Membuat instance dengan kredensial pihak ketiga

Halaman ini menjelaskan cara membuat instance Workbench Platform Agen Gemini Enterprise dengan kredensial pihak ketiga.

Ringkasan

Anda dapat membuat dan mengelola instance Workbench Platform Agen Gemini Enterprise dengan kredensial pihak ketiga yang disediakan oleh Workforce Identity Federation. Workforce Identity Federation menggunakan penyedia identitas (IdP) eksternal Anda untuk memberikan akses kepada sekelompok pengguna ke instance Workbench Platform Agen melalui proxy.

Akses ke instance Workbench Platform Agen diberikan dengan menetapkan a akun utama workforce pool ke akun layanan instance Workbench Platform Agen.

Sebelum memulai

  1. Login keakun Anda. Google Cloud Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.
  8. Konfigurasi IdP Anda dengan a workforce identity pool.

Peran yang diperlukan untuk membuat instance

Untuk memastikan akun utama workforce pool Anda memiliki izin yang diperlukan untuk membuat instance Workbench Platform Agen, minta administrator Anda untuk memberikan peran IAM Notebooks Admin (roles/notebooks.admin) kepada akun utama workforce pool Anda di project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Administrator Anda mungkin juga dapat memberikan izin yang diperlukan kepada akun utama workforce pool Anda melalui peran khusus atau peran bawaan lainnya.

Peran yang diperlukan untuk menggunakan kredensial pihak ketiga

Akun utama workforce pool Anda memerlukan akses ke akun layanan instance Workbench Platform Agen Anda, dengan izin tertentu.

Untuk memastikan akun utama workforce pool memiliki izin yang diperlukan untuk menggunakan instance Workbench Platform Agen dengan kredasi pihak ketiga, minta administrator Anda untuk memberikan peran IAM berikut kepada akun utama workforce pool di akun layanan yang akan Anda tentukan saat membuat instance:

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Administrator Anda mungkin juga dapat memberikan izin yang diperlukan kepada akun utama workforce pool melalui peran khusus atau peran bawaan lainnya.

Membuat instance menggunakan kredensial pihak ketiga

Untuk memastikan instance Workbench Platform Agen Anda berisi domain byoid.googleusercontent.com, Anda harus melakukan salah satu hal berikut:

  • Buat instance menggunakan konsol Google Cloud Workforce Identity Federation.

  • Gunakan flag enable_third_party_identity saat Anda membuat instance.

Anda dapat membuat Workbench Platform Agen Gemini Enterprise menggunakan kredensial pihak ketiga dengan menggunakan Google Cloud konsol atau gcloud CLI:

Konsol

  1. Login ke Google Cloud konsol menggunakan penyedia workforce pool.

    Buka Konsol

  2. Di Google Cloud konsol, buka halaman Instances.

    Buka Instance

  3. Klik  Buat baru.

  4. Dalam dialog Instance baru, klik Opsi lanjutan.

  5. Dalam dialog Buat instance, di bagian IAM dan keamanan , lakukan hal berikut:

    1. Pastikan Akun layanan dipilih.

    2. Hapus centang Gunakan akun layanan Compute Engine default, lalu di kolom Email akun layanan, masukkan alamat email akun layanan yang terkait dengan akun utama workforce Anda.

  6. Klik Buat.

    Workbench Platform Agen membuat instance dan otomatis memulainya. Saat instance siap digunakan, Workbench Platform Agen akan mengaktifkan link Open JupyterLab.

gcloud

Ikuti panduan IAM untuk mengautentikasi gcloud CLI dengan workforce identity pool.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • INSTANCE_NAME: nama instance Workbench Platform Agen Anda; harus dimulai dengan huruf yang diikuti hingga 62 huruf kecil, angka, atau tanda hubung (-), dan tidak boleh diakhiri dengan tanda hubung
  • PROJECT_ID: project ID Anda
  • LOCATION: zona tempat Anda ingin instance Anda berada
  • VM_IMAGE_PROJECT: ID project tempat image VM berada, dalam format: projects/IMAGE_PROJECT_ID Google Cloud
  • VM_IMAGE_NAME: nama image lengkap; untuk menemukan nama image versi tertentu, lihat Menemukan versi tertentu
  • MACHINE_TYPE: jenis mesin VM instance Anda
  • METADATA: metadata kustom yang akan diterapkan ke instance ini; misalnya, untuk menentukan skrip pasca-startup, Anda dapat menggunakan tag metadata post-startup-script, dalam format: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
  • SERVICE_ACCOUNT_EMAIL: alamat email akun layanan yang terkait dengan akun utama workforce Anda

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL \
    --enable-third-party-identity

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL `
    --enable-third-party-identity

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL ^
    --enable-third-party-identity

Untuk mengetahui informasi lebih lanjut tentang perintah untuk membuat an instance dari command line, baca dokumentasi gcloud CLI.

Workbench Platform Agen membuat instance dan otomatis memulainya. Saat instance siap digunakan, Workbench Platform Agen akan mengaktifkan link Open JupyterLab di Google Cloud konsol.

Mengakses JupyterLab dengan kredensial pihak ketiga

Instance Workbench Platform Agen Gemini Enterprise baru Anda membuat dua URL proxy terpisah dengan domain berikut:

  • byoid.googleusercontent.com: Domain ini hanya dapat digunakan oleh pengguna yang melakukan autentikasi dengan workforce identity pool. Nilainya disimpan di kolom metadata instance Anda proxy-byoid-url. Nilai metadata ini mengaktifkan link Open JupyterLab di Google Cloud konsol Workforce Identity Federation (console.cloud.google/).

  • googleusercontent.com: Domain ini hanya dapat digunakan oleh pengguna yang melakukan autentikasi dengan Autentikasi Pihak Pertama Google default. Nilainya disimpan di kolom metadata instance Anda proxy-url. Nilai metadata ini mengaktifkan link Open JupyterLab di Google Cloud konsol (console.cloud.google.com).

Langkah berikutnya