Puedes conceder y restringir el acceso a Vertex AI Workbench a una organización o a un proyecto. Para ello, define una política de organización con el tipo de política GDCHRestrictedService, que te permite restringir el servicio que puedes usar en Google Distributed Cloud (GDC) air-gapped. Cuando se aplica, la política impide el uso de las APIs a las que hace referencia.
Por ejemplo, puedes usar este tipo de política para restringir el uso de Vertex AI Workbench a proyectos específicos. Solo las organizaciones o los proyectos no restringidos pueden crear o actualizar cuadernos de JupyterLab. También puedes usar la política para restringir por completo el acceso al servicio Vertex AI Workbench porque quieres hacer pruebas antes de permitir que tus equipos lo usen.
En esta página se describe cómo conceder y restringir el acceso a Vertex AI Workbench mediante el tipo de política GDCHRestrictedService. Para obtener más información sobre las políticas de organización y cómo editar la GDCHRestrictedService política de organización, consulta Configurar políticas de organización.
Antes de empezar
Para obtener los permisos que necesitas para conceder o restringir el acceso a Vertex AI Workbench en una organización o un proyecto, pide al administrador de gestión de identidades y accesos de tu organización que te conceda el rol de clúster de administrador de políticas de servicio restringidas de GDC (gdchrestrictedservice-policy-admin) en el espacio de nombres de tu proyecto.
Para obtener más información sobre este rol, consulta Preparar permisos de gestión de identidades y accesos.
Restringir el acceso a Vertex AI Workbench en una organización
Para restringir el acceso a Vertex AI Workbench en tu organización, edita el tipo de política GDCHRestrictedService añadiendo el grupo de APIs aiplatform.gdc.goog y el tipo Notebook al campo kinds de la política.
En el siguiente ejemplo se muestra cómo aparece el campo kinds en el tipo de política GDCHRestrictedService cuando restringes el acceso a Vertex AI Workbench en toda tu organización:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
Para restaurar el acceso de una organización a Vertex AI Workbench, consulta Conceder acceso a Vertex AI Workbench a tu organización.
Restringir el acceso a Vertex AI Workbench en un proyecto
Para restringir el acceso a Vertex AI Workbench en un proyecto, edita el tipo de política GDCHRestrictedService añadiendo el grupo de la API aiplatform.gdc.goog y el tipo Notebook al campo kinds de la política del espacio de nombres del proyecto.
La diferencia con restringir el acceso de una organización es que debes especificar el espacio de nombres en el que debe aplicarse la política. Añade el campo namespaces a la política con el espacio de nombres de tu proyecto.
En el siguiente ejemplo se muestra cómo aparece el campo kinds en el tipo de política GDCHRestrictedService cuando se restringe el acceso a Vertex AI Workbench en un proyecto:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
namespaces: [PROJECT_NAMESPACE]
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
Sustituye PROJECT_NAMESPACE por el espacio de nombres del proyecto al que quieras restringir el acceso a Vertex AI Workbench.
Conceder acceso a Vertex AI Workbench a tu organización
De forma predeterminada, las organizaciones de Distributed Cloud tienen acceso a Vertex AI Workbench. Sin embargo, si has restringido el acceso a Vertex AI Workbench para tu organización, puedes volver a concederlo.
Sigue estos pasos para conceder acceso a Vertex AI Workbench a todos los proyectos de tu organización:
Identifica el tipo de política
GDCHRestrictedServicede tu organización.Busca el grupo de APIs
aiplatform.gdc.googy el tipoNotebooken la política.Si el grupo de APIs
aiplatform.gdc.googy el tipoNotebookson los únicos elementos del campokindsde la política, elimina el recursoGDCHRestrictedService.Si la política
GDCHRestrictedServicecontiene otros servicios restringidos, elimina el grupo de APIsaiplatform.gdc.googy el tipoNotebookdel campokindsy guarda los cambios en la política.