Controla el acceso a Vertex AI Workbench

Puedes otorgar y restringir el acceso a Vertex AI Workbench para una organización o un proyecto. Para ello, define una política de la organización con el tipo de política GDCHRestrictedService, que te permite restringir qué servicio puedes usar en Google Distributed Cloud (GDC) aislado. Cuando se aplica, la política impide el uso de las APIs a las que hace referencia.

Por ejemplo, puedes usar este tipo de política para restringir el uso de Vertex AI Workbench a proyectos específicos. Solo las organizaciones o los proyectos no restringidos pueden crear o actualizar notebooks de JupyterLab. También puedes usar la política para restringir por completo el acceso al servicio de Vertex AI Workbench porque deseas ejecutar pruebas antes de permitir que tus equipos lo usen.

En esta página, se describe cómo otorgar y restringir el acceso a Vertex AI Workbench con el tipo de política GDCHRestrictedService. Para obtener más información sobre las políticas de la organización y cómo editar la política de organización GDCHRestrictedService, consulta Configura políticas de la organización.

Antes de comenzar

Para obtener los permisos que necesitas para otorgar o restringir el acceso a Vertex AI Workbench para una organización o un proyecto, pídele a tu administrador de IAM de la organización que te otorgue el rol de clúster de administrador de políticas de servicio restringido de GDC (gdchrestrictedservice-policy-admin). Este rol no está vinculado a un espacio de nombres. Para obtener más información sobre este rol, consulta Cómo preparar permisos de IAM.
Define la ruta de acceso a tu kubeconfig del servidor de la API de administración:
```
export KUBECONFIG=MANAGEMENT_API_SERVER_KUBECONFIG
```

Crea restricciones

En las siguientes secciones, se describe cómo crear, actualizar, borrar y ver restricciones para servicios específicos dentro de los espacios de nombres de tu proyecto.

Crea o actualiza restricciones

Para crear o actualizar restricciones para tu organización, ejecuta el siguiente comando:

kubectl --kubeconfig=${KUBECONFIG} apply -f  - <<EOF
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: NAME
spec:
  match:
    scope: "Namespaced"
    namespaces: PROJECT_NAMESPACE
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook
EOF

Cómo borrar una restricción

Para borrar las restricciones, ejecuta el siguiente comando:
```
kubectl delete GDCHRestrictedService NAME 
```

Describe una restricción

Para describir las restricciones, ejecuta el siguiente comando:
```
kubectl describe GDCHRestrictedService NAME 
```

Restringe el acceso a Vertex AI Workbench para tu organización

Para restringir el acceso a Vertex AI Workbench en tu organización, edita el tipo de política GDCHRestrictedService agregando el grupo de la API de aiplatform.gdc.goog y el tipo Notebook al campo kinds de la política.

En el siguiente ejemplo, se muestra cómo se ve el campo kinds en el tipo de política GDCHRestrictedService cuando restringes el acceso a Vertex AI Workbench para toda tu organización:

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: restrict-notebook-for-organization
spec:
  match:
    scope: "Namespaced"
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook

[...]

Para restablecer el acceso de una organización a Vertex AI Workbench, consulta Cómo otorgar acceso a Vertex AI Workbench a tu organización.

Restringe el acceso a Vertex AI Workbench para un proyecto

Para restringir el acceso a Vertex AI Workbench en un proyecto, edita el tipo de política GDCHRestrictedService agregando el grupo de la API de aiplatform.gdc.goog y el tipo Notebook al campo kinds de la política para el espacio de nombres del proyecto.

La diferencia con restringir el acceso para una organización es que debes especificar el espacio de nombres en el que debe influir la política. Agrega el campo namespaces a la política con el espacio de nombres de tu proyecto.

En el siguiente ejemplo, se muestra cómo se ve el campo kinds en el tipo de política GDCHRestrictedService cuando restringes el acceso a Vertex AI Workbench para un proyecto:

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
  name: restrict-notebook-for-organization
spec:
  match:
    scope: "Namespaced"
    namespaces: [PROJECT_NAMESPACE]
    kinds:
    - apiGroups:
      - "aiplatform.gdc.goog"
      kinds:
      - Notebook

[...]

Reemplaza PROJECT_NAMESPACE por el espacio de nombres del proyecto en el que deseas restringir el acceso a Vertex AI Workbench.

Otorga acceso a Vertex AI Workbench para tu organización

De forma predeterminada, las organizaciones de Distributed Cloud tienen acceso a Vertex AI Workbench. Sin embargo, si restringiste el acceso a Vertex AI Workbench para tu organización, puedes volver a otorgarlo.

Sigue estos pasos para otorgar acceso a Vertex AI Workbench a todos los proyectos de tu organización:

Identifica el tipo de política GDCHRestrictedService en tu organización.
Busca el grupo de APIs aiplatform.gdc.goog y el tipo Notebook en la política.
Si el grupo de la API aiplatform.gdc.goog y el tipo Notebook son el único contenido del campo kinds de la política, borra el recurso GDCHRestrictedService.
Si la política GDCHRestrictedService contiene otros servicios restringidos, quita el grupo de APIs aiplatform.gdc.goog y el tipo Notebook del campo kinds y guarda los cambios en la política.