Membuat instance dengan akses kredensial pengguna

Halaman ini menjelaskan cara membuat instance Gemini Enterprise Agent Platform Workbench yang mengakses Google Cloud layanan dan API melalui kredensial pengguna Anda.

Kredensial pengguna Anda adalah kredensial yang terkait dengan Akun Google Anda. Kredensial pengguna Anda menentukan layanan dan API yang dapat diakses oleh Akun Google Anda. Google Cloud

Secara default, saat Anda menjalankan kode di instance Agent Platform Workbench, instance Anda dapat mengakses Google Cloud layanan dan API menggunakan kredensial yang terkait dengan akun layanan instance Anda. Artinya, instance Anda memiliki akses yang sama ke Google Cloud dengan akun layanan.

Halaman ini menjelaskan cara membuat dan mengonfigurasi instance sehingga instance tersebut memiliki akses yang sama ke Google Cloud dengan kredensial pengguna Anda.

Ringkasan

Agent Platform Workbench menggunakan klien OAuth yang dikelola Google secara global untuk mengelola akses kredensial pengguna, yang diberi cakupan untuk resource Google Cloud di project pengguna. Pengguna harus memberikan izin kepada Klien OAuth untuk mengelola kredensial mereka untuk setiap instance Agent Platform Workbench. Tindakan ini dilakukan satu kali per instance melalui dialog yang terbuka saat Anda mengklik tombol Open JupyterLab di konsol Google Cloud .

Akun layanan yang digunakan untuk membuat instance Agent Platform Workbench adalah agen layanan berikut:

service-PROJECT_NUMBER@gcp-sa-notebooks-vm.iam.gserviceaccount.com.

Agen layanan ini memberikan izin terbatas untuk layanan penting seperti mengekspor log. Pengguna tidak dapat menentukan akun layanan lain jika fitur kredensial pengguna akhir diaktifkan.

Instance yang mengaktifkan kredensial pengguna akhir memiliki label Compute Engine notebooks-managed-euc: true dan kunci metadata euc-enabled: true yang dilampirkan ke resource VM untuk menunjukkan pengaktifan fitur.

Membuat instance dengan skrip pasca-startup

Anda dapat menggunakan skrip pasca-startup untuk melakukan tindakan setelah instance Anda dimulai. Jika Anda mengaktifkan kredensial pengguna akhir di instance Agent Platform Workbench, kredensial tidak tersedia saat startup. Fitur ini hanya tersedia setelah pemilik instance pertama kali mengakses antarmuka JupyterLab. Karena penundaan ini, skrip Anda harus melakukan polling untuk mengetahui ketersediaan kredensial sebelum menjalankan perintah yang memerlukan autentikasi. Agar skrip Anda dapat berjalan, Anda harus memberikan izin akun layanan instance untuk membaca file skrip dari lokasi Cloud Storage-nya. Untuk alasan keamanan, Anda tidak dapat mengubah lokasi skrip setelah instance dibuat.

Dukungan skrip pasca-startup untuk instance dengan kredensial pengguna akhir tersedia di GA pribadi. Untuk mengetahui informasi tentang akses ke rilis ini, lihat halaman permintaan akses.

Batasan

Pertimbangkan batasan berikut saat Anda merencanakan project:

  • Agent Platform Workbench menggunakan klien OAuth yang dikelola Google secara global untuk mengelola akses kredensial pengguna. Organisasi tidak dapat menerapkan kontrol terperinci, mengakses klien OAuth, atau menggunakan logging untuk memeriksa penggunaan klien OAuth.

  • Untuk melindungi keamanan instance Agent Platform Workbench dengan kredensial pengguna terkelola, pengguna tidak dapat:

    • Gunakan SSH untuk mengakses instance.
    • Jalankan skrip startup Compute Engine.
    • Akses halaman VM yang berisi detail.
    • Menggunakan gambar yang tidak dibuat oleh Google.

  • Penggunaan kredensial pihak ketiga tidak didukung karena klien OAuth hanya mendukung kredensial OAuth yang dikelola Google.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna membuat instance Agent Platform Workbench, minta administrator untuk memberi Anda peran IAM Notebooks Runner (roles/notebooks.runner) di project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Membuat instance pengguna tunggal

Untuk membuat instance Agent Platform Workbench menggunakan konsol Google Cloud , lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman Instances.

