在我的环境中,我有一个AI Platform Notebooks实例,仅为其配置了单用户访问权限。但是,我无法通过SSH进入。
我试图通过授予适当的Cloud IAM角色来使其工作。我将iam/serviceaccountUser和iam/Project Editor的角色都授予了用于该实例的服务帐户。由于该实例没有外部IP地址,因此我还授予了iam/IAP Tunnel User角色。
使用默认服务帐户创建AI平台笔记本时,它可以正常工作。显然,我必须缺少一些细粒度的东西。限制是否适用于单个用户有效,或者是什么原因引起的?
启用笔记本API时,我们具有新的IAM用户权限。
a)从用户界面:
b)如果使用 gcloud计算命令:确保设置了以下元数据值:
proxy-mode: mail
proxy-user-mail: user@domain.com
c)如果使用 gcloud笔记本beta版实例,请创建{strong>使用--metadata选项传递元数据的命令:
proxy-mode=mail,proxy-user-mail=user@domain.com
在这种情况下,可以是Notebooks Admin或Notebooks Runner。
完成后,
验证您的元数据,并确保:
enable-oslogin is set to TRUE
对于SSH访问: 检查: https://cloud.google.com/compute/docs/instances/managing-instance-access#grant-iam-roles
https://cloud.google.com/compute/docs/oslogin/troubleshoot-os-login#checking_if_os_login_is_enabled
注意:我记得我需要注销并重新登录,才能看到SSH按钮已启用并使用Chrome。