יצירת מופע של Agent Platform Workbench עם גישה באמצעות פרטי כניסה של משתמש

בדף הזה מוסבר איך ליצור מופע של Gemini Enterprise Agent Platform Workbench שמקבל גישה לשירותים ולממשקי API דרך פרטי הכניסה של המשתמש. Google Cloud

פרטי הכניסה של המשתמש הם פרטי הכניסה שמשויכים לחשבון Google שלכם. פרטי הכניסה של המשתמש קובעים לאילו שירותים וממשקי API של Google Cloud יש לחשבון Google שלכם גישה.

כברירת מחדל, כשמריצים קוד במופע של Agent Platform Workbench, המופע יכול לגשת לשירותים ולממשקי API של Google Cloud באמצעות פרטי הכניסה שמשויכים לחשבון השירות של המופע. המשמעות היא שלמופע יש את אותה גישה ל- Google Cloud כמו לחשבון השירות.

בדף הזה מוסבר איך ליצור ולהגדיר אינסטנס כך שתהיה לו גישה זהה ל- Google Cloud כמו לפרטי הכניסה של המשתמש.

סקירה כללית

ב-Agent Platform Workbench נעשה שימוש בלקוח OAuth גלובלי שמנוהל על ידי Google כדי לנהל את הגישה לפרטי הכניסה של המשתמש, בהיקף של משאבי Google Cloud בפרויקט של המשתמש. המשתמשים צריכים לתת הסכמה ללקוח OAuth כדי לנהל את פרטי הכניסה שלהם לכל מופע של Agent Platform Workbench. הפעולה הזו מתבצעת פעם אחת לכל מכונה דרך תיבת דו-שיח שנפתחת כשלוחצים על הלחצן Open JupyterLab במסוף Google Cloud .

חשבון השירות שמשמש ליצירת מופע של Agent Platform Workbench הוא סוכן השירות הבא:

service-PROJECT_NUMBER@gcp-sa-notebooks-vm.iam.gserviceaccount.com.

סוכן השירות הזה מספק הרשאות מוגבלות לשירותים חיוניים כמו ייצוא יומנים. אם התכונה 'פרטי כניסה של משתמש קצה' מופעלת, המשתמשים לא יכולים לציין חשבון שירות אחר.

למכונות וירטואליות שמופעלות בהן הרשאות של משתמשי קצה יש את התווית notebooks-managed-euc: true של Compute Engine ואת מפתח המטא-נתונים euc-enabled: true שמצורפים למשאב של המכונה הווירטואלית כדי לציין שהתכונה מופעלת.

יצירת מכונות וירטואליות עם סקריפטים להפעלה

אפשר להשתמש בסקריפטים להפעלה אחרי ההפעלה כדי לבצע פעולות אחרי שהמופע מופעל. אם מפעילים פרטי כניסה של משתמשי קצה במופע של Agent Platform Workbench, פרטי הכניסה לא זמינים בהפעלה. הם זמינים רק אחרי שבעלי המכונה ניגשים לממשק JupyterLab בפעם הראשונה. בגלל העיכוב הזה, הסקריפט צריך לבצע בדיקה חוזרת כדי לראות אם יש אישורים זמינים לפני שמריצים פקודות שדורשות אימות. כדי שהסקריפט יפעל, צריך לתת לחשבון השירות של המופע הרשאה לקרוא את קובץ הסקריפט מהמיקום שלו ב-Cloud Storage. מטעמי אבטחה, אי אפשר לשנות את מיקום הסקריפט אחרי שיוצרים את המופע.

התמיכה בסקריפטים להפעלה אחרי אתחול של מופעים עם פרטי כניסה של משתמשי קצה זמינה בגרסת GA פרטית. אתם יכולים לקרוא מידע נוסף על הגישה לגרסה הזו בדף בקשת הגישה.

מגבלות

כשמתכננים את הפרויקט, חשוב לקחת בחשבון את המגבלות הבאות:

• ב-Agent Platform Workbench נעשה שימוש בלקוח OAuth גלובלי שמנוהל על ידי Google כדי לנהל את הגישה לפרטי הכניסה של המשתמשים. ארגונים לא יכולים להפעיל אמצעי בקרה מדויקים, לגשת ללקוח OAuth או להשתמש ברישום ביומן כדי לבדוק את השימוש בלקוח OAuth.

• כדי להגן על האבטחה של מופעים של Agent Platform Workbench עם פרטי כניסה מנוהלים של משתמשים, המשתמשים לא יכולים:

  • משתמשים ב-SSH כדי לגשת למכונה.
  • מריצים סקריפט לטעינה בזמן ההפעלה ב-Compute Engine.
  • ניגשים לדף המפורט של המכונה הווירטואלית.
  • השתמשו בתמונה שלא נוצרה על ידי Google.

• אי אפשר להשתמש בפרטי כניסה של צד שלישי כי לקוח OAuth תומך רק בפרטי כניסה של OAuth שמנוהלים על ידי Google.

לפני שמתחילים

נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

התפקידים הנדרשים

כדי לקבל את ההרשאות שנדרשות ליצירת מופע של Agent Platform Workbench, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Notebooks Runner (roles/notebooks.runner) בפרויקט. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

יצירת מופע של משתמש יחיד

כדי ליצור מופע של Agent Platform Workbench באמצעות מסוף Google Cloud :

1. נכנסים לדף Instances במסוף Google Cloud .

   כניסה לדף Instances

2. לוחצים על add_box יצירת פריט חדש.

3. בתיבת הדו-שיח New instance, לוחצים על Advanced options.

4. בתיבת הדו-שיח Create instance, בקטע Details, מציינים את הפרטים הבאים של המכונה החדשה:

   • שם: מציינים שם למופע החדש. השם צריך להתחיל באות, להמשיך בעד 62 אותיות קטנות, מספרים או מקפים (-), ולא להסתיים במקף.
   • ‫Region ו-Zone: בוחרים אזור ותחום למכונה החדשה. כדי לקבל את הביצועים הכי טובים ברשת, כדאי לבחור את האזור שהכי קרוב למיקום הגיאוגרפי שלכם. אפשר לראות את המיקומים הזמינים של Agent Platform Workbench.

5. בקטע IAM and Security, בוחרים באפשרות Single user.

6. בשדה User email (כתובת האימייל של המשתמש), מזינים את חשבון המשתמש שרוצים להעניק לו גישה. אם המשתמש שצוין לא יצר את המכונה, צריך להקצות לו את התפקיד Service Account User (roles/iam.serviceAccountUser) בחשבון השירות של המכונה.

7. בוחרים באפשרות הפעלת פרטי כניסה מנוהלים של משתמשי קצה.

8. משלימים את שאר השדות בתיבת הדו-שיח ליצירת מכונה, ואז לוחצים על יצירה.

   הכלי Agent Platform Workbench יוצר מופע ומתחיל אותו באופן אוטומטי. כשהמופע מוכן לשימוש, קישור Open JupyterLab מופעל ב Google Cloud מסוף Agent Platform Workbench.

9. המשתמשים צריכים לתת הסכמה ללקוח OAuth לניהול פרטי הכניסה שלהם לכל מופע של Agent Platform Workbench. הפעולה הזו מתבצעת פעם אחת לכל מופע. כדי להביע הסכמה, לוחצים על Open JupyterLab וממלאים את תיבת הדו-שיח שמופיעה.

   אם תנסו לגשת למופע בלי לתת הסכמה, תוצג ב-JupyterLab הודעה לאימות. כדי לאמת את עצמכם, תצטרכו לפתוח את JupyterLab מGoogle Cloud המסוף.

10. כדי לוודא שהפרטים של משתמש הקצה זמינים ב-JupyterLab, פותחים טרמינל ב-JupyterLab ומזינים את הפקודה הבאה:

    gcloud auth list

אימות המופע באמצעות פרטי הכניסה של המשתמש

ב-Agent Platform Workbench אפשר להשתמש ב-Application Default Credentials ‏ (ADC) כדי לאמת את פרטי הכניסה של המשתמש בשירותים ובממשקי API של Google Cloud . בקטע הזה מוסבר איך לספק את פרטי הכניסה של המשתמש ל-ADC אם אחת מהמגבלות מונעת מכם להפעיל פרטי כניסה מנוהלים.

שלבי האימות משתנים בהתאם לשאלה אם אתם משתמשים בחשבון Google או בפרטי כניסה של צד שלישי.