Accéder aux Google Cloud services et aux API

Cette page explique comment accéder aux Google Cloud services et aux API depuis votre notebook Colab Enterprise.

Présentation

Lorsque vous exécutez du code dans un notebook Colab Enterprise, vous pouvez accéder aux Google Cloud services et aux API à l'aide des identifiants associés à votre compte Google, également appelés identifiants utilisateur. Cela signifie que l'environnement d'exécution que vous utilisez dispose du même niveau d'accès aux Google Cloud que l'utilisateur. Il est ainsi plus facile d'écrire et d'exécuter du code qui interagit avec Google Cloud les services et les API.

Colab Enterprise peut utiliser les identifiants par défaut de l'application (ADC, Application Default Credentials) pour authentifier vos identifiants utilisateur auprès des Google Cloud services et des API. Cette page décrit les différentes manières de fournir vos identifiants utilisateur à ADC :

• Utiliser un environnement d'exécution dans lequel les identifiants de l'utilisateur final sont activés.

• Fournir vos identifiants utilisateur à ADC en exécutant du code dans votre notebook.

Avant de commencer

Connectez-vous à votre Google Cloud compte. Si vous n'avez jamais utilisé Google Cloud, créez un compte pour évaluer les performances de nos produits dans des scénarios réels. Les nouveaux clients bénéficient également de 300 $ de crédits sans frais pour exécuter, tester et déployer des charges de travail.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Vertex AI, Dataform, and Compute Engine APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Vertex AI, Dataform, and Compute Engine APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Rôles requis

Pour obtenir les autorisations nécessaires pour accéder aux Google Cloud services et aux API dans un notebook Colab Enterprise, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Colab Enterprise (roles/aiplatform.colabEnterpriseAdmin) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Utiliser un environnement d'exécution dans lequel les identifiants de l'utilisateur final sont activés

Vous pouvez utiliser l'environnement d'exécution par défaut, dans lequel les identifiants de l'utilisateur final sont activés, ou tout environnement d'exécution créé à partir d'un modèle d'exécution dans lequel les identifiants de l'utilisateur final sont activés.

Si vous ne disposez pas d'un modèle d'exécution suffisant dans lequel les identifiants de l'utilisateur final sont activés, vous devez en créer un. Vous devez activer ou désactiver les identifiants de l'utilisateur final lorsque vous créez un modèle d'exécution. Ce paramètre ne peut pas être modifié ultérieurement.

Se connecter à un environnement d'exécution dans lequel les identifiants de l'utilisateur final sont activés

Pour vous connecter à un environnement d'exécution dans lequel les identifiants de l'utilisateur final sont activés :

1. Dans la Google Cloud console, accédez à la page Mes notebooks de Colab Enterprise.

   Accéder à "Mes notebooks"

2. Dans le menu Région, sélectionnez la région qui contient votre notebook.

3. Cliquez sur le notebook que vous souhaitez ouvrir. Si vous n'avez pas encore créé de notebook, créez-en un.

4. Dans votre notebook, cliquez sur la flèche de développement Options de connexion supplémentaires, puis sélectionnez Se connecter à un environnement d'exécution.
   

   La boîte de dialogue Se connecter à l'environnement d'exécution Vertex AI s'ouvre.

5. Pour le champ Sélectionner un environnement d'exécution, sélectionnez Se connecter à un environnement d'exécution existant.

6. Pour le champ Sélectionner une option d'environnement d'exécution existante, sélectionnez l'environnement d'exécution auquel vous souhaitez vous connecter. Si la liste ne comporte aucun environnement d'exécution, créez-en un ou connectez-vous à l’environnement d’exécution par défaut.

7. Dans le tableau Détails de l'environnement d'exécution, vérifiez que Identifiants personnels sont Enabled.

8. Cliquez sur Se connecter.

9. Si vous vous connectez pour la première fois à un environnement d'exécution dans lequel les identifiants de l'utilisateur final sont activés, une boîte de dialogue Connexion s'affiche.

   Pour autoriser Colab Enterprise à accéder à vos identifiants utilisateur, procédez comme suit :

   1. Dans la boîte de dialogue Connexion, cliquez sur votre compte utilisateur.

   2. Sélectionnez Afficher, modifier, configurer et supprimer vos Google Cloud données... pour autoriser Colab Enterprise à accéder à vos identifiants utilisateur.

      

   3. Cliquez sur Continuer.

Lorsque vous accédez aux Google Cloud services et aux API en utilisant les identifiants de l'utilisateur final, sachez que si votre compte Google ne dispose pas des autorisations IAM (Identity and Access Management) requises dans votre projet, votre code risque de ne pas pouvoir accéder à certaines ressources. Dans ce cas, demandez à votre administrateur de vous accorder les autorisations requises.

Fournir vos identifiants utilisateur à ADC en exécutant du code dans votre notebook

Si les identifiants de l'utilisateur final ne sont pas activés dans votre environnement d'exécution, vous pouvez toujours utiliser vos identifiants utilisateur pour accéder aux Google Cloud services et aux API. Pour ce faire, fournissez vos identifiants utilisateur à ADC à l'aide de Google Cloud CLI.

1. Utilisez la commande suivante pour créer un fichier d'identifiants :

   !gcloud auth application-default login

   Une boîte de dialogue Connexion s'affiche.

2. Remplissez la boîte de dialogue pour autoriser Colab Enterprise à accéder à vos identifiants.

   Une fois que vous êtes connecté, vos identifiants sont stockés dans le fichier d'identifiants local utilisé par ADC. Ce fichier est stocké sur la VM de votre environnement d'exécution.

Lorsque vous fournissez des identifiants utilisateur pour créer un fichier ADC local, vous devez tenir compte des points suivants :

• Les identifiants utilisateur peuvent ne pas fonctionner pour certaines méthodes et API (API Cloud Translation ou API Cloud Vision, par exemple) sans paramètres ni configuration supplémentaires. Si vous voyez un message d'erreur indiquant que l'API n'est pas activée dans le projet ou qu'aucun projet de quota n'est disponible, consultez la section Résoudre les problèmes de configuration de vos ADC.

• L'ADC local contient vos jetons d'accès et d'actualisation. Tout utilisateur ayant accès à votre système de fichiers peut utiliser ces identifiants. Si vous n'avez plus besoin de ces identifiants locaux, vous pouvez les révoquer à l'aide de la gcloud auth application-default revoke commande.

• Si votre compte Google ne dispose pas des rôles IAM (Identity and Access Management) requis dans votre projet, votre code risque de ne pas pouvoir accéder à certaines ressources. Dans ce cas, quelqu'un doit vous accorder les rôles requis.

• L'accès ADC est limité à Google Cloud. Si vous avez accès à d'autres services via votre compte Google, ADC n'accordera pas automatiquement l'accès à votre notebook Colab Enterprise, mais vous pouvez accorder un accès supplémentaire à certains services. Par exemple, pour accorder l'accès à Google Drive, exécutez le code suivant dans une cellule de code de votre notebook :

  !gcloud auth application-default login \
      --scopes="https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/cloud-platform"
  

Résoudre les problèmes

Cette section explique comment résoudre les problèmes liés à l'exécution de code qui interagit avec Google Cloud les services et les API.

Identifiants utilisateur introuvables lors de l'exécution du code

Ce problème se produit lorsque vous essayez d'exécuter du code dans un notebook qui interagit avec Google Cloud des services et des API, mais que vous n'avez pas autorisé Colab Enterprise à accéder à vos identifiants utilisateur.

Le message d'erreur peut ressembler à l'un des exemples suivants :

Request had invalid authentication credentials.
Expected OAuth 2 access token, login cookie or other valid authentication credential

DefaultCredentialsError: Your default credentials were not found.

Consultez les raisons courantes de ce problème et leurs solutions :

• Vous n'avez pas rempli la boîte de dialogue Connexion qui s'affiche lorsque vous vous connectez pour la première fois à un environnement d'exécution dans lequel les identifiants de l'utilisateur final sont activés. En remplissant cette boîte de dialogue, vous autorisez Colab Enterprise à accéder à vos identifiants utilisateur.

  Pour résoudre ce problème, essayez de vous reconnecter à l'environnement d'exécution et d'accorder l'accès.

  Pour vérifier que l'accès a été accordé :

  1. Cliquez sur Compte > Gérer votre compte Google > Données et confidentialité > Applications et services tiers.

  2. Vérifiez que Colab Enterprise est répertorié.

     

• Dans la boîte de dialogue Connexion (écran de consentement) qui s'affiche lorsque vous vous connectez pour la première fois à un environnement d'exécution dans lequel les identifiants de l'utilisateur final sont activés, vous n'avez pas sélectionné votre compte utilisateur pour autoriser Colab Enterprise à accéder à vos identifiants utilisateur.

  Pour résoudre ce problème :

  1. Dans la Google Cloud console, cliquez sur l'image de profil de votre compte, puis sur Compte Google.

  2. Cliquez sur Données et confidentialité.

  3. Dans Données des applications et services que vous utilisez, cliquez sur Applications et services tiers.

  4. Cliquez sur Colab Enterprise.

  5. Dans Colab Enterprise a accès à certaines parties de votre compte Google, cliquez sur Afficher les détails.

  6. Cliquez sur Supprimer l'accès.

  7. Cliquez sur Confirmer.

     Vos paramètres d'accès actuels sont supprimés.

  8. La prochaine fois que vous vous connecterez à un environnement d'exécution dans lequel les identifiants de l'utilisateur final sont activés, veillez à sélectionner le bon compte utilisateur lorsque vous remplirez la boîte de dialogue Connexion.

• Un bloqueur de pop-up empêche peut-être l'affichage de la boîte de dialogue Connexion (écran de consentement) de Colab Enterprise.

  Pour résoudre ce problème, activez temporairement les pop-ups dans votre navigateur et essayez de vous reconnecter à l'environnement d'exécution.

• Des services supplémentaires de Google Workspace ont désactivé Colab.

  Pour résoudre ce problème, activez le service Colab dans Google Workspace.

  Bien que cela concerne Colab, cela affecte Colab Enterprise.

  Colab doit être ACTIVÉ pour tous.

• Les restrictions du service Enterprise peuvent bloquer l'accès à Colab Enterprise.

  Pour isoler ce problème, vérifiez que les restrictions de service de votre organisation ne bloquent pas l'accès aux services Google.

  État du service doit être ACTIVÉ pour tous.

• Vous n'utilisez pas d'environnement d'exécution dans lequel les identifiants de l'utilisateur final sont activés et vous n'avez pas fourni vos identifiants utilisateur aux identifiants par défaut de l'application (ADC) à l'aide de Google Cloud CLI.

  Pour résoudre ce problème, consultez la section Fournir vos identifiants utilisateur à ADC en exécutant du code dans votre notebook.

Étape suivante

• Découvrez comment fonctionnent les identifiants par défaut de l'application.

• Créez un modèle d'exécution dans lequel les identifiants de l'utilisateur final sont activés.

• Vous pouvez interagir avec Vertex AI à l'aide du panneau latéral de Colab Enterprise. Pour en savoir plus, consultez les sections suivantes :

  • Régler un modèle
  • Créer un test

• Pour trouver un notebook qui peut vous aider à démarrer rapidement votre projet, consultez la galerie de notebooks.