Добавление пользователя Google в разрешение IAM для платформы AI
Я создал экземпляр блокнота в Google Cloud AI Platform.
Я, должно быть, упускаю что-то супер очевидное, но кто-то может сказать мне, как дать учетной записи пользователя разрешение на доступ к JupyterLab. Я могу получить к нему доступ в своей учетной записи Google, но другие пользователи не могут, даже с установленным Compute Engine Admin.
Когда пользователь нажимает "Открыть Jupyter Lab" в экземпляре, появляется 403.
Спасибо,
1 ответ
В настоящее время единственной ролью, доступной для доступа к блокноту AI Platform, является роль редактора проекта; поэтому вы должны предоставить эту роль пользователям, которые хотят получить доступ к вашему ноутбуку Jupyter.
Кроме того, команда разработчиков платформы подала запрос на функцию, запрашивающую более детальные / ограничительные разрешения для доступа к блокноту AI Platform.
Похоже, что сейчас достаточно iam.serviceAccountUser в сочетании с compute.admin.
Мне удалось создать учетную запись службы без разрешений, а затем использовать ее для создания нового экземпляра блокнота AI Platform. Убедитесь, что в вашем проекте включен API [notebooks.googleapis.com]. После создания записной книжки вы можете посетить URL-адрес JupyterLab. Когда вы пытаетесь выполнить какую-либо операцию из консоли JupyterLab, выдается ошибка, поскольку учетная запись службы не имеет разрешения. Теперь вы можете связать требуемые роли / разрешения с учетной записью службы, которые потребуются для выполнения вашего приложения для обработки данных, такого как чтение / запись GCS, чтение / запись BQ и т. Д.
Если вы хотите поделиться URL-адресом с членом команды, не имея доступа к странице блокнота платформы AI, вы можете сделать это, связав разрешение "iam.serviceAccounts.actAs" с учетной записью службы.