Crea una instancia con credenciales de terceros

En esta página, se describe cómo crear una instancia de Vertex AI Workbench con credenciales de terceros.

Descripción general

Puedes crear y gestionar instancias de Vertex AI Workbench con credenciales de terceros proporcionadas por la federación de identidades de personal. La federación de identidades de personal usa su proveedor de identidades externo (IdP) para conceder a un grupo de usuarios acceso a las instancias de Vertex AI Workbench a través de un proxy.

El acceso a una instancia de Vertex AI Workbench se otorga mediante la asignación de un principal de grupo de personal a la cuenta de servicio de la instancia de Vertex AI Workbench.

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Enable the API

    8.
  8. Configura tu IdP con una fuerza laboral de grupo de identidades.

    9. Rol obligatorio para crear una instancia

    Para asegurarte de que la principal del grupo de personal tenga los permisos necesarios para crear una instancia de Vertex AI Workbench, pídele a tu administrador que le otorgue a la principal del grupo de personal el rol de IAM de Administrador de notebooks (roles/notebooks.admin) en el proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    Es posible que tu administrador también pueda otorgar a la principal del grupo de personal los permisos necesarios a través de roles personalizados o de otros roles predefinidos.

    Roles obligatorios para usar credenciales de terceros

    La principal de tu grupo de personal necesita acceso a la cuenta de servicio de tu instancia de Vertex AI Workbench, con permisos específicos.

    Para garantizar que la principal del grupo de personal tenga los permisos necesarios para usar una instancia de Vertex AI Workbench con credenciales de terceros, pídele a tu administrador que le otorgue a la principal del grupo de personal los siguientes roles de IAM en el cuenta de servicio que especificarás cuando crees la instancia:

    Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    Es posible que tu administrador también pueda otorgar los permisos necesarios a la principal del grupo de personal a través de roles personalizados o de otros roles predefinidos.

    Crea la instancia con credenciales de terceros

    Para asegurarte de que tu instancia de Vertex AI Workbench contenga un dominio de byoid.googleusercontent.com, debes realizar una de las siguientes acciones:

    • Crea la instancia con la consola de Google CloudWorkforce Identity Federation.

    • Usa la marca enable_third_party_identity cuando crees la instancia.

    Puedes crear un Vertex AI Workbench con credenciales de terceros a través de laGoogle Cloud consola o gcloud CLI:

    Console

    1. Accede a la consola Google Cloud con un proveedor de grupos de personal.

      Ir a la consola

    2. En la consola de Google Cloud , ve a la página Instancias.

      Ir a Instancias

    3. Haz clic en  Crear nuevo.

    4. En el cuadro de diálogo Instancia nueva, haz clic en Opciones avanzadas.

    5. En el cuadro de diálogo Crear instancia, en la sección IAM y seguridad, haz lo siguiente:

      1. Asegúrate de que esté seleccionada la opción Cuenta de servicio.

      2. Desmarca Usar la cuenta de servicio predeterminada de Compute Engine y, luego, en el campo Correo electrónico de la cuenta de servicio, ingresa la dirección de correo electrónico de la cuenta de servicio asociada con tu principal de personal.

    6. Haz clic en Crear.

      Vertex AI Workbench crea una instancia y la inicia de forma automática. Cuando la instancia está lista para usarse, Vertex AI Workbench activa un vínculo Abrir JupyterLab.

    gcloud

    Sigue la guía de IAM para autenticar la gcloud CLI con un grupo de identidad de personal.

    --enable-third-party-identity

    Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

    • INSTANCE_NAME: el nombre de tu instancia de Vertex AI Workbench. Debe comenzar con una letra seguida de un máximo de 62 letras minúsculas, números o guiones (-) y no puede terminar con un guion.
    • PROJECT_ID: el ID de tu proyecto
    • LOCATION: Es la zona en la que deseas que se ubique la instancia.
    • VM_IMAGE_PROJECT: El ID del proyecto Google Cloud al que pertenece la imagen de VM, en el siguiente formato: projects/IMAGE_PROJECT_ID
    • VM_IMAGE_NAME: es el nombre completo de la imagen. para encontrar el nombre de imagen de una versión específica, consulta Encuentra la versión específica
    • MACHINE_TYPE: el tipo de máquina de la VM de tu instancia
    • METADATA: Son metadatos personalizados que se aplicarán a esta instancia; por ejemplo, para especificar una secuencia de comandos posterior al inicio, puedes usar la etiqueta de metadatos post-startup-script en el formato: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
    • SERVICE_ACCOUNT_EMAIL: La dirección de correo electrónico de la cuenta de servicio que está asociada con la principal de tu personal

    Ejecuta el siguiente comando:

    Linux, macOS o Cloud Shell

    gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL

    Windows (PowerShell)

    gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL

    Windows (cmd.exe)

    gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL

    Si deseas obtener más información sobre el comando para crear una instancia desde la línea de comandos, consulta la documentación de gcloud CLI.

    Vertex AI Workbench crea una instancia y la inicia de forma automática. Cuando la instancia está lista para usarse, Vertex AI Workbench activa un vínculo Abrir JupyterLab en la Google Cloud consola.

    Accede a JupyterLab con credenciales de terceros

    Tu nueva instancia de Vertex AI Workbench crea dos URLs de proxy independientes con los siguientes dominios:

    • byoid.googleusercontent.com: Solo pueden usar este dominio los usuarios que autentiquen con un grupo de identidades de personal. Su valor se almacena en el campo de metadatos de tu instancia proxy-byoid-url. Este valor de metadatos activa un vínculo Abrir JupyterLab en la consola de la federación de identidades de personal deGoogle Cloud (console.cloud.google/).

    • googleusercontent.com: Solo pueden usar este dominio los usuarios que autentiquen con la autenticación propia de Google predeterminada. Su valor se almacena en el campo de metadatos de tu instancia proxy-url. Este valor de metadatos activa un vínculo Abrir JupyterLab en la consola deGoogle Cloud (console.cloud.google.com).

    ¿Qué sigue?