É possível conceder e restringir o acesso ao Vertex AI Workbench para uma organização ou um projeto. Para isso, defina uma política da organização usando o tipo de política GDCHRestrictedService, que permite restringir qual serviço pode ser usado no Google Distributed Cloud (GDC) isolado por ar. Quando aplicada, a política impede o uso das APIs a que ela se refere.
Por exemplo, é possível usar esse tipo de política para restringir o uso do Vertex AI Workbench a projetos específicos. Somente organizações ou projetos não restritos podem criar ou atualizar notebooks do JupyterLab. Você também pode usar a política para restringir completamente o acesso ao serviço do Vertex AI Workbench porque quer executar testes antes de permitir que suas equipes o usem.
Nesta página, descrevemos como conceder e restringir o acesso ao
Vertex AI Workbench usando o tipo de política GDCHRestrictedService. Para
saber mais sobre políticas da organização e como editar a
política da organização GDCHRestrictedService, consulte
Configurar políticas da organização.
Antes de começar
Para receber as permissões necessárias para conceder ou restringir o acesso ao Vertex AI Workbench em uma organização ou um projeto, peça ao administrador do IAM da organização para conceder a você a função de cluster Administrador da política de serviço restrita do GDC (
gdchrestrictedservice-policy-admin). Essa função não está vinculada a um namespace. Para mais informações sobre esse papel, consulte Preparar permissões do IAM.Defina o caminho para o kubeconfig do servidor da API de gerenciamento:
export KUBECONFIG=MANAGEMENT_API_SERVER_KUBECONFIG
Criar restrições
As seções a seguir descrevem como criar, atualizar, excluir e conferir restrições para serviços específicos nos namespaces do projeto.
Criar ou atualizar restrições
Para criar ou atualizar restrições na sua organização, execute:
kubectl --kubeconfig=${KUBECONFIG} apply -f - <<EOF apiVersion: constraints.gatekeeper.sh/v1beta1 kind: GDCHRestrictedService metadata: name: NAME spec: match: scope: "Namespaced" namespaces: PROJECT_NAMESPACE kinds: - apiGroups: - "aiplatform.gdc.goog" kinds: - Notebook EOF
Excluir uma restrição
Para excluir restrições, execute:
kubectl delete GDCHRestrictedService NAME
Descrever uma restrição
Para descrever as restrições, execute:
kubectl describe GDCHRestrictedService NAME
Restringir o acesso ao Vertex AI Workbench na sua organização
Para restringir o acesso ao Vertex AI Workbench na sua organização, edite o tipo de política GDCHRestrictedService adicionando o grupo de APIs aiplatform.gdc.goog e o tipo Notebook ao campo kinds da política.
O exemplo a seguir mostra como o campo kinds aparece no tipo de política GDCHRestrictedService quando você restringe o acesso ao Vertex AI Workbench para toda a organização:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
Para restaurar o acesso de uma organização ao Vertex AI Workbench, consulte Conceder acesso ao Vertex AI Workbench para sua organização.
Restringir o acesso ao Vertex AI Workbench para um projeto
Para restringir o acesso ao Vertex AI Workbench em um projeto, edite o tipo de política GDCHRestrictedService adicionando o grupo de API aiplatform.gdc.goog e o tipo Notebook ao campo kinds da política para o namespace do projeto.
A diferença em relação a restringir o acesso de uma organização
é que você precisa especificar o namespace que a política vai afetar. Adicione o campo
namespaces à política com o namespace do projeto.
O exemplo a seguir mostra como o campo kinds aparece no tipo de política GDCHRestrictedService quando você restringe o acesso ao Vertex AI Workbench para um projeto:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
namespaces: [PROJECT_NAMESPACE]
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
Substitua PROJECT_NAMESPACE pelo namespace do projeto
em que você quer restringir o acesso ao Vertex AI Workbench.
Conceder acesso ao Vertex AI Workbench para sua organização
Por padrão, as organizações do Distributed Cloud têm acesso ao Vertex AI Workbench. No entanto, se você restringiu o acesso ao Vertex AI Workbench para sua organização, é possível conceder acesso novamente.
Siga estas etapas para conceder acesso ao Vertex AI Workbench a todos os projetos da sua organização:
Identifique o tipo de política
GDCHRestrictedServicena sua organização.Encontre o grupo de APIs
aiplatform.gdc.googe o tipoNotebookna política.Se o grupo de APIs
aiplatform.gdc.googe o tipoNotebookforem o único conteúdo no campokindsda política, exclua o recursoGDCHRestrictedService.Se a política
GDCHRestrictedServicecontiver outros serviços restritos, remova o grupo de APIsaiplatform.gdc.googe o tipoNotebookdo campokindse salve as mudanças na política.