控管 Vertex AI Workbench 的存取權

您可以授予或限制機構或專案的 Vertex AI Workbench 存取權。如要這麼做，請使用 GDCHRestrictedService 政策類型定義機構政策，限制您可在 Google Distributed Cloud (GDC) Air-gapped 上使用的服務。套用後，這項政策會禁止使用其參照的 API。

舉例來說，您可以運用這類政策，限制只有特定專案能使用 Vertex AI Workbench。只有非受限的機構或專案才能建立或更新 JupyterLab 筆記本。您也可以使用這項政策完全限制 Vertex AI Workbench 服務的存取權，以便在允許團隊使用前先執行測試。

本頁說明如何使用 GDCHRestrictedService 政策類型，授予及限制 Vertex AI Workbench 的存取權。如要進一步瞭解機構政策，以及如何編輯GDCHRestrictedService機構政策，請參閱「設定機構政策」。

事前準備

如要取得授予或限制機構或專案存取 Vertex AI Workbench 的權限，請要求機構 IAM 管理員授予您 GDC Restricted Service Policy Admin (gdchrestrictedservice-policy-admin) 叢集角色。這個角色未繫結至命名空間。如要進一步瞭解這個角色，請參閱「準備 IAM 權限」。

定義管理 API 伺服器 kubeconfig 的路徑：

export KUBECONFIG=MANAGEMENT_API_SERVER_KUBECONFIG

建立限制

以下各節說明如何建立、更新、刪除及查看專案命名空間中特定服務的限制。

建立或更新限制

如要為貴機構建立或更新限制，請執行下列指令：

kubectl --kubeconfig=${KUBECONFIG} apply -f  - <<EOF
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: NAME
spec:
  match:
    scope: "Namespaced"
    namespaces: PROJECT_NAMESPACE
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook
EOF

刪除限制

如要刪除限制，請執行：

kubectl delete GDCHRestrictedService NAME

描述限制

如要說明限制，請執行：

kubectl describe GDCHRestrictedService NAME

限制機構存取 Vertex AI Workbench

如要限制機構存取 Vertex AI Workbench，請編輯 GDCHRestrictedService 政策類型，在政策的 kinds 欄位中新增 aiplatform.gdc.goog API 群組和 Notebook 種類。

以下範例顯示當您限制整個機構存取 Vertex AI Workbench 時，GDCHRestrictedService 政策類型中的 kinds 欄位會如何顯示：

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: restrict-notebook-for-organization
spec:
  match:
    scope: "Namespaced"
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook

[...]

如要還原機構對 Vertex AI Workbench 的存取權，請參閱「授予機構對 Vertex AI Workbench 的存取權」。

限制專案的 Vertex AI Workbench 存取權

如要限制專案的 Vertex AI Workbench 存取權，請編輯 GDCHRestrictedService 政策類型，方法是將 aiplatform.gdc.goog API 群組和 Notebook 種類新增至專案命名空間政策的 kinds 欄位。

與限制機構存取權不同的是，您必須指定政策應影響的命名空間。在政策中加入 namespaces 欄位，並填入專案命名空間。

以下範例說明在您限制專案的 Vertex AI Workbench 存取權時，GDCHRestrictedService 政策類型中的 kinds 欄位會如何顯示：

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: restrict-notebook-for-organization
spec:
  match:
    scope: "Namespaced"
    namespaces: [PROJECT_NAMESPACE]
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook

[...]

將 PROJECT_NAMESPACE 替換為要限制 Vertex AI Workbench 存取權的專案命名空間。

為貴機構授予 Vertex AI Workbench 的存取權

根據預設，Distributed Cloud 機構可存取 Vertex AI Workbench。不過，如果限制貴機構存取 Vertex AI Workbench，您可以再次授予存取權。

如要授予機構內所有專案的 Vertex AI Workbench 存取權，請按照下列步驟操作：

找出貴機構的 GDCHRestrictedService 政策類型。
在政策中找出 aiplatform.gdc.goog API 群組和 Notebook 種類。
如果 aiplatform.gdc.goog API 群組和 Notebook 類型是政策 kinds 欄位中的唯一內容，請刪除 GDCHRestrictedService 資源。
如果 GDCHRestrictedService 政策包含其他受限制的服務，請從 aiplatform.gdc.goog 欄位移除 API 群組和 Notebook 種類，然後儲存政策變更。kinds