Instanz mit Anmeldedaten von Drittanbietern erstellen

Auf dieser Seite wird beschrieben, wie Sie eine Vertex AI Workbench-Instanz mit Anmeldedaten von Drittanbietern erstellen.

Übersicht

Sie können Vertex AI Workbench-Instanzen mit Anmeldedaten von Drittanbietern erstellen und verwalten, die von der Workforce Identity-Föderation bereitgestellt werden. Die Workforce Identity-Föderation verwendet Ihren externen Identitätsanbieter (Identity Provider, IdP), um einer Gruppe von Nutzern über einen Proxy Zugriff auf Vertex AI Workbench-Instanzen zu gewähren.

Der Zugriff auf eine Vertex AI Workbench-Instanz wird durch Zuweisung eines Workforce-Pool-Hauptkontos zu dem Dienstkonto der Vertex AI Workbench-Instanz gewährt.

Hinweis

  1. Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Google Cloud-Nutzer sind, erstellen Sie ein Konto, um zu sehen, wie sich unsere Produkte in realen Szenarien schlagen. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.
  8. Konfigurieren Sie Ihren IdP mit einem Workforce Identity-Pool.

Erforderliche Rolle zum Erstellen einer Instanz

Um dafür zu sorgen, dass das Workforce-Pool-Hauptkonto über die erforderlichen Berechtigungen zum Erstellen einer Vertex AI Workbench-Instanz verfügt, bitten Sie Ihren Administrator, Ihrem Workforce-Pool-Hauptkonto die Notebooks-Administrator (roles/notebooks.admin) IAM-Rolle für das Projekt zu übertragen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Ihr Administrator kann Ihrem Workforce-Pool-Hauptkonto die erforderlichen Berechtigungen möglicherweise auch über benutzerdefinierte Rollen oder andere vordefinierten Rollen übertragen.

Erforderliche Rollen für die Verwendung von Anmeldedaten von Drittanbietern

Das Hauptkonto für den Workbench-Pool benötigt Zugriff auf das Dienstkonto Ihrer Vertex AI Workbench-Instanz mit bestimmten Berechtigungen.

Bitten Sie Ihren Administrator, dem Workforce-Pool-Hauptkonto die folgenden IAM-Rollen für das Dienstkonto zu gewährleisten, das Sie beim Erstellen der Instanz angegeben haben, um sicher zustellen, dass Ihr Workforce-Pool-Hauptkonto die nötigen Berechtigungen zur Verwendung einer Vertex AI Workbench-Instanz mit Drittanbieter-Anmeldedaten hat:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Ihr Administrator kann dem Workforce-Pool-Hauptkonto möglicherweise auch die erforderlichen Berechtigungen über benutzerdefinierte Rollen oder andere vordefinierte Rollen erteilen.

Instanz mit Anmeldedaten eines Drittanbieters erstellen

Damit Ihre Vertex AI Workbench-Instanz eine byoid.googleusercontent.com-Domain enthält, müssen Sie eine der folgenden Aktionen ausführen:

  • Erstellen Sie die Instanz über die Google Cloud Workforce Identity-Föderationskonsole.

  • Verwenden Sie beim Erstellen der Instanz das Flag enable_third_party_identity.

Sie können eine Vertex AI Workbench mit den Anmeldedaten von Drittanbietern über die Google Cloud Console oder die gcloud CLI erstellen:

Console

  1. Melden Sie sich in der Google Cloud Console mit einem Workforce-Pool-Anbieter an.

    Zur Console

  2. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  3. Klicken Sie auf  NEU ERSTELLEN.

  4. Klicken Sie im Dialogfeld Neue Instanz auf Erweiterte Optionen.

  5. Führen Sie im Dialogfeld Instanz erstellen im Bereich IAM und Sicherheit folgende Schritte aus:

    1. Achten Sie darauf, dass Dienstkonto ausgewählt ist.

    2. Deaktivieren Sie Das Compute Engine-Dienstkonto nutzen und geben Sie dann im Feld Dienstkonto-Email die Dienstkonto-Email-Adresse an, die Ihrem Workforce-Hauptkonto zugeordnet ist.

  6. Klicken Sie auf Erstellen.

    Vertex AI Workbench erstellt eine Instanz und startet sie automatisch. Sobald die Instanz einsatzbereit ist, aktiviert Vertex AI Workbench den Link JupyterLab öffnen.

gcloud

Folgen Sie der IAM-Anleitung zum Authentifizieren der gcloud CLI mit einem Workforce Identity-Pool.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • INSTANCE_NAME: der Name Ihrer Vertex AI Workbench-Instanz; muss mit einem Buchstaben beginnen, gefolgt von bis zu 62 Kleinbuchstaben, Ziffern oder Bindestrichen (-) und darf nicht mit einem Bindestrich enden
  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: die Zone, in der sich Ihre Instanz befinden soll
  • VM_IMAGE_PROJECT: die ID des Projekts, zu dem das VM-Image gehört, im Format: projects/IMAGE_PROJECT_ID Google Cloud
  • VM_IMAGE_NAME: Der vollständige Image-Name. Um den Image-Namen einer bestimmten Version zu finden, siehe Spezifische Version finden
  • MACHINE_TYPE: Der Maschinentyp der VM-Instanz.
  • METADATA: Benutzerdefinierte Metadaten, die auf diese Instanz angewendet werden sollen. Wenn Sie beispielsweise ein Post-Startscript angeben möchten, können Sie das Metadaten-Tag post-startup-script im folgenden Format verwenden: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
  • SERVICE_ACCOUNT_EMAIL: Die E-Mail-Adresse des Dienstkontos, das mit Ihrem Personalverantwortlichen verknüpft ist

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL \
    --enable-third-party-identity

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL `
    --enable-third-party-identity

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL ^
    --enable-third-party-identity

Weitere Informationen zum Befehl zum Erstellen einer Instanz über die Befehlszeile ausführen, siehe gcloud CLI Dokumentation.

Vertex AI Workbench erstellt eine Instanz und startet sie automatisch. Sobald die Instanz einsatzbereit ist, aktiviert Vertex AI Workbench den Link JupyterLab öffnen in der Google Cloud Console.

Mit Anmeldedaten von Drittanbietern auf JupyterLab zugreifen

Die neue Vertex AI Workbench-Instanz erstellt zwei separate Proxy-URLs mit den folgenden Domains:

  • byoid.googleusercontent.com: Diese Domain kann nur von Nutzern verwendet werden, die sich mit einem Mitarbeiteridentitätspool authentifizieren. Der Wert wird im Metadatenfeld proxy-byoid-url Ihrer Instanz gespeichert. Dieser Metadatenwert aktiviert einen Link JupyterLab öffnen in der Google Cloud Workforce Identity-Föderationskonsole (console.cloud.google/).

  • googleusercontent.com: Diese Domain kann nur von Nutzern verwendet werden, die sich über die standardmäßige Erstanbieterauthentifizierung von Google authentifizieren. Der Wert wird im Metadatenfeld proxy-url Ihrer Instanz gespeichert. Dieser Metadatenwert aktiviert einen Link JupyterLab öffnen in der Google Cloud Console (console.cloud.google.com).

Nächste Schritte