Crea un'istanza con credenziali di terze parti

Questa pagina descrive come creare un'istanza di Gemini Enterprise Agent Platform Workbench con credenziali di terze parti.

Panoramica

Puoi creare e gestire istanze di Gemini Enterprise Agent Platform Workbench con credenziali di terze parti fornite dalla federazione delle identità per la forza lavoro. La federazione delle identità per la forza lavoro utilizza il tuo provider di identità (IdP) esterno per concedere a un gruppo di utenti l'accesso alle istanze di Agent Platform Workbench tramite un proxy.

L'accesso a un'istanza di Agent Platform Workbench viene concesso assegnando un'entità del pool di forza lavoro al account di servizio account dell'istanza di Agent Platform Workbench.

Prima di iniziare

Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Configura il tuo IdP con un pool di identità per la forza lavoro.

Ruolo richiesto per creare un'istanza

Per assicurarti che il principal del pool di forza lavoro disponga delle autorizzazioni necessarie per creare un'istanza di Agent Platform Workbench, chiedi all'amministratore di concedere al principal del pool di forza lavoro il ruolo IAM Notebooks Admin (roles/notebooks.admin) sul progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

L'amministratore potrebbe anche essere in grado di concedere al principal del pool di forza lavoro le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

Ruoli richiesti per l'utilizzo delle credenziali di terze parti

L'entità del pool di forza lavoro deve accedere al service account dell'istanza di Agent Platform Workbench, con autorizzazioni specifiche.

Per assicurarti che l'entità del pool di forza lavoro disponga delle autorizzazioni necessarie per utilizzare un'istanza di Agent Platform Workbench con credenziali di terze parti, chiedi all'amministratore di concedere i seguenti ruoli IAM all'entità del pool di forza lavoro sul account di servizio che specificherai quando crei l'istanza:

Creatore token service account (roles/iam.serviceAccountTokenCreator)
Utente Service Account (roles/iam.serviceAccountUser)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

L'amministratore potrebbe anche essere in grado di concedere all'entità di sicurezza del pool di identità per la forza lavoro le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

Crea l'istanza utilizzando le credenziali di terze parti

Per assicurarti che l'istanza Workbench di Agent Platform contenga un dominio byoid.googleusercontent.com, devi svolgere una delle seguenti operazioni:

Crea l'istanza utilizzando la console Google Cloud della federazione delle identità per la forza lavoro.
Utilizza il flag enable_third_party_identity quando crei l'istanza.

Puoi creare un workbench della piattaforma di agenti Gemini Enterprise utilizzando le credenziali di terze parti tramite la consoleGoogle Cloud o gcloud CLI:

Console

Accedi alla console Google Cloud utilizzando un provider di pool di forza lavoro.

Vai alla console
Nella console Google Cloud , vai alla pagina Istanze.

Vai a Istanze
Fai clic su Crea nuovo.
Nella finestra di dialogo Nuova istanza, fai clic su Opzioni avanzate.
Nella finestra di dialogo Crea istanza, nella sezione IAM e sicurezza, segui questi passaggi:
1. Assicurati che sia selezionato Service Account.
2. Deseleziona Usa il service account Compute Engine predefinito, quindi, nel campo Email service account, inserisci l'indirizzo email del account di servizio associato alla tua entità della forza lavoro.
Fai clic su Crea.

Workbench di Agent Platform crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Agent Platform Workbench attiva un link Apri JupyterLab.

gcloud

Segui la guida IAM per autenticare gcloud CLI con un pool di identità della forza lavoro.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

INSTANCE_NAME: il nome della tua istanza di Agent Platform Workbench; deve iniziare con una lettera seguita da un massimo di 62 lettere minuscole, numeri o trattini (-) e non può terminare con un trattino
PROJECT_ID: il tuo ID progetto
LOCATION: la zona in cui vuoi che si trovi l'istanza
VM_IMAGE_PROJECT: l'ID del progetto Google Cloud a cui appartiene l'immagine VM, nel formato: projects/IMAGE_PROJECT_ID
VM_IMAGE_NAME: il nome completo dell'immagine; per trovare il nome dell'immagine di una versione specifica, vedi Trovare la versione specifica
MACHINE_TYPE: il tipo di macchina della VM dell'istanza
METADATA: metadati personalizzati da applicare a questa istanza; ad esempio, per specificare uno script post-avvio, puoi utilizzare il tag di metadati post-startup-script nel formato: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
SERVICE_ACCOUNT_EMAIL: l'indirizzo email del account di servizio associato alla tua entità della forza lavoro

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL \
    --enable-third-party-identity

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL `
    --enable-third-party-identity

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL ^
    --enable-third-party-identity

Per ulteriori informazioni sul comando per creare un'istanza dalla riga di comando, consulta la documentazione di gcloud CLI.

Workbench di Agent Platform crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Agent Platform Workbench attiva un link Apri JupyterLab nella console Google Cloud .

Accedere a JupyterLab con credenziali di terze parti

La nuova istanza di Workbench di Agent Platform di Gemini Enterprise crea due URL proxy separati con i seguenti domini:

byoid.googleusercontent.com: Questo dominio può essere utilizzato solo dagli utenti che eseguono l'autenticazione con un pool di identità della forza lavoro. Il suo valore è memorizzato nel campo metadati proxy-byoid-url dell'istanza. Questo valore dei metadati attiva un link Apri JupyterLab nella Google Cloud console Federazione delle identità per la forza lavoro (console.cloud.google/).
googleusercontent.com: questo dominio può essere utilizzato solo dagli utenti che eseguono l'autenticazione con l'autenticazione proprietaria predefinita di Google. Il suo valore è memorizzato nel campo dei metadati proxy-url dell'istanza. Questo valore dei metadati attiva un link Apri JupyterLab nella consoleGoogle Cloud (console.cloud.google.com).

Passaggi successivi

Per scoprire di più sui principal di terze parti da utilizzare per il provisioning dei blocchi note, consulta la sezione Federazione delle identità per la forza lavoro.