Controllare l'accesso a Vertex AI Workbench

Puoi concedere e limitare l'accesso a Vertex AI Workbench per un'organizzazione o un progetto. A questo scopo, definisci un criterio dell'organizzazione utilizzando il tipo di criterio GDCHRestrictedService, che ti consente di limitare il servizio che puoi utilizzare su Google Distributed Cloud (GDC) air-gapped. Una volta applicato, il criterio impedisce l'utilizzo delle API a cui fa riferimento.

Ad esempio, puoi utilizzare questo tipo di criterio per limitare l'utilizzo di Vertex AI Workbench a progetti specifici. Solo le organizzazioni o i progetti non limitati possono creare o aggiornare i notebook JupyterLab. Puoi anche utilizzare il criterio per limitare completamente l'accesso al servizio Vertex AI Workbench perché vuoi eseguire dei test prima di consentire ai tuoi team di utilizzarlo.

Questa pagina descrive come concedere e limitare l'accesso a Vertex AI Workbench utilizzando il tipo di policy GDCHRestrictedService. Per scoprire di più sulle policy dell'organizzazione e su come modificare la policy dell'organizzazione GDCHRestrictedService, consulta Configurare le policy dell'organizzazione.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per concedere o limitare l'accesso a Vertex AI Workbench per un'organizzazione o un progetto, chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo cluster Amministratore policy di servizio con limitazioni GDC (gdchrestrictedservice-policy-admin). Questo ruolo non è associato a uno spazio dei nomi. Per saperne di più su questo ruolo, consulta Prepara le autorizzazioni IAM.
Definisci il percorso del file kubeconfig del server API di gestione:
```
export KUBECONFIG=MANAGEMENT_API_SERVER_KUBECONFIG
```

Creare limitazioni

Le sezioni seguenti descrivono come creare, aggiornare, eliminare e visualizzare le limitazioni per servizi specifici all'interno degli spazi dei nomi del progetto.

Creare o aggiornare le limitazioni

Per creare o aggiornare le limitazioni per la tua organizzazione, esegui:

kubectl --kubeconfig=${KUBECONFIG} apply -f  - <<EOF
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: NAME
spec:
  match:
    scope: "Namespaced"
    namespaces: PROJECT_NAMESPACE
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook
EOF

Eliminare una limitazione

Per eliminare le limitazioni, esegui:

kubectl delete GDCHRestrictedService NAME

Descrivere una limitazione

Per descrivere le limitazioni, esegui:

kubectl describe GDCHRestrictedService NAME

Limitare l'accesso a Vertex AI Workbench per la tua organizzazione

Per limitare l'accesso a Vertex AI Workbench per la tua organizzazione, modifica il tipo di policy GDCHRestrictedService aggiungendo il gruppo API aiplatform.gdc.goog e il tipo Notebook al campo kinds della policy.

L'esempio seguente mostra l'aspetto del campo kinds nel tipo di policy GDCHRestrictedService quando limiti l'accesso a Vertex AI Workbench per l'intera organizzazione:

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: restrict-notebook-for-organization
spec:
  match:
    scope: "Namespaced"
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook

[...]

Per ripristinare l'accesso di un'organizzazione a Vertex AI Workbench, consulta Concedere l'accesso a Vertex AI Workbench per la tua organizzazione.

Limita l'accesso a Vertex AI Workbench per un progetto

Per limitare l'accesso a Vertex AI Workbench per un progetto, modifica il tipo di policy GDCHRestrictedService aggiungendo il gruppo API aiplatform.gdc.goog e il tipo Notebook al campo kinds della policy per lo spazio dei nomi del progetto.

La differenza rispetto alla limitazione dell'accesso per un'organizzazione è che devi specificare lo spazio dei nomi che deve essere interessato dalla policy. Aggiungi il campo namespaces alla policy con lo spazio dei nomi del progetto.

Il seguente esempio mostra l'aspetto del campo kinds nel tipo di policy GDCHRestrictedService quando limiti l'accesso a Vertex AI Workbench per un progetto:

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: restrict-notebook-for-organization
spec:
  match:
    scope: "Namespaced"
    namespaces: [PROJECT_NAMESPACE]
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook

[...]

Sostituisci PROJECT_NAMESPACE con lo spazio dei nomi del progetto in cui vuoi limitare l'accesso a Vertex AI Workbench.

Concedere l'accesso a Vertex AI Workbench per la tua organizzazione

Per impostazione predefinita, le organizzazioni Distributed Cloud hanno accesso a Vertex AI Workbench. Tuttavia, se hai limitato l'accesso a Vertex AI Workbench per la tua organizzazione, puoi concederlo di nuovo.

Per concedere l'accesso a Vertex AI Workbench per tutti i progetti della tua organizzazione:

Identifica il tipo di policy GDCHRestrictedService nella tua organizzazione.
Trova il gruppo di API aiplatform.gdc.goog e il tipo Notebook nelle norme.
Se il gruppo API aiplatform.gdc.goog e il tipo Notebook sono gli unici contenuti nel campo kinds delle norme, elimina la risorsa GDCHRestrictedService.
Se il criterio GDCHRestrictedService contiene altri servizi con limitazioni, rimuovi il gruppo di API aiplatform.gdc.goog e il tipo Notebook dal campo kinds e salva le modifiche al criterio.