    Buka Instances

  2. Klik  Buat baru.

  3. Dalam dialog Instance baru, klik Opsi lanjutan.

  4. Pada dialog Buat instance, di bagian Detail, berikan informasi berikut untuk instance baru Anda:

    • Nama: Berikan nama untuk instance baru Anda. Nama harus dimulai dengan huruf, diikuti dengan maksimal 62 huruf kecil, angka, atau tanda hubung (-), dan tidak boleh diakhiri dengan tanda hubung.
    • Region dan Zona: Pilih region dan zona untuk instance baru. Untuk mendapatkan performa jaringan terbaik, pilih region yang paling dekat secara geografis dengan Anda. Lihat lokasi Agent Platform Workbench yang tersedia.

  5. Di bagian IAM and Security, pilih Single user.

  6. Di kolom Email pengguna, masukkan akun pengguna yang ingin Anda beri akses. Jika pengguna yang ditentukan bukan pembuat instance, Anda harus memberikan peran Service Account User (roles/iam.serviceAccountUser) kepada pengguna yang ditentukan di akun layanan instance.

  7. Pilih Aktifkan kredensial pengguna akhir terkelola.

  8. Selesaikan sisa dialog pembuatan instance, lalu klik Buat.

    Agent Platform Workbench membuat sebuah instance dan otomatis memulainya. Saat instance siap digunakan, Agent Platform Workbench akan mengaktifkan link Open JupyterLab di konsol Google Cloud .

  9. Pengguna harus memberikan izin kepada klien OAuth untuk mengelola kredensial mereka untuk setiap instance Agent Platform Workbench. Hal ini dilakukan satu kali per instance. Untuk memberikan izin, klik Open JupyterLab dan selesaikan dialog yang muncul.

    Jika Anda mencoba mengakses instance tanpa memberikan izin, JupyterLab akan menampilkan pesan untuk mengautentikasi dengan membuka JupyterLab dari konsolGoogle Cloud .

  10. Untuk memverifikasi bahwa kredensial pengguna akhir Anda tersedia di JupyterLab, buka Terminal di JupyterLab, lalu masukkan perintah berikut:

    gcloud auth list

Mengautentikasi instance dengan kredensial pengguna Anda

Agent Platform Workbench dapat menggunakan Kredensial Default Aplikasi (ADC) untuk mengautentikasi kredensial pengguna Anda ke Google Cloud layanan dan API. Bagian ini menjelaskan cara memberikan kredensial pengguna Anda ke ADC jika ada batasan yang mencegah Anda mengaktifkan kredensial terkelola.

Langkah-langkah autentikasi bergantung pada apakah Anda menggunakan Akun Google atau kredensial pihak ketiga.

Akun Google

Setelah Anda dapat mengakses JupyterLab di instance, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman Instances.

    Buka Instances

  2. Di samping nama instance, klik Open JupyterLab.

  3. Di JupyterLab, pilih File > New > Terminal.

  4. Di jendela terminal, jalankan perintah berikut:

    gcloud auth login

  5. Masukkan Y.

  6. Ikuti petunjuk untuk menyalin kode verifikasi dan memasukkannya ke terminal.

Kredensial pihak ketiga

Jika Anda membuat instance dengan kredensial pihak ketiga, maka setelah proxy JupyterLab tersedia, lakukan hal berikut:

  1. Buka JupyterLab menggunakan proxy JupyterLab gabungan.

  2. Di JupyterLab, pilih File > New > Terminal.

  3. Buat file kredensial Workforce Identity Federation dengan login tanpa browser.

  4. Di jendela terminal, jalankan perintah berikut:

    gcloud auth login --cred-file="CREDENTIAL_FILE"

    Ganti CREDENTIAL_FILE dengan jalur dan nama file kredensial yang Anda buat.

  5. Ikuti petunjuk untuk melakukan autentikasi melalui portal autentikasi pihak ketiga.

  6. Konfirmasi bahwa kredensial Anda dapat diakses melalui instance Anda dengan menggunakan perintah berikut:

    gcloud auth list