使用第三方憑證建立執行個體
本頁面說明如何使用第三方憑證建立 Vertex AI Workbench 執行個體。
總覽
您可以使用 Workforce Identity Federation 提供的第三方憑證,建立及管理 Vertex AI Workbench 執行個體。員工身分聯盟會使用您的外部識別資訊提供者 (IdP),透過 Proxy 授予一組使用者存取 Vertex AI Workbench 執行個體的權限。
您可以將人力資源池主要使用者指派給 Vertex AI Workbench 執行個體的服務帳戶,藉此授予 Vertex AI Workbench 執行個體存取權。
事前準備
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
- 使用工作團隊身分集區設定 IdP。
使用 Google CloudWorkforce Identity Federation 控制台建立執行個體。
建立執行個體時,請使用
enable_third_party_identity旗標。使用工作團隊集區提供者登入 Google Cloud 控制台。
前往 Google Cloud 控制台的「Instances」(執行個體) 頁面。
按一下「建立新項目」。
在「New instance」對話方塊中,按一下「Advanced options」。
在「Create instance」對話方塊的「IAM and security」專區中,執行下列操作:
確認已選取「Service account」。
取消勾選「Use default Compute Engine service account」(使用預設 Compute Engine 服務帳戶),然後在「Service account email」(服務帳戶電子郵件) 欄位中,輸入與人力資源主體相關聯的服務帳戶電子郵件地址。
按一下 [建立]。
Vertex AI Workbench 會建立執行個體並自動啟動。執行個體可供使用時,Vertex AI Workbench 會啟用「Open JupyterLab」(開啟 JupyterLab) 連結。
-
INSTANCE_NAME:Vertex AI Workbench 執行個體的名稱;開頭須為英文字母,後面最多可接 62 個小寫英文字母、數字或連字號 (-),但結尾不得為連字號 PROJECT_ID:您的專案 IDLOCATION:您要將執行個體放置的位置-
VM_IMAGE_PROJECT:VM 映像檔所屬 Google Cloud 專案的 ID,格式如下:projects/IMAGE_PROJECT_ID -
VM_IMAGE_NAME:完整圖片名稱。如要查看特定版本的圖片名稱,請參閱「查看特定版本」 -
MACHINE_TYPE:執行個體 VM 的機器類型 -
METADATA:要套用至此執行個體的自訂中繼資料;舉例來說,如要指定啟動後指令碼,您可以使用post-startup-script中繼資料標記,格式如下:"--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh" -
SERVICE_ACCOUNT_EMAIL:與工作力主體相關聯的服務帳戶電子郵件地址 byoid.googleusercontent.com:只有使用員工身分集區驗證的使用者才能使用這個網域。其值會儲存在執行個體的中繼資料欄位proxy-byoid-url中。這個中繼資料值會在 Google CloudWorkforce Identity 同盟主控台 (console.cloud.google/) 中啟用「Open JupyterLab」連結。googleusercontent.com:只有使用預設 Google 第一方驗證機制的使用者才能使用這個網域。其值會儲存在執行個體的中繼資料欄位proxy-url中。這個中繼資料值會在Google Cloud 主控台 (console.cloud.google.com) 中啟用「Open JupyterLab」連結。- 如要進一步瞭解用於佈建 Notebook 的第三方使用者,請參閱「員工身分聯盟」。
建立執行個體所需的角色
為確保工作團隊集區的管理者具有建立 Vertex AI Workbench 執行個體的必要權限,請要求管理員為工作團隊集區的管理者授予專案的 筆記本管理員 (roles/notebooks.admin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
管理員也可能會透過自訂角色或其他預先定義的角色,為人力資源池主體授予必要權限。
使用第三方憑證所需的角色
工作力資源池的使用者主體需要具備 Vertex AI Workbench 執行個體服務帳戶的存取權,並具備特定權限。
為確保人力資源池主體具備必要權限,可使用第三方憑證使用 Vertex AI Workbench 執行個體,請要求管理員在您建立執行個體時指定的服務帳戶上,授予人力資源池主體下列 IAM 角色:
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
管理員也可能會透過自訂角色或其他預先定義的角色,為人力資源池主體授予必要權限。
使用第三方憑證建立執行個體
如要確保 Vertex AI Workbench 執行個體包含 byoid.googleusercontent.com 網域,您必須執行下列其中一項操作:
您可以使用Google Cloud 控制台或 gcloud CLI 建立 Vertex AI Workbench,並使用第三方憑證:
主控台
gcloud
如要透過工作團隊身分集區驗證 gcloud CLI,請按照IAM 指南操作。
--enable-third-party-identity
使用下列任何指令資料之前,請先替換以下項目:
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud workbench instances create INSTANCE_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --vm-image-project=VM_IMAGE_PROJECT \ --vm-image-name=VM_IMAGE_NAME \ --machine-type=MACHINE_TYPE \ --metadata=METADATA \ --service-account-email=SERVICE_ACCOUNT_EMAIL
Windows (PowerShell)
gcloud workbench instances create INSTANCE_NAME ` --project=PROJECT_ID ` --location=LOCATION ` --vm-image-project=VM_IMAGE_PROJECT ` --vm-image-name=VM_IMAGE_NAME ` --machine-type=MACHINE_TYPE ` --metadata=METADATA ` --service-account-email=SERVICE_ACCOUNT_EMAIL
Windows (cmd.exe)
gcloud workbench instances create INSTANCE_NAME ^ --project=PROJECT_ID ^ --location=LOCATION ^ --vm-image-project=VM_IMAGE_PROJECT ^ --vm-image-name=VM_IMAGE_NAME ^ --machine-type=MACHINE_TYPE ^ --metadata=METADATA ^ --service-account-email=SERVICE_ACCOUNT_EMAIL
如要進一步瞭解透過指令列建立執行個體的指令,請參閱 gcloud CLI 說明文件。
Vertex AI Workbench 會建立執行個體並自動啟動。執行個體可供使用時,Vertex AI Workbench 會在 Google Cloud 控制台中啟用「Open JupyterLab」連結。
使用第三方憑證存取 JupyterLab
新的 Vertex AI Workbench 執行個體會建立兩個使用下列網域的獨立 Proxy URL: