Gestire l'accesso a un modello di runtime

Questa pagina descrive come concedere e revocare l'accesso a un modello di runtime in Colab Enterprise.

Prima di iniziare

Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Vertex AI, Dataform, and Compute Engine APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Vertex AI, Dataform, and Compute Engine APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire l'accesso a un modello di runtime, chiedi all'amministratore di concederti il ruolo IAM Colab Enterprise Admin (roles/aiplatform.colabEnterpriseAdmin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Uno o più dei ruoli richiesti includono l'autorizzazione dataform.repositories.list. Gli utenti a cui è stata concessa l'autorizzazione dataform.repositories.list o il ruolo Creatore di codice (roles/dataform.codeCreator) in un progetto possono elencare i nomi degli asset di codice in quel progetto utilizzando l'API Dataform o l'interfaccia a riga di comando (CLI) Dataform. Gli utenti non amministratori che utilizzano BigQuery Studio possono visualizzare solo gli asset di codice che hanno creato o che sono stati condivisi con loro.

Concedere l'accesso a un modello di runtime

Per concedere a un principal l'accesso a un modello di runtime, puoi utilizzare la console Google Cloud , Google Cloud CLI o Terraform.

Console

Nella console Google Cloud , vai alla pagina Modelli di runtime di Colab Enterprise.

Vai a Modelli di runtime
Nel menu Regione, seleziona la regione che contiene il modello di runtime.
Nel menu Template di runtime, seleziona un template di runtime. Se non sono elencati template di runtime, creane uno.
Fai clic su Autorizzazioni.
Nella finestra Autorizzazioni, fai clic su Aggiungi entità.
Nella finestra di dialogo Concedi l'accesso, nel campo Nuove entità, inserisci una o un elenco di entità separate da virgole.
Nel menu Seleziona un ruolo, completa la finestra di dialogo per assegnare un ruolo.
(Facoltativo) Fai clic su Aggiungi un altro ruolo e ripeti l'ultimo passaggio.
Fai clic su Salva.

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

RUNTIME_TEMPLATE_ID: l'ID del modello di runtime.
PRINCIPAL: l'entità per la quale aggiungere l'associazione.
ROLE: il nome del ruolo da assegnare all'entità.
PROJECT_ID: il tuo ID progetto.
REGION: la regione in cui si trova il modello di runtime.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud colab runtime-templates add-iam-policy-binding RUNTIME_TEMPLATE_ID \
    --member=PRINCIPAL \
    --role=ROLE \
    --project=PROJECT_ID \
    --region=REGION

Windows (PowerShell)

gcloud colab runtime-templates add-iam-policy-binding RUNTIME_TEMPLATE_ID `
    --member=PRINCIPAL `
    --role=ROLE `
    --project=PROJECT_ID `
    --region=REGION

Windows (cmd.exe)

gcloud colab runtime-templates add-iam-policy-binding RUNTIME_TEMPLATE_ID ^
    --member=PRINCIPAL ^
    --role=ROLE ^
    --project=PROJECT_ID ^
    --region=REGION

Per saperne di più sulla gestione delle policy IAM per i modelli di runtime dalla riga di comando, consulta la documentazione di gcloud CLI.

Terraform

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base. Per saperne di più, consulta la documentazione di riferimento del fornitore Terraform.

L'esempio seguente utilizza la google_colab_runtime_template_iam_policy risorsa Terraform per concedere l'accesso a un modello di runtime di Colab Enterprise.

data "google_iam_policy" "admin" {
  binding {
    role = "roles/viewer"
    members = [
      "user:jane@example.com",
    ]
  }
}

resource "google_colab_runtime_template_iam_policy" "policy" {
  project = google_colab_runtime_template.runtime-template.project
  location = google_colab_runtime_template.runtime-template.location
  runtime_template = google_colab_runtime_template.runtime-template.name
  policy_data = data.google_iam_policy.admin.policy_data
}

Le entità Colab Enterprise sono utenti, gruppi o domini

Puoi concedere l'accesso a utenti, gruppi o domini. Consulta la seguente tabella:

Entità	Account utente di esempio
Utente singolo	`user@gmail.com`
Gruppo Google	`admins@googlegroups.com`
Dominio Google Workspace	`example.com`

Revoca dell'accesso a un modello di runtime

Per revocare l'accesso a un modello di runtime, puoi utilizzare la console Google Cloud o gcloud CLI.

Console

Nella console Google Cloud , vai alla pagina IAM.

Vai a IAM
Seleziona un progetto, una cartella o un'organizzazione.
Individua la riga contenente l'entità di cui vuoi revocare l'accesso. Quindi, fai clic su Modifica entità in quella riga.

Nota: non puoi modificare i ruoli ereditati quando gestisci l'accesso a una risorsa. Per modificare i ruoli ereditati, vai alla risorsa in cui è stato concesso il ruolo.
Fai clic sul pulsante Elimina per il ruolo che vuoi revocare, quindi fai clic su Salva.

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

RUNTIME_TEMPLATE_ID: l'ID del modello di runtime.
PRINCIPAL: l'entità di cui vuoi revocare l'accesso.
ROLE: il ruolo da rimuovere dall'entità.
PROJECT_ID: il tuo ID progetto.
REGION: la regione in cui si trova il modello di runtime.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud colab runtime-templates remove-iam-policy-binding RUNTIME_TEMPLATE_ID \
    --member=PRINCIPAL \
    --role=ROLE \
    --project=PROJECT_ID \
    --region=REGION

Windows (PowerShell)

gcloud colab runtime-templates remove-iam-policy-binding RUNTIME_TEMPLATE_ID `
    --member=PRINCIPAL `
    --role=ROLE `
    --project=PROJECT_ID `
    --region=REGION

Windows (cmd.exe)

gcloud colab runtime-templates remove-iam-policy-binding RUNTIME_TEMPLATE_ID ^
    --member=PRINCIPAL ^
    --role=ROLE ^
    --project=PROJECT_ID ^
    --region=REGION

Per saperne di più sulla gestione delle policy IAM per i modelli di runtime dalla riga di comando, consulta la documentazione di gcloud CLI.

Passaggi successivi

Per scoprire come concedere l'accesso a un notebook, consulta Gestire l'accesso a un notebook.