Pode conceder e restringir o acesso ao Vertex AI Workbench para uma organização ou um projeto. Para o fazer, defina uma política de organização através do tipo de política GDCHRestrictedService, que lhe permite restringir o serviço que pode usar no Google Distributed Cloud (GDC) air-gapped. Quando aplicada, a política impede a
utilização das APIs a que faz referência.
Por exemplo, pode usar este tipo de política para restringir a utilização do Vertex AI Workbench a projetos específicos. Apenas as organizações ou os projetos não restritos podem criar ou atualizar blocos de notas do JupyterLab. Também pode usar a política para restringir completamente o acesso ao serviço Vertex AI Workbench porque quer executar testes antes de permitir que as suas equipas o usem.
Esta página descreve como conceder e restringir o acesso ao Vertex AI Workbench através do tipo de política GDCHRestrictedService. Para
saber mais sobre as políticas de organização e como editar a
GDCHRestrictedService política de organização, consulte
Configure políticas de organização.
Antes de começar
Para receber as autorizações necessárias para conceder ou restringir o acesso ao Vertex AI Workbench para uma organização ou um projeto, peça ao administrador do IAM da organização que lhe conceda a função de cluster de administrador da política de serviços restrita da GDC (gdchrestrictedservice-policy-admin) no seu espaço de nomes do projeto.
Para mais informações sobre esta função, consulte o artigo Prepare as autorizações de IAM.
Restrinja o acesso ao Vertex AI Workbench para a sua organização
Para restringir o acesso ao Vertex AI Workbench para a sua organização, edite o tipo de política GDCHRestrictedService adicionando o grupo de APIs aiplatform.gdc.goog e o tipo Notebook ao campo kinds da política.
O exemplo seguinte mostra o aspeto do campo kinds no tipo de política GDCHRestrictedService quando restringe o acesso ao Vertex AI Workbench a toda a sua organização:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
Para restaurar o acesso de uma organização ao Vertex AI Workbench, consulte o artigo Conceda acesso ao Vertex AI Workbench à sua organização.
Restrinja o acesso ao Vertex AI Workbench para um projeto
Para restringir o acesso ao Vertex AI Workbench para um projeto, edite o tipo de política GDCHRestrictedService adicionando o grupo da API aiplatform.gdc.goog e o tipo Notebook ao campo kinds do namespace da política para o projeto.
A diferença em relação à restrição do acesso para uma organização
é que tem de especificar o espaço de nomes que a política deve afetar. Adicione o campo namespaces à política com o espaço de nomes do seu projeto.
O exemplo seguinte mostra o aspeto do campo kinds no tipo de política GDCHRestrictedService quando restringe o acesso ao Vertex AI Workbench para um projeto:
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GDCHRestrictedService
metadata:
name: restrict-notebook-for-organization
spec:
match:
scope: "Namespaced"
namespaces: [PROJECT_NAMESPACE]
kinds:
- apiGroups:
- "aiplatform.gdc.goog"
kinds:
- Notebook
[...]
Substitua PROJECT_NAMESPACE pelo espaço de nomes do projeto onde quer restringir o acesso ao Vertex AI Workbench.
Conceda acesso ao Vertex AI Workbench para a sua organização
Por predefinição, as organizações do Distributed Cloud têm acesso ao Vertex AI Workbench. No entanto, se tiver restringido o acesso ao Vertex AI Workbench para a sua organização, pode conceder acesso novamente.
Siga estes passos para conceder acesso ao Vertex AI Workbench a todos os projetos na sua organização:
Identifique o tipo de política
GDCHRestrictedServicena sua organização.Encontre o grupo de APIs
aiplatform.gdc.googe o tipoNotebookna política.Se o
aiplatform.gdc.googgrupo da API e o tipoNotebookforem o único conteúdo no campokindsda política, elimine o recursoGDCHRestrictedService.Se a política
GDCHRestrictedServicecontiver outros serviços restritos, remova o grupo de APIsaiplatform.gdc.googe o tipoNotebookdo campokindse guarde as alterações à política.