Gerenciar o acesso a um modelo de ambiente de execução

Nesta página, descrevemos como conceder e revogar acesso a um modelo de ambiente de execução no Colab Enterprise.

Antes de começar

  1. Faça login na sua conta do Google Cloud . Se você começou a usar o Google Cloud, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Vertex AI, Dataform, and Compute Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Vertex AI, Dataform, and Compute Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.

Funções exigidas

Para ter as permissões necessárias para gerenciar o acesso a um modelo de ambiente de execução, peça ao administrador para conceder a você o papel do IAM de Administrador do Colab Enterprise (roles/aiplatform.colabEnterpriseAdmin) no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Conceder acesso a um modelo de ambiente de execução

Para conceder a um principal acesso a um modelo de ambiente de execução, use o console Google Cloud , a Google Cloud CLI ou o Terraform.

Console

  1. No console do Google Cloud , acesse a página Modelos de ambiente de execução do Colab Enterprise.

    Acessar "Modelos de ambiente de execução"

  2. No menu Região, selecione a região que contém o modelo de ambiente de execução.

  3. No menu Modelo de execução, selecione um modelo de ambiente de execução. Se não houver modelos de ambiente de execução listados, crie um modelo de ambiente de execução.

  4. Clique em  Permissões.

  5. Na janela Permissões, clique em  Adicionar principal.

  6. Na caixa de diálogo Conceder acesso, no campo Novos principais, insira um ou uma lista de principais separados por vírgulas.

  7. No menu Selecionar um papel, conclua a caixa de diálogo para atribuir uma função.

  8. Opcional: clique em  Adicionar outro papel e repita a última etapa.

  9. Clique em Salvar.

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RUNTIME_TEMPLATE_ID: o ID do modelo de ambiente de execução.
  • PRINCIPAL: o principal para quem a vinculação deve ser adicionada.
  • ROLE: o nome do papel a ser atribuído ao principal.
  • PROJECT_ID: o ID do projeto.
  • REGION: a região em que seu modelo de tempo de execução está localizado.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud colab runtime-templates add-iam-policy-binding RUNTIME_TEMPLATE_ID \
    --member=PRINCIPAL \
    --role=ROLE \
    --project=PROJECT_ID \
    --region=REGION

Windows (PowerShell)

gcloud colab runtime-templates add-iam-policy-binding RUNTIME_TEMPLATE_ID `
    --member=PRINCIPAL `
    --role=ROLE `
    --project=PROJECT_ID `
    --region=REGION

Windows (cmd.exe)

gcloud colab runtime-templates add-iam-policy-binding RUNTIME_TEMPLATE_ID ^
    --member=PRINCIPAL ^
    --role=ROLE ^
    --project=PROJECT_ID ^
    --region=REGION

Para mais informações sobre como gerenciar políticas do IAM para modelos de execução na linha de comando, consulte a documentação da CLI gcloud.

Terraform

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform. Para mais informações, consulte a documentação de referência do provedor Terraform.

O exemplo a seguir usa o recurso do Terraform google_colab_runtime_template_iam_policy para conceder acesso a um modelo de ambiente de execução do Colab Enterprise. 

data "google_iam_policy" "admin" {
  binding {
    role = "roles/viewer"
    members = [
      "user:jane@example.com",
    ]
  }
}

resource "google_colab_runtime_template_iam_policy" "policy" {
  project = google_colab_runtime_template.runtime-template.project
  location = google_colab_runtime_template.runtime-template.location
  runtime_template = google_colab_runtime_template.runtime-template.name
  policy_data = data.google_iam_policy.admin.policy_data
}

Os principais do Colab Enterprise são usuários, grupos ou domínios

É possível conceder acesso a usuários, grupos ou domínios. Confira a tabela a seguir:

Principal Exemplo de conta de usuário
Único usuário user@gmail.com
Grupo do Google admins@googlegroups.com
Domínio do Google Workspace example.com

Revogar o acesso a um modelo de ambiente de execução

Para revogar o acesso a um modelo de ambiente de execução, use o console Google Cloud ou a CLI gcloud.

Console

  1. No console do Google Cloud , acesse a página IAM.

    Acessar IAM

  2. Selecione um projeto, pasta ou organização.

  3. Encontre a linha que contém o principal cujo acesso você quer revogar. Em seguida, clique em Editar principal nessa linha.

  4. Clique no botão Excluir do papel que você quer revogar e clique em Salvar.

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RUNTIME_TEMPLATE_ID: o ID do modelo de ambiente de execução.
  • PRINCIPAL: o principal cujo acesso você quer revogar.
  • ROLE: o papel que você quer remover do principal.
  • PROJECT_ID: o ID do projeto.
  • REGION: a região em que seu modelo de tempo de execução está localizado.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud colab runtime-templates remove-iam-policy-binding RUNTIME_TEMPLATE_ID \
    --member=PRINCIPAL \
    --role=ROLE \
    --project=PROJECT_ID \
    --region=REGION

Windows (PowerShell)

gcloud colab runtime-templates remove-iam-policy-binding RUNTIME_TEMPLATE_ID `
    --member=PRINCIPAL `
    --role=ROLE `
    --project=PROJECT_ID `
    --region=REGION

Windows (cmd.exe)

gcloud colab runtime-templates remove-iam-policy-binding RUNTIME_TEMPLATE_ID ^
    --member=PRINCIPAL ^
    --role=ROLE ^
    --project=PROJECT_ID ^
    --region=REGION

Para mais informações sobre como gerenciar políticas do IAM para modelos de execução na linha de comando, consulte a documentação da CLI gcloud.

A seguir