Pode conceder e restringir o acesso ao Vertex AI Workbench para uma organização ou um projeto. Para tal, defina uma política da organização através do tipo de política GDCHRestrictedService, que lhe permite restringir o serviço que pode usar no Google Distributed Cloud (GDC) air-gapped. Quando aplicada, a política impede a
utilização das APIs a que faz referência.
Por exemplo, pode usar este tipo de política para restringir a utilização do Vertex AI Workbench a projetos específicos. Apenas as organizações ou os projetos não restritos podem criar ou atualizar blocos de notas do JupyterLab. Também pode usar a política para restringir completamente o acesso ao serviço Vertex AI Workbench porque quer executar testes antes de permitir que as suas equipas o usem.
Esta página descreve como conceder e restringir o acesso ao Vertex AI Workbench através do tipo de política GDCHRestrictedService. Para
saber mais sobre as políticas de organização e como editar a
GDCHRestrictedService política de organização, consulte
Configure políticas de organização.
Antes de começar
Para receber as autorizações necessárias para conceder ou restringir o acesso ao Vertex AI Workbench para uma organização ou um projeto, peça ao administrador de IAM da organização que lhe conceda a função de cluster de administrador da política de serviços restrita do GDC (
gdchrestrictedservice-policy-admin). Esta função não está associada a um espaço de nomes. Para mais informações sobre esta função, consulte o artigo Prepare as autorizações de IAM.Defina o caminho para o kubeconfig do servidor da API de gestão:
export KUBECONFIG=MANAGEMENT_API_SERVER_KUBECONFIG
Crie restrições
As secções seguintes descrevem como criar, atualizar, eliminar e ver restrições para serviços específicos nos seus espaços de nomes de projetos.
Crie ou atualize restrições
Para criar ou atualizar restrições para a sua organização, execute o seguinte comando:
kubectl --kubeconfig=${KUBECONFIG} apply -f - <<EOF apiVersion: constraints.gatekeeper.sh/v1beta1 kind: GDCHRestrictedService metadata: name: NAME spec: match: scope: "Namespaced" namespaces: PROJECT_NAMESPACE kinds: - apiGroups: - "aiplatform.gdc.goog" kinds: - Notebook EOF
Elimine uma restrição
Para eliminar restrições, execute o seguinte comando:
kubectl delete GDCHRestrictedService NAME
Descreva uma restrição
Para descrever as restrições, execute o seguinte comando:
kubectl describe GDCHRestrictedService NAME
Restrinja o acesso ao Vertex AI Workbench para a sua organização
Para restringir o acesso ao Vertex AI Workbench para a sua organização, edite o tipo de política GDCHRestrictedService adicionando o grupo da API aiplatform.gdc.goog e o tipo Notebook ao campo kinds da política.
O exemplo seguinte mostra o aspeto do campo kinds no tipo de política GDCHRestrictedService quando restringe o acesso ao Vertex AI Workbench a toda a sua organização:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
Para restaurar o acesso de uma organização ao Vertex AI Workbench, consulte o artigo Conceda acesso ao Vertex AI Workbench à sua organização.
Restrinja o acesso ao Vertex AI Workbench para um projeto
Para restringir o acesso ao Vertex AI Workbench para um projeto, edite o tipo de política GDCHRestrictedService adicionando o grupo da API aiplatform.gdc.goog e o tipo Notebook ao campo kinds da política para o espaço de nomes do projeto.
A diferença em relação à restrição do acesso para uma organização
é que tem de especificar o espaço de nomes que a política deve afetar. Adicione o campo
namespaces à política com o espaço de nomes do seu projeto.
O exemplo seguinte mostra como o campo kinds se apresenta no tipo de política GDCHRestrictedService quando restringe o acesso ao Vertex AI Workbench para um projeto:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
namespaces: [PROJECT_NAMESPACE]
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
Substitua PROJECT_NAMESPACE pelo espaço de nomes do projeto onde quer restringir o acesso ao Vertex AI Workbench.
Conceda acesso ao Vertex AI Workbench à sua organização
Por predefinição, as organizações da Distributed Cloud têm acesso ao Vertex AI Workbench. No entanto, se tiver restringido o acesso ao Vertex AI Workbench para a sua organização, pode conceder acesso novamente.
Siga estes passos para conceder acesso ao Vertex AI Workbench a todos os projetos na sua organização:
Identifique o tipo de política
GDCHRestrictedServicena sua organização.Encontre o grupo de APIs
aiplatform.gdc.googe o tipoNotebookna política.Se o
aiplatform.gdc.googgrupo da API e o tipoNotebookforem o único conteúdo no campokindsda política, elimine o recursoGDCHRestrictedService.Se a política
GDCHRestrictedServicecontiver outros serviços restritos, remova o grupo de APIsaiplatform.gdc.googe o tipoNotebookdo campokindse guarde as alterações à política.