Confidential Computing を使用してインスタンスを作成する

このドキュメントでは、Confidential Computing を有効にして Vertex AI Workbench インスタンスを作成する方法について説明します。

概要

Confidential Computing は、ハードウェアベースの高信頼実行環境（TEE）で使用中のデータを保護するためのソリューションです。TEE は分離された安全な環境であり、使用中のアプリケーションとデータに対する不正アクセスや変更を防止します。このセキュリティ標準は、Confidential Computing Consortium によって定義されています。

Confidential Computing を有効にして Vertex AI Workbench インスタンスを作成すると、新しい Vertex AI Workbench インスタンスは Confidential VM インスタンスになります。Confidential VM インスタンスの詳細については、Confidential VM の概要をご覧ください。

始める前に

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Compute Engine and Notebooks APIs.

   Enable the APIs

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Make sure that billing is enabled for your Google Cloud project.

7. Enable the Compute Engine and Notebooks APIs.

   Enable the APIs

必要なロール

Vertex AI Workbench インスタンスの作成に必要な権限を取得するには、プロジェクトに対する Notebooks ランナー （roles/notebooks.runner）の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

インスタンスの作成

Confidential Computing が有効になっているインスタンスを作成するには、gcloud CLI または REST API を使用します。

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

{
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

インスタンスで Confidential Computing が有効になっているかどうかを確認する

Vertex AI Workbench インスタンスで Confidential Computing が有効になっているかどうかを確認するには、次の操作を行います。

1. Google Cloud コンソールで、[インスタンス] ページに移動します。

   [インスタンス] に移動

2. [インスタンス名] 列で、確認するインスタンスの名前をクリックします。

   [インスタンスの詳細] ページが開きます。

3. [VM の詳細] の横にある [Compute Engine で表示] をクリックします。

4. Compute Engine の詳細ページで、[Confidential VM service] の値が Enabled または Disabled になっている。

制限事項

Confidential Computing を有効にして Vertex AI Workbench インスタンスを作成または使用する場合、次の制限が適用されます。

• N2D マシンタイプのみがサポートされます。N2D マシンタイプをご覧ください。

• Vertex AI Workbench インスタンスの作成後に、機密コンピューティングを有効または無効にすることはできません。

課金

この機能はプレビュー版ですが、Confidential Computing で Vertex AI Workbench インスタンスを使用する場合の料金は、Confidential Computing を使用しないインスタンスを使用する場合と同じです。料金をご覧ください。

次のステップ

• ノートブックを使用して Vertex AI や他の Google Cloud サービスを使い始める。Vertex AI ノートブックのチュートリアルをご覧ください。
• Vertex AI Workbench インスタンスのヘルス ステータスを確認するには、ヘルス ステータスをモニタリングするをご覧ください。