Puedes conceder y restringir el acceso a Vertex AI Workbench a una organización o a un proyecto. Para ello, define una política de organización con el tipo de política GDCHRestrictedService, que te permite restringir qué servicio puedes usar en Google Distributed Cloud (GDC) air-gapped. Cuando se aplica, la política impide el uso de las APIs a las que hace referencia.
Por ejemplo, puedes usar este tipo de política para restringir el uso de Vertex AI Workbench a proyectos específicos. Solo las organizaciones o los proyectos no restringidos pueden crear o actualizar cuadernos de JupyterLab. También puedes usar la política para restringir por completo el acceso al servicio Vertex AI Workbench porque quieres hacer pruebas antes de permitir que tus equipos lo usen.
En esta página se describe cómo conceder y restringir el acceso a Vertex AI Workbench mediante el tipo de política GDCHRestrictedService. Para obtener más información sobre las políticas de la organización y cómo editar la GDCHRestrictedService política de la organización, consulta Configurar políticas de la organización.
Antes de empezar
Para obtener los permisos que necesitas para conceder o restringir el acceso a Vertex AI Workbench en una organización o un proyecto, pide al administrador de gestión de identidades y accesos de tu organización que te conceda el rol de clúster Administrador de políticas de servicio restringido de GDC (
gdchrestrictedservice-policy-admin). Este rol no está vinculado a un espacio de nombres. Para obtener más información sobre este rol, consulta Preparar permisos de gestión de identidades y accesos.Define la ruta al archivo kubeconfig de tu servidor de la API de gestión:
export KUBECONFIG=MANAGEMENT_API_SERVER_KUBECONFIG
Crear restricciones
En las siguientes secciones se describe cómo crear, actualizar, eliminar y ver restricciones de servicios específicos en los espacios de nombres de tu proyecto.
Crear o actualizar restricciones
Para crear o actualizar restricciones en tu organización, ejecuta el siguiente comando:
kubectl --kubeconfig=${KUBECONFIG} apply -f - <<EOF apiVersion: constraints.gatekeeper.sh/v1beta1 kind: GDCHRestrictedService metadata: name: NAME spec: match: scope: "Namespaced" namespaces: PROJECT_NAMESPACE kinds: - apiGroups: - "aiplatform.gdc.goog" kinds: - Notebook EOF
Eliminar una restricción
Para eliminar las restricciones, ejecuta el siguiente comando:
kubectl delete GDCHRestrictedService NAME
Describe una restricción
Para describir las restricciones, ejecuta el siguiente comando:
kubectl describe GDCHRestrictedService NAME
Restringir el acceso a Vertex AI Workbench en una organización
Para restringir el acceso a Vertex AI Workbench en tu organización, edita el tipo de política GDCHRestrictedService añadiendo el grupo de APIs aiplatform.gdc.goog y el tipo Notebook al campo kinds de la política.
En el siguiente ejemplo se muestra cómo aparece el campo kinds en el tipo de política GDCHRestrictedService cuando restringes el acceso a Vertex AI Workbench a toda tu organización:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
Para restaurar el acceso de una organización a Vertex AI Workbench, consulta Conceder acceso a Vertex AI Workbench a tu organización.
Restringir el acceso a Vertex AI Workbench en un proyecto
Para restringir el acceso a Vertex AI Workbench en un proyecto, edita el tipo de política GDCHRestrictedService añadiendo el grupo de la API aiplatform.gdc.goog y el tipo Notebook al campo kinds de la política del espacio de nombres del proyecto.
La diferencia con restringir el acceso de una organización
es que debes especificar el espacio de nombres en el que debe influir la política. Añade el campo namespaces a la política con el espacio de nombres de tu proyecto.
En el siguiente ejemplo se muestra cómo aparece el campo kinds en el tipo de política GDCHRestrictedService cuando se restringe el acceso a Vertex AI Workbench en un proyecto:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
namespaces: [PROJECT_NAMESPACE]
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
Sustituye PROJECT_NAMESPACE por el espacio de nombres del proyecto al que quieras restringir el acceso a Vertex AI Workbench.
Conceder acceso a Vertex AI Workbench a tu organización
De forma predeterminada, las organizaciones de Distributed Cloud tienen acceso a Vertex AI Workbench. Sin embargo, si has restringido el acceso a Vertex AI Workbench para tu organización, puedes volver a concederlo.
Sigue estos pasos para conceder acceso a Vertex AI Workbench a todos los proyectos de tu organización:
Identifica el tipo de política
GDCHRestrictedServicede tu organización.Busca el grupo de APIs
aiplatform.gdc.googy el tipoNotebooken la política.Si el grupo de APIs
aiplatform.gdc.googy el tipoNotebookson los únicos elementos del campokindsde la política, elimina el recursoGDCHRestrictedService.Si la política
GDCHRestrictedServicecontiene otros servicios restringidos, elimina el grupo de APIsaiplatform.gdc.googy el tipoNotebookdel campokindsy guarda los cambios en la política.