Zugriff auf Vertex AI Workbench steuern

Sie können den Zugriff auf Vertex AI Workbench für eine Organisation oder ein Projekt gewähren und einschränken. Dazu definieren Sie eine Organisationsrichtlinie mit dem Richtlinientyp GDCHRestrictedService. Damit können Sie einschränken, welche Dienste Sie in Google Distributed Cloud (GDC) Air-Gapped verwenden können. Wenn die Richtlinie angewendet wird, wird die Verwendung der APIs, auf die sie verweist, verhindert.

Mit diesem Richtlinientyp können Sie beispielsweise die Verwendung von Vertex AI Workbench auf bestimmte Projekte beschränken. Nur in nicht eingeschränkten Organisationen oder Projekten können JupyterLab-Notebooks erstellt oder aktualisiert werden. Sie können die Richtlinie auch verwenden, um den Zugriff auf den Vertex AI Workbench-Dienst vollständig einzuschränken, da Sie Tests durchführen möchten, bevor Sie Ihren Teams die Verwendung erlauben.

Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Vertex AI Workbench mit dem Richtlinientyp GDCHRestrictedService gewähren und einschränken. Weitere Informationen zu Organisationsrichtlinien und zum Bearbeiten der Organisationsrichtlinie GDCHRestrictedService finden Sie unter Organisationsrichtlinien konfigurieren.

Hinweise

Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Clusterrolle „GDC Restricted Service Policy Admin“ (gdchrestrictedservice-policy-admin) zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Gewähren oder Einschränken des Zugriffs auf Vertex AI Workbench für eine Organisation oder ein Projekt benötigen. Diese Rolle ist nicht an einen Namespace gebunden. Weitere Informationen zu dieser Rolle finden Sie unter IAM-Berechtigungen vorbereiten.
Definieren Sie den Pfad zur kubeconfig-Datei Ihres Management-API-Servers:
```
export KUBECONFIG=MANAGEMENT_API_SERVER_KUBECONFIG
```

Einschränkungen erstellen

In den folgenden Abschnitten wird beschrieben, wie Sie Einschränkungen für bestimmte Dienste in Ihren Projekt-Namespaces erstellen, aktualisieren, löschen und ansehen.

Einschränkungen erstellen oder aktualisieren

So erstellen oder aktualisieren Sie Einschränkungen für Ihre Organisation:

kubectl --kubeconfig=${KUBECONFIG} apply -f  - <<EOF
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: NAME
spec:
  match:
    scope: "Namespaced"
    namespaces: PROJECT_NAMESPACE
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook
EOF

Einschränkung löschen

Führen Sie Folgendes aus, um Einschränkungen zu löschen:
```
kubectl delete GDCHRestrictedService NAME 
```

Beschränkung beschreiben

Führen Sie folgenden Befehl aus, um Einschränkungen zu beschreiben:
```
kubectl describe GDCHRestrictedService NAME 
```

Zugriff auf Vertex AI Workbench für Ihre Organisation einschränken

Wenn Sie den Zugriff auf Vertex AI Workbench für Ihre Organisation einschränken möchten, bearbeiten Sie den Richtlinientyp GDCHRestrictedService, indem Sie die API-Gruppe aiplatform.gdc.goog und die Art Notebook dem Feld kinds der Richtlinie hinzufügen.

Das folgende Beispiel zeigt, wie das Feld kinds im Richtlinientyp GDCHRestrictedService aussieht, wenn Sie den Zugriff auf Vertex AI Workbench für Ihre gesamte Organisation einschränken:

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: restrict-notebook-for-organization
spec:
  match:
    scope: "Namespaced"
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook

[...]

Informationen zum Wiederherstellen des Zugriffs einer Organisation auf Vertex AI Workbench finden Sie unter Zugriff auf Vertex AI Workbench für Ihre Organisation gewähren.

Zugriff auf Vertex AI Workbench für ein Projekt einschränken

Wenn Sie den Zugriff auf Vertex AI Workbench für ein Projekt einschränken möchten, bearbeiten Sie den Richtlinientyp GDCHRestrictedService, indem Sie die API-Gruppe aiplatform.gdc.goog und die Art Notebook dem Feld kinds der Richtlinie für den Projektnamespace hinzufügen.

Im Unterschied zum Einschränken des Zugriffs für eine Organisation müssen Sie den Namespace angeben, auf den sich die Richtlinie auswirken soll. Fügen Sie der Richtlinie das Feld namespaces mit Ihrem Projekt-Namespace hinzu.

Im folgenden Beispiel sehen Sie, wie das Feld kinds im Richtlinientyp GDCHRestrictedService aussieht, wenn Sie den Zugriff auf Vertex AI Workbench für ein Projekt einschränken:

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: restrict-notebook-for-organization
spec:
  match:
    scope: "Namespaced"
    namespaces: [PROJECT_NAMESPACE]
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook

[...]

Ersetzen Sie PROJECT_NAMESPACE durch den Namespace des Projekts, in dem Sie den Zugriff auf Vertex AI Workbench einschränken möchten.

Zugriff auf Vertex AI Workbench für Ihre Organisation gewähren

Standardmäßig haben Distributed Cloud-Organisationen Zugriff auf Vertex AI Workbench. Wenn Sie jedoch den Zugriff auf Vertex AI Workbench für Ihre Organisation eingeschränkt haben, können Sie den Zugriff wieder gewähren.

So gewähren Sie Zugriff auf Vertex AI Workbench für alle Projekte in Ihrer Organisation:

Ermitteln Sie den GDCHRestrictedService-Richtlinientyp in Ihrer Organisation.
Suchen Sie in der Richtlinie nach der API-Gruppe aiplatform.gdc.goog und der Art Notebook.
Wenn die aiplatform.gdc.goog-API-Gruppe und die Notebook-Art die einzigen Inhalte im Feld kinds der Richtlinie sind, löschen Sie die GDCHRestrictedService-Ressource.
Wenn die Richtlinie GDCHRestrictedService andere eingeschränkte Dienste enthält, entfernen Sie die API-Gruppe aiplatform.gdc.goog und die Art Notebook aus dem Feld kinds und speichern Sie die Änderungen an der Richtlinie.