Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Confidential Computing を使用してインスタンスを作成する

このドキュメントでは、Confidential Computing を有効にして Gemini Enterprise Agent Platform Workbench インスタンスを作成する方法について説明します。

概要

Confidential Computing は、ハードウェアベースの高信頼実行環境（TEE）で使用中のデータを保護するためのソリューションです。TEE は隔離された安全な環境であり、使用中のアプリケーションとデータに対する不正アクセスや変更を防止します。このセキュリティ標準は Confidential Computing Consortiumによって定義されています。

Confidential Computing を有効にして Agent Platform Workbench インスタンスを作成すると、新しい Agent Platform Workbench インスタンスは Confidential VM インスタンスになります。Confidential VM インスタンスの詳細については、Confidential VM の概要をご覧ください。

始める前に

アカウントにログインします。 Google Cloud を初めて使用する場合は、アカウントを作成して、実際のシナリオでプロダクトがどのように機能するかを評価してください。 Google Cloud新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

必要なロール

Agent Platform Workbench インスタンスの作成に必要な権限を取得するには、プロジェクトに対するノートブック実行者（roles/notebooks.runner）IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

インスタンスの作成

Confidential Computing が有効になっているインスタンスを作成するには、 Google Cloud コンソール、gcloud CLI、または REST API を使用します。

コンソール

Confidential Computing を有効にして Agent Platform Workbench インスタンスを作成する手順は次のとおりです。

コンソールで [インスタンス] ページに移動します。 Google Cloud

[インスタンス] に移動
[新規作成] をクリックします。
[新しいインスタンス] ダイアログで、[詳細オプション] をクリックします。
[インスタンスの作成] ダイアログの [マシンタイプ] セクションで、N2D マシンタイプを選択します。N2D マシンタイプのみがサポートされています。
[Confidential VM サービス] で [Confidential Computing を有効にする] を選択します。
[Confidential Computing を有効にする] ダイアログで [有効にする] をクリックします。
[作成] をクリックします。

Agent Platform Workbench がインスタンスを作成し、自動的に起動します。インスタンスを使用する準備が整うと、Agent Platform Workbench で [JupyterLab を開く] が有効になります。

gcloud

Confidential Computing を有効にして Agent Platform Workbench インスタンスを作成するには、gcloud workbench instances create コマンドを使用して --confidential-compute-type を SEV に設定します。

後述のコマンドデータを使用する前に、次のように置き換えます。

INSTANCE_NAME：Agent Platform Workbench インスタンスの名前。先頭は英字で、それに続く最大 62 文字の英小文字、数字、ハイフン（-）で構成します。末尾にハイフンは使用できません。
PROJECT_ID: プロジェクト ID
LOCATION: インスタンスを配置するゾーン
MACHINE_TYPE: インスタンスの VM のマシンタイプ（例: n2d-standard-2）

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

Windows（PowerShell）

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

Windows（cmd.exe）

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

Agent Platform Workbench がインスタンスを作成し、自動的に起動します。インスタンスを使用する準備が整うと、Agent Platform Workbench により [JupyterLab を開く] リンクが Google Cloud コンソールで有効化されます。

REST

Confidential Computing を有効にして Agent Platform Workbench インスタンスを作成するには、 projects.locations.instances.create メソッドを使用し、confidentialInstanceConfig を GceSetupに含めます。

リクエストのデータを使用する前に、次のように置き換えます。

PROJECT_ID: プロジェクト ID
LOCATION: インスタンスを配置するゾーン
MACHINE_TYPE: インスタンスの VM のマシンタイプ（例: n2d-standard-2）

HTTP メソッドと URL:

POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

リクエストの本文（JSON）:

{
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

リクエストを送信するには、次のいずれかのオプションを選択します。

curl

注: 次のコマンドは、gcloud init または gcloud auth login を実行して、ユーザーアカウントで gcloud CLI にログインしているか、Cloud Shell を使用して自動的に gcloud CLI にログインしていることを前提としています。gcloud auth list を実行すると、現在アクティブなアカウントを確認できます。

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

PowerShell

注: 次のコマンドは、gcloud init または gcloud auth login を実行して、ご自分のユーザーアカウントで gcloud CLI にログインしていることを前提としています。gcloud auth list を実行すると、現在アクティブなアカウントを確認できます。

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

インスタンスで Confidential Computing が有効になっているかどうかを確認する

Agent Platform Workbench インスタンスで Confidential Computing が有効になっているかどうかを確認するには、次の操作を行います。

コンソールで [インスタンス] ページに移動します。 Google Cloud

[Spanner インスタンス] に移動
[インスタンス名] 列で、確認するインスタンスの名前をクリックします。

インスタンスの詳細ページが開きます。
[VM の詳細] の横にある [Compute Engine で表示] をクリックします。
Compute Engine の詳細ページで、[Confidential VM サービス] の値が Enabled または Disabled と表示されます。

制限事項

Confidential Computing を有効にして Agent Platform Workbench インスタンスを作成または使用する場合、次の制限が適用されます。

N2D マシンタイプのみがサポートされています。N2D マシンタイプをご覧ください。
AMD SEV Confidential Computing テクノロジーのみがサポートされています。詳細については、AMD SEV をご覧ください。
Agent Platform Workbench インスタンスを作成した後は、Confidential Computing を有効または無効にすることはできません。

課金

Confidential Computing で Agent Platform Workbench インスタンスを使用する場合、次の料金が発生します。

Agent Platform Workbench インスタンスの使用量。Agent Platform の料金をご覧ください。
Confidential Computing の使用量。Confidential VM の料金をご覧ください。

次のステップ

ノートブックを使用して Gemini Enterprise Agent Platform や他の Google Cloud サービスを使い始めるには、 Agent Platform ノートブックのチュートリアルをご覧ください。
ヘルスステータスをモニタリングするを参照し、Agent Platform Workbench インスタンスのヘルスステータスを確認する。