Gerenciar o acesso a um modelo de ambiente de execução

Nesta página, descrevemos como conceder e revogar o acesso a um modelo de ambiente de execução no Colab Enterprise.

Antes de começar

  1. Faça login na sua Google Cloud conta do. Se você não conhece o Google Cloud, crie uma conta para avaliar o desempenho dos nossos produtos em cenários reais. Clientes novos também recebem US $300 em créditos para executar, testar e implantar cargas de trabalho.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Vertex AI, Dataform, and Compute Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Vertex AI, Dataform, and Compute Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.

Funções exigidas

Para receber as permissões necessárias para gerenciar o acesso a um modelo de ambiente de execução, peça ao administrador para conceder a você o papel do IAM de Administrador do Colab Enterprise (roles/aiplatform.colabEnterpriseAdmin) no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.

Conceder acesso a um modelo de ambiente de execução

Para conceder acesso a um principal a um modelo de ambiente de execução, use o Google Cloud console, a Google Cloud CLI ou o Terraform.

Console

  1. No Google Cloud console, acesse a página Modelos de ambiente de execução do Colab Enterprise.

    Acessar "Modelos de ambiente de execução"

  2. No menu Região, selecione a região que contém seu modelo de ambiente de execução.

  3. No menu Modelo de execução, selecione um modelo de ambiente de execução. Se não houver modelos de ambiente de execução listados, crie um modelo de ambiente de execução.

  4. Clique em  Permissões.

  5. Na janela Permissões, clique em  Adicionar principal.

  6. Na caixa de diálogo Conceder acesso , no campo Novos principais, insira um ou uma lista de principais separados por vírgula.

  7. No menu Selecionar um papel, preencha a caixa de diálogo para atribuir um papel.

  8. Opcional: clique em  Adicionar outro papel e repita a última etapa.

  9. Clique em Salvar.

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RUNTIME_TEMPLATE_ID: o ID do modelo de ambiente de execução.
  • PRINCIPAL: o principal para quem a vinculação deve ser adicionada.
  • ROLE: o nome do papel a ser atribuído ao principal.
  • PROJECT_ID: o ID do projeto.
  • REGION: a região em que o modelo de ambiente de execução está localizado.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud colab runtime-templates add-iam-policy-binding RUNTIME_TEMPLATE_ID \
    --member=PRINCIPAL \
    --role=ROLE \
    --project=PROJECT_ID \
    --region=REGION

Windows (PowerShell)

gcloud colab runtime-templates add-iam-policy-binding RUNTIME_TEMPLATE_ID `
    --member=PRINCIPAL `
    --role=ROLE `
    --project=PROJECT_ID `
    --region=REGION

Windows (cmd.exe)

gcloud colab runtime-templates add-iam-policy-binding RUNTIME_TEMPLATE_ID ^
    --member=PRINCIPAL ^
    --role=ROLE ^
    --project=PROJECT_ID ^
    --region=REGION

Para mais informações sobre como gerenciar políticas do IAM para modelos de ambiente de execução na linha de comando, consulte a documentação da CLI gcloud.

Terraform

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform. Para mais informações, consulte a Terraform documentação de referência do provedor.

O exemplo a seguir usa o google_colab_runtime_template_iam_policy recurso do Terraform para conceder acesso a um modelo de ambiente de execução do Colab Enterprise. 

data "google_iam_policy" "admin" {
  binding {
    role = "roles/viewer"
    members = [
      "user:jane@example.com",
    ]
  }
}

resource "google_colab_runtime_template_iam_policy" "policy" {
  project = google_colab_runtime_template.runtime-template.project
  location = google_colab_runtime_template.runtime-template.location
  runtime_template = google_colab_runtime_template.runtime-template.name
  policy_data = data.google_iam_policy.admin.policy_data
}

Os principais do Colab Enterprise são usuários, grupos ou domínios

É possível conceder acesso a usuários, grupos ou domínios. Consulte a tabela a seguir:

Principal Exemplo de conta de usuário
Único usuário user@gmail.com
Grupo do Google admins@googlegroups.com
Domínio do Google Workspace example.com

Revogar acesso a um modelo de ambiente de execução

Para revogar o acesso a um modelo de ambiente de execução, use o Google Cloud console ou a CLI gcloud.

Console

  1. No Google Cloud console, acesse a página IAM.

    Acessar IAM

  2. Selecione um projeto, pasta ou organização.

  3. Encontre a linha que contém o principal cujo acesso você quer revogar. Em seguida, clique em Editar principal nessa linha.

  4. Clique no botão Excluir para o papel que você quer revogar e clique em Salvar.

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RUNTIME_TEMPLATE_ID: o ID do modelo de ambiente de execução.
  • PRINCIPAL: o principal cujo acesso você quer revogar.
  • ROLE: o papel a ser removido do principal.
  • PROJECT_ID: o ID do projeto.
  • REGION: a região em que o modelo de ambiente de execução está localizado.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud colab runtime-templates remove-iam-policy-binding RUNTIME_TEMPLATE_ID \
    --member=PRINCIPAL \
    --role=ROLE \
    --project=PROJECT_ID \
    --region=REGION

Windows (PowerShell)

gcloud colab runtime-templates remove-iam-policy-binding RUNTIME_TEMPLATE_ID `
    --member=PRINCIPAL `
    --role=ROLE `
    --project=PROJECT_ID `
    --region=REGION

Windows (cmd.exe)

gcloud colab runtime-templates remove-iam-policy-binding RUNTIME_TEMPLATE_ID ^
    --member=PRINCIPAL ^
    --role=ROLE ^
    --project=PROJECT_ID ^
    --region=REGION

Para mais informações sobre como gerenciar políticas do IAM para modelos de ambiente de execução na linha de comando, consulte a documentação da CLI gcloud.

A seguir