Google.

Lorsque vous spécifiez un compte de service, choisissez l'une des options suivantes :

• Sélectionnez le compte de service Compute Engine par défaut.
• Spécifiez un compte de service personnalisé. Le compte de service personnalisé doit se trouver dans le même projet que votre instance Vertex AI Workbench. Pour créer l'instance, vous devez disposer de l'autorisation iam.serviceAccounts.actAs sur le compte de service.

Pour accorder l'accès aux utilisateurs via un compte de service, vous accordez l'autorisation iam.serviceAccounts.actAs au compte de service spécifié pour chaque utilisateur ayant besoin d'accéder à JupyterLab.

Accorder l'accès à plusieurs utilisateurs via un compte de service

1. Créez une instance Vertex AI Workbench avec les spécifications suivantes:

   1. Dans la boîte de dialogue Créer une instance, dans la section IAM et sécurité, sélectionnez le mode d'accès Compte de service.

   2. Choisissez le compte de service Compute Engine par défaut ou un compte de service personnalisé.

      • Pour utiliser le compte de service Compute Engine par défaut, sélectionnez Utiliser le compte de service Compute Engine par défaut.

      • Pour utiliser un compte de service personnalisé, décochez la case Utiliser le compte de service Compute Engine par défaut, puis, dans le champ Adresse e-mail du compte de service, saisissez l'adresse e-mail du compte de service personnalisé.

2. Renseignez le reste de la boîte de dialogue, puis cliquez sur Créer.

3. Pour chaque utilisateur devant accéder à JupyterLab, accordez l'autorisation iam.serviceAccounts.actAs sur votre compte de service.

Métadonnées du mode d'accès

Le mode d'accès que vous configurez lors de la création de l'instance Vertex AI Workbench est stocké dans les métadonnées du notebook.

Lorsque vous sélectionnez le mode d'accès Un seul utilisateur, Vertex AI Workbench stocke une valeur pour proxy-mode et proxy-user-mail. Voici des exemples d'entrées de métadonnées à accès unique :

• proxy-mode=mail
• [email protected]

Lorsque vous sélectionnez le mode d'accès Compte de service, Vertex AI Workbench stocke une entrée de métadonnées proxy-mode=service_account.

Étapes suivantes

• Accorder à un compte principal l'accès à une instance Vertex AI Workbench.

• Pour savoir comment accorder l'accès à d'autres ressources Google, consultez la page Gérer l'accès aux autres ressources.