Crea una instancia con credenciales de terceros

En esta página, se describe cómo crear una instancia de Agent Platform Workbench de Gemini Enterprise con credenciales de terceros.

Descripción general

Puedes crear y administrar instancias de Agent Platform Workbench de Gemini Enterprise con credenciales de terceros proporcionadas por la federación de identidades de personal. La federación de identidades de personal usa tu proveedor de identidades externo (IdP) para conceder a un grupo de usuarios acceso a las instancias de Agent Platform Workbench a través de un proxy.

El acceso a una instancia de Agent Platform Workbench se otorga mediante la asignación de un principal de grupo de personal a la cuenta de servicio de la instancia de Agent Platform Workbench.

Antes de comenzar

Accede a tu Google Cloud cuenta de. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Configura tu IdP con una fuerza laboral de grupo de identidades.

Rol obligatorio para crear una instancia

Para asegurarte de que la entidad principal del grupo de personal tenga los permisos necesarios para crear una instancia de Agent Platform Workbench, pídele a tu administrador que le otorgue a la Administrador de Notebooks (roles/notebooks.admin) rol de IAM a la entidad principal del grupo de personal en el proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Es posible que tu administrador también pueda otorgar a la principal del grupo de personal los permisos necesarios a través de roles personalizados o de otros roles predefinidos.

Roles obligatorios para usar credenciales de terceros

La principal de tu grupo de personal necesita acceso a la cuenta de servicio de tu instancia de Agent Platform Workbench, con permisos específicos.

Para garantizar que la entidad del grupo de personal tenga los permisos necesarios para usar una instancia de Agent Platform Workbench con credenciales de terceros, pídele a tu administrador que le otorgue los siguientes roles de IAM a la entidad del grupo de personal en la cuenta de servicio que especificarás cuando crees la instancia:

Creador de tokens de cuenta de servicio (roles/iam.serviceAccountTokenCreator)
Usuario de la cuenta de servicio (roles/iam.serviceAccountUser)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Es posible que tu administrador también pueda otorgar los permisos necesarios a la principal de grupo de personal a través de roles personalizados o de otros roles predefinidos.

Crea la instancia con credenciales de terceros

Para asegurarte de que tu instancia de Agent Platform Workbench contenga un dominio byoid.googleusercontent.com, debes hacer una de las siguientes acciones:

Crea la instancia con la Google Cloud consola de la federación de identidades de personal.
Usa la marca enable_third_party_identity cuando crees la instancia.

Puedes crear Agent Platform Workbench de Gemini Enterprise con credenciales de terceros mediante la Google Cloud consola o gcloud CLI:

Console

Accede a la Google Cloud consola de como proveedor de grupos de personal.

Ir a la consola
En la Google Cloud consola de, ve a la página Instancias.

Ir a Instancias
Haz clic en Crear nuevo.
En el cuadro de diálogo Instancia nueva, haz clic en Opciones avanzadas.
En el cuadro de diálogo Crear instancia, en la sección IAM y seguridad, haz lo siguiente:
1. Asegúrate de que esté seleccionada la opción Cuenta de servicio.
2. Desmarca Usar la cuenta de servicio predeterminada de Compute Engine y, luego, en el campo Correo electrónico de la cuenta de servicio, ingresa la dirección de correo electrónico de la cuenta de servicio asociada con tu principal de personal.
Haz clic en Crear.

Agent Platform Workbench crea una instancia y la inicia automáticamente. Cuando la instancia está lista para usarse, Agent Platform Workbench activa un vínculo Abrir JupyterLab.

gcloud

Sigue la guía de IAM para autenticar la gcloud CLI con un grupo de identidad de personal.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

INSTANCE_NAME: Es el nombre de tu instancia de Agent Platform Workbench. Debe comenzar con una letra seguida de hasta 62 letras minúsculas, números o guiones (-), y no puede terminar con un guion.
PROJECT_ID: Es el ID del proyecto.
LOCATION: Es la zona en la que deseas que se ubique la instancia.
VM_IMAGE_PROJECT: Es el ID del proyecto al que pertenece la imagen de VM, en el formato: projects/IMAGE_PROJECT_ID. Google Cloud
VM_IMAGE_NAME: es el nombre completo de la imagen. para encontrar el nombre de imagen de una versión específica, consulta Encuentra la versión específica
MACHINE_TYPE: el tipo de máquina de la VM de tu instancia
METADATA: Son metadatos personalizados que se aplicarán a esta instancia; por ejemplo, para especificar una secuencia de comandos posterior al inicio, puedes usar la etiqueta de metadatos post-startup-script en el formato: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
SERVICE_ACCOUNT_EMAIL: La dirección de correo electrónico de la cuenta de servicio que está asociada con la principal de tu personal

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL \
    --enable-third-party-identity

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL `
    --enable-third-party-identity

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL ^
    --enable-third-party-identity

Si deseas obtener más información sobre el comando para crear una instancia desde la línea de comandos, consulta la documentación de gcloud CLI.

Agent Platform Workbench crea una instancia y la inicia automáticamente. Cuando la instancia está lista para usarse, Agent Platform Workbench activa un vínculo Abrir JupyterLab en la Google Cloud consola.

Accede a JupyterLab con credenciales de terceros

Tu nueva instancia de Agent Platform Workbench de Gemini Enterprise crea dos URLs de proxy independientes con los siguientes dominios:

byoid.googleusercontent.com: Solo pueden usar este dominio los usuarios que autentiquen con un grupo de identidades de personal. Su valor se almacena en el campo de metadatos proxy-byoid-url de tu instancia. Este valor de metadatos activa un vínculo Abrir JupyterLab en la Google Cloud consola de la federación de identidades de personal (console.cloud.google/).
googleusercontent.com: Solo pueden usar este dominio los usuarios que autentiquen con la autenticación propia de Google predeterminada. Su valor se almacena en el campo de metadatos proxy-url de tu instancia. Este valor de metadatos activa un vínculo Abrir JupyterLab en la Google Cloud consola (console.cloud.google.com).

¿Qué sigue?

Para obtener más información sobre las principales de terceros que puedes usar para aprovisionar notebooks, consulta Federación de identidades de personal.