Crea un'istanza con credenziali di terze parti

Questa pagina descrive come creare un'istanza di Vertex AI Workbench con credenziali di terze parti.

Panoramica

Puoi creare e gestire istanze Vertex AI Workbench con credenziali di terze parti fornite da Workforce Identity Federation. La federazione delle identità per la forza lavoro utilizza il tuo provider di identità (IdP) esterno per concedere a un gruppo di utenti l'accesso alle istanze di Vertex AI Workbench tramite un proxy.

L'accesso a un'istanza di Vertex AI Workbench viene concesso assegnando un'entità del pool di forza lavoro� all'account di servizio dell'istanza di Vertex AI Workbench.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Enable the API

    8.
  8. Configura il tuo IdP con un pool di identità della forza lavoro.

    9. Ruolo richiesto per creare un'istanza

    Per assicurarti che il principal del pool di workforce disponga delle autorizzazioni necessarie per creare un'istanza Vertex AI Workbench, chiedi all'amministratore di concedere al principal del pool di workforce il ruolo IAM Amministratore notebook (roles/notebooks.admin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

    L'amministratore potrebbe anche essere in grado di concedere all'entità del pool di forza lavoro le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

    Ruoli richiesti per l'utilizzo delle credenziali di terze parti

    L'entità del pool di forza lavoro deve accedere all'account di servizio dell'istanza Vertex AI Workbench, con autorizzazioni specifiche.

    Per assicurarti che l'entità del pool di forza lavoro disponga delle autorizzazioni necessarie per utilizzare un'istanza Vertex AI Workbench con credenziali di terze parti, chiedi all'amministratore di concedere all'entità del pool di forza lavoro i seguenti ruoli IAM per account di serviziount che specificherai quando crei l'istanza:

    Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

    L'amministratore potrebbe anche essere in grado di concedere all'entità del pool di forza lavoro le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

    Crea l'istanza utilizzando le credenziali di terze parti

    Per assicurarti che l'istanza di Vertex AI Workbench contenga un dominio byoid.googleusercontent.com, devi eseguire una delle seguenti operazioni:

    • Crea l'istanza utilizzando la console Google Cloud della federazione delle identità per i carichi di lavoro.

    • Utilizza il flag enable_third_party_identity quando crei l'istanza.

    Puoi creare un'istanza di Vertex AI Workbench utilizzando le credenziali di terze parti utilizzando la consoleGoogle Cloud o gcloud CLI:

    Console

    1. Accedi alla console Google Cloud utilizzando un provider di pool di forza lavoro.

      Vai alla console

    2. Nella console Google Cloud , vai alla pagina Istanze.

      Vai a Istanze

    3. Fai clic su  Crea nuova.

    4. Nella finestra di dialogo Nuova istanza, fai clic su Opzioni avanzate.

    5. Nella finestra di dialogo Crea istanza, nella sezione IAM e sicurezza, segui questi passaggi:

      1. Assicurati che sia selezionato Service Account.

      2. Deseleziona Usa l'account di servizio Compute Engine predefinito, quindi, nel campo Email service account, inserisci l'indirizzo email del service account associato alla tua entità della forza lavoro.

    6. Fai clic su Crea.

      Vertex AI Workbench crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab.

    gcloud

    Segui la guida IAM per autenticare gcloud CLI con un pool di identità della forza lavoro.

    --enable-third-party-identity

    Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

    • INSTANCE_NAME: il nome dell'istanza Vertex AI Workbench; deve iniziare con una lettera seguita da un massimo di 62 lettere minuscole, numeri o trattini (-) e non può terminare con un trattino
    • PROJECT_ID: il tuo ID progetto
    • LOCATION: la zona in cui vuoi che si trovi l'istanza
    • VM_IMAGE_PROJECT: l'ID del progetto Google Cloud a cui appartiene l'immagine VM, nel formato: projects/IMAGE_PROJECT_ID
    • VM_IMAGE_NAME: il nome completo dell'immagine. Per trovare il nome dell'immagine di una versione specifica, vedi Trovare la versione specifica.
    • MACHINE_TYPE: il tipo di macchina della VM dell'istanza
    • METADATA: metadati personalizzati da applicare a questa istanza; ad esempio, per specificare uno script post-startup, puoi utilizzare il tag di metadati post-startup-script nel formato: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
    • SERVICE_ACCOUNT_EMAIL: l'indirizzo email del account di servizio associato al tuo principal del personale a contatto con il pubblico

    Esegui questo comando:

    Linux, macOS o Cloud Shell

    gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL

    Windows (PowerShell)

    gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL

    Windows (cmd.exe)

    gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL

    Per ulteriori informazioni sul comando per creare un'istanza dalla riga di comando, consulta la documentazione della CLI gcloud.

    Vertex AI Workbench crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab nella console Google Cloud .

    Accedere a JupyterLab con credenziali di terze parti

    La nuova istanza di Vertex AI Workbench crea due URL proxy separati con i seguenti domini:

    • byoid.googleusercontent.com: questo dominio può essere utilizzato solo dagli utenti che eseguono l'autenticazione con un pool di identità forza lavoro. Il suo valore è memorizzato nel campo metadati proxy-byoid-url dell'istanza. Questo valore dei metadati attiva un link Apri JupyterLab nella Google Cloud console Workforce Identity Federation (console.cloud.google/).

    • googleusercontent.com: questo dominio può essere utilizzato solo dagli utenti che eseguono l'autenticazione con l'autenticazione proprietaria predefinita di Google. Il suo valore è memorizzato nel campo dei metadati proxy-url dell'istanza. Questo valore dei metadati attiva un link Apri JupyterLab nella consoleGoogle Cloud (console.cloud.google.com).

    Passaggi successivi