在我的环境中,我有一个 AI Platform Notebooks 实例,我只为其配置了单用户访问权限。但是,我无法通过 SSH 访问它。
我试图通过授予适当的 Cloud IAM 角色来使其工作。我将iam/serviceAccountUser和iam/Project Editor角色都授予了用于该实例的服务帐户。由于该实例没有外部 IP 地址,因此我也授予了iam/IAP Tunnel User角色。
当使用默认服务帐户创建 AI Platform Notebooks 时,它工作正常。显然,我一定遗漏了一些细粒度的东西。限制是否适用于单个用户,或者可能是什么原因造成的?
当您启用 Notebooks API 时,我们拥有新的 IAM 用户权限。
a) 从用户界面:
b) 如果使用gcloud compute命令:确保使用以下元数据值:
proxy-mode: mail
proxy-user-mail: user@domain.com
c) 如果使用gcloud notebooks beta 实例--metadata,使用以下选项创建命令传递元数据:
proxy-mode=mail, proxy-user-mail=user@domain.com
在这种情况下,可能是 Notebooks Admin 或 Notebooks Runner。
一旦完成,
验证您的元数据并确保:
enable-oslogin is set to TRUE
对于 SSH 访问:检查: https ://cloud.google.com/compute/docs/instances/managing-instance-access#grant-iam-roles
https://cloud.google.com/compute/docs/oslogin/troubleshoot-os-login#checking_if_os_login_is_enabled
注意:我记得我需要注销并重新登录才能看到启用了 SSH 按钮并使用 Chrome。