Crea una instancia con credenciales de terceros
En esta página, se describe cómo crear una instancia de Vertex AI Workbench con credenciales de terceros.
Descripción general
Puedes crear y gestionar instancias de Vertex AI Workbench con credenciales de terceros proporcionadas por la federación de identidades de personal. La federación de identidades de personal usa su proveedor de identidades externo (IdP) para conceder a un grupo de usuarios acceso a las instancias de Vertex AI Workbench a través de un proxy.
El acceso a una instancia de Vertex AI Workbench se otorga mediante la asignación de un principal de grupo de personal a la cuenta de servicio de la instancia de Vertex AI Workbench.
Antes de comenzar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
- Configura tu IdP con una fuerza laboral de grupo de identidades.
-
Creador de tokens de cuenta de servicio (
roles/iam.serviceAccountTokenCreator
) -
Usuario de cuenta de servicio (
roles/iam.serviceAccountUser
) Crea la instancia con la consola de Google CloudWorkforce Identity Federation.
Usa la marca
enable_third_party_identity
cuando crees la instancia.Accede a la consola Google Cloud con un proveedor de grupos de personal.
En la consola de Google Cloud , ve a la página Instancias.
Haz clic en
Crear nuevo.En el cuadro de diálogo Instancia nueva, haz clic en Opciones avanzadas.
En el cuadro de diálogo Crear instancia, en la sección IAM y seguridad, haz lo siguiente:
Asegúrate de que esté seleccionada la opción Cuenta de servicio.
Desmarca Usar la cuenta de servicio predeterminada de Compute Engine y, luego, en el campo Correo electrónico de la cuenta de servicio, ingresa la dirección de correo electrónico de la cuenta de servicio asociada con tu principal de personal.
Haz clic en Crear.
Vertex AI Workbench crea una instancia y la inicia de forma automática. Cuando la instancia está lista para usarse, Vertex AI Workbench activa un vínculo Abrir JupyterLab.
-
INSTANCE_NAME
: el nombre de tu instancia de Vertex AI Workbench. Debe comenzar con una letra seguida de un máximo de 62 letras minúsculas, números o guiones (-) y no puede terminar con un guion. PROJECT_ID
: el ID de tu proyectoLOCATION
: Es la zona en la que deseas que se ubique la instancia.-
VM_IMAGE_PROJECT
: El ID del proyecto Google Cloud al que pertenece la imagen de VM, en el siguiente formato:projects/IMAGE_PROJECT_ID
-
VM_IMAGE_NAME
: es el nombre completo de la imagen. para encontrar el nombre de imagen de una versión específica, consulta Encuentra la versión específica -
MACHINE_TYPE
: el tipo de máquina de la VM de tu instancia -
METADATA
: Son metadatos personalizados que se aplicarán a esta instancia; por ejemplo, para especificar una secuencia de comandos posterior al inicio, puedes usar la etiqueta de metadatospost-startup-script
en el formato:"--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
-
SERVICE_ACCOUNT_EMAIL
: La dirección de correo electrónico de la cuenta de servicio que está asociada con la principal de tu personal byoid.googleusercontent.com
: Solo pueden usar este dominio los usuarios que autentiquen con un grupo de identidades de personal. Su valor se almacena en el campo de metadatos de tu instanciaproxy-byoid-url
. Este valor de metadatos activa un vínculo Abrir JupyterLab en la consola de la federación de identidades de personal deGoogle Cloud (console.cloud.google/
).googleusercontent.com
: Solo pueden usar este dominio los usuarios que autentiquen con la autenticación propia de Google predeterminada. Su valor se almacena en el campo de metadatos de tu instanciaproxy-url
. Este valor de metadatos activa un vínculo Abrir JupyterLab en la consola deGoogle Cloud (console.cloud.google.com
).- Para obtener más información sobre las principales de terceros que puedes usar para aprovisionar notebooks, consulta Federación de identidades de personal.
Rol obligatorio para crear una instancia
Para asegurarte de que la principal del grupo de personal tenga los permisos necesarios para crear una instancia de Vertex AI Workbench, pídele a tu administrador que le otorgue a la principal del grupo de personal el rol de IAM de Administrador de notebooks (roles/notebooks.admin
) en el proyecto.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Es posible que tu administrador también pueda otorgar a la principal del grupo de personal los permisos necesarios a través de roles personalizados o de otros roles predefinidos.
Roles obligatorios para usar credenciales de terceros
La principal de tu grupo de personal necesita acceso a la cuenta de servicio de tu instancia de Vertex AI Workbench, con permisos específicos.
Para garantizar que la principal del grupo de personal tenga los permisos necesarios para usar una instancia de Vertex AI Workbench con credenciales de terceros, pídele a tu administrador que le otorgue a la principal del grupo de personal los siguientes roles de IAM en el cuenta de servicio que especificarás cuando crees la instancia:
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Es posible que tu administrador también pueda otorgar los permisos necesarios a la principal del grupo de personal a través de roles personalizados o de otros roles predefinidos.
Crea la instancia con credenciales de terceros
Para asegurarte de que tu instancia de Vertex AI Workbench contenga un dominio de byoid.googleusercontent.com
, debes realizar una de las siguientes acciones:
Puedes crear un Vertex AI Workbench con credenciales de terceros a través de laGoogle Cloud consola o gcloud CLI:
Console
gcloud
Sigue la guía de IAM para autenticar la gcloud CLI con un grupo de identidad de personal.
--enable-third-party-identity
Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud workbench instances create INSTANCE_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --vm-image-project=VM_IMAGE_PROJECT \ --vm-image-name=VM_IMAGE_NAME \ --machine-type=MACHINE_TYPE \ --metadata=METADATA \ --service-account-email=SERVICE_ACCOUNT_EMAIL
Windows (PowerShell)
gcloud workbench instances create INSTANCE_NAME ` --project=PROJECT_ID ` --location=LOCATION ` --vm-image-project=VM_IMAGE_PROJECT ` --vm-image-name=VM_IMAGE_NAME ` --machine-type=MACHINE_TYPE ` --metadata=METADATA ` --service-account-email=SERVICE_ACCOUNT_EMAIL
Windows (cmd.exe)
gcloud workbench instances create INSTANCE_NAME ^ --project=PROJECT_ID ^ --location=LOCATION ^ --vm-image-project=VM_IMAGE_PROJECT ^ --vm-image-name=VM_IMAGE_NAME ^ --machine-type=MACHINE_TYPE ^ --metadata=METADATA ^ --service-account-email=SERVICE_ACCOUNT_EMAIL
Si deseas obtener más información sobre el comando para crear una instancia desde la línea de comandos, consulta la documentación de gcloud CLI.
Vertex AI Workbench crea una instancia y la inicia de forma automática. Cuando la instancia está lista para usarse, Vertex AI Workbench activa un vínculo Abrir JupyterLab en la Google Cloud consola.
Accede a JupyterLab con credenciales de terceros
Tu nueva instancia de Vertex AI Workbench crea dos URLs de proxy independientes con los siguientes dominios: