서드 파티 사용자 인증 정보로 인스턴스 만들기
이 페이지에서는 서드 파티 사용자 인증 정보를 사용하여 Vertex AI Workbench 인스턴스를 만드는 방법을 설명합니다.
개요
직원 ID 제휴에서 제공하는 서드 파티 사용자 인증 정보를 사용하여 Vertex AI Workbench 인스턴스를 만들고 관리할 수 있습니다. 직원 ID 제휴는 외부 ID 공급업체(IdP)를 사용하여 사용자 그룹에 프록시를 통해 Vertex AI Workbench 인스턴스에 액세스할 수 있는 권한을 부여합니다.
Vertex AI Workbench 인스턴스에 대한 액세스 권한은 Vertex AI Workbench 인스턴스의 서비스 계정에 직원 풀 주 구성원을 할당하면 부여됩니다.
시작하기 전에
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
- 직원 ID 풀을 사용하여 IdP를 구성합니다.
인스턴스를 만드는 데 필요한 역할
직원 풀 주 구성원에게 Vertex AI Workbench 인스턴스를 만드는 데 필요한 권한이 있는지 확인하려면 관리자에게 직원 풀 주 구성원에게 프로젝트에 대한 Notebooks 관리자(roles/notebooks.admin
) IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
관리자는 커스텀 역할이나 다른 사전 정의된 역할을 통해 직원 풀 주 구성원에게 필요한 권한을 부여할 수도 있습니다.
서드 파티 사용자 인증 정보를 사용하는 데 필요한 역할
직원 풀 주 구성원은 특정 권한으로 Vertex AI Workbench 인스턴스의 서비스 계정에 액세스해야 합니다.
직원 풀 주 구성원에게 서드 파티 사용자 인증 정보로 Vertex AI Workbench 인스턴스를 사용하는 데 필요한 권한이 있는지 확인하려면 관리자에게 직원 풀 주 구성원에게 인스턴스를 만들 때 지정할 서비스 계정에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
-
서비스 계정 토큰 생성자(
roles/iam.serviceAccountTokenCreator
) -
서비스 계정 사용자(
roles/iam.serviceAccountUser
)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
관리자는 커스텀 역할이나 다른 사전 정의된 역할을 통해 직원 풀 주 구성원에게 필요한 권한을 부여할 수도 있습니다.
서드 파티 사용자 인증 정보를 사용하여 인스턴스 만들기
Google Cloud 콘솔이나 gcloud CLI를 사용하여 서드 파티 사용자 인증 정보를 사용하여 Vertex AI Workbench를 만들 수 있습니다.
콘솔
직원 풀 제공업체를 사용하여 Google Cloud 콘솔에 로그인합니다.
Google Cloud 콘솔에서 인스턴스 페이지로 이동합니다.
새로 만들기를 클릭합니다.
새 인스턴스 대화상자에서 고급 옵션을 클릭합니다.
인스턴스 만들기 대화상자의 IAM 및 보안 섹션에서 다음을 수행합니다.
서비스 계정이 선택되어 있는지 확인합니다.
기본 Compute Engine 서비스 계정 사용을 선택 취소한 후 서비스 계정 이메일 필드에 직원 주 구성원과 연결된 서비스 계정 이메일 주소를 입력합니다.
만들기를 클릭합니다.
Vertex AI Workbench에서 인스턴스를 만들고 자동으로 시작합니다. 인스턴스를 사용할 수 있으면 Vertex AI Workbench에서 JupyterLab 열기 링크를 활성화합니다.
gcloud
IAM 가이드를 따라 직원 ID 풀로 gcloud CLI를 인증합니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
-
INSTANCE_NAME
: Vertex AI Workbench 인스턴스의 이름입니다. 문자로 시작해야 하고 이어서 최대 62자의 소문자, 숫자 또는 하이픈(-)이 와야 하며 하이픈으로 끝나서는 안 됩니다. PROJECT_ID
: 프로젝트 ID입니다.LOCATION
: 인스턴스를 배치할 영역-
VM_IMAGE_PROJECT
: VM 이미지가 속한 Google Cloud 프로젝트의 ID(형식:projects/IMAGE_PROJECT_ID
) -
VM_IMAGE_NAME
: 전체 이미지 이름입니다. 특정 버전의 이미지 이름을 찾으려면 특정 버전 찾기를 참조하세요. -
MACHINE_TYPE
: 인스턴스 VM의 머신 유형 -
METADATA
: 이 인스턴스에 적용할 커스텀 메타데이터. 예를 들어 시작 후 스크립트를 지정하려면post-startup-script
메타데이터 태그를 다음 형식으로 사용할 수 있습니다."--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
-
SERVICE_ACCOUNT_EMAIL
: 직원 주 구성원과 연결된 서비스 계정 이메일 주소
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud workbench instances create INSTANCE_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --vm-image-project=VM_IMAGE_PROJECT \ --vm-image-name=VM_IMAGE_NAME \ --machine-type=MACHINE_TYPE \ --metadata=METADATA \ --service-account-email=SERVICE_ACCOUNT_EMAIL
Windows(PowerShell)
gcloud workbench instances create INSTANCE_NAME ` --project=PROJECT_ID ` --location=LOCATION ` --vm-image-project=VM_IMAGE_PROJECT ` --vm-image-name=VM_IMAGE_NAME ` --machine-type=MACHINE_TYPE ` --metadata=METADATA ` --service-account-email=SERVICE_ACCOUNT_EMAIL
Windows(cmd.exe)
gcloud workbench instances create INSTANCE_NAME ^ --project=PROJECT_ID ^ --location=LOCATION ^ --vm-image-project=VM_IMAGE_PROJECT ^ --vm-image-name=VM_IMAGE_NAME ^ --machine-type=MACHINE_TYPE ^ --metadata=METADATA ^ --service-account-email=SERVICE_ACCOUNT_EMAIL
명령줄에서 인스턴스를 만드는 명령어에 대한 자세한 내용은 gcloud CLI 문서를 참조하세요.
Vertex AI Workbench에서 인스턴스를 만들고 자동으로 시작합니다. 인스턴스를 사용할 수 있으면 Vertex AI Workbench에서 Google Cloud 콘솔에 JupyterLab 열기 링크를 활성화합니다.
서드 파티 사용자 인증 정보로 Jupyterlab에 액세스
새 Vertex AI Workbench 인스턴스는 다음 도메인을 사용하여 별도의 프록시 URL 2개를 만듭니다.
byoid.googleusercontent.com
: 직원 ID 풀로 인증하는 사용자만 이 도메인을 사용할 수 있습니다. 해당 값은 인스턴스의 메타데이터 필드proxy-byoid-url
에 저장됩니다. 이 메타데이터 값은 Google Cloud 직원 ID 제휴 콘솔(console.cloud.google/
)의 JupyterLab 열기 링크를 활성화합니다.googleusercontent.com
: 기본 Google의 자사 인증으로 인증하는 사용자만 이 도메인을 사용할 수 있습니다. 해당 값은 인스턴스의 메타데이터 필드proxy-url
에 저장됩니다. 이 메타데이터 값은 Google Cloud 콘솔(console.cloud.google.com
)에서 JupyterLab 열기 링크를 활성화합니다.
다음 단계
- 노트북 프로비저닝에 사용할 서드 파티 주 구성원에 대한 자세한 내용은 직원 ID 제휴를 참조하세요.