Creare un'istanza con credenziali di terze parti

Questa pagina descrive come creare un'istanza di Vertex AI Workbench con credenziali di terze parti.

Panoramica

Puoi creare e gestire istanze Vertex AI Workbench con credenziali di terze parti fornite dalla federazione delle identità per la forza lavoro. La federazione delle identità per la forza lavoro utilizza il tuo provider di identità (IdP) esterno per concedere a un gruppo di utenti l'accesso alle istanze di Vertex AI Workbench tramite un proxy.

L'accesso a un'istanza di Vertex AI Workbench viene concesso assegnando un entità del pool di forza lavoro al account di servizio dell'istanza di Vertex AI Workbench.

Prima di iniziare

Accedi al tuo Google Cloud account. Se non hai mai utilizzato Google Cloud, crea un account per valutare il rendimento dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per eseguire, testare ed eseguire il deployment di carichi di lavoro.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Configura il tuo IdP con un pool di identità della forza lavoro.

Ruolo richiesto per la creazione di un'istanza

Per assicurarti che l'entità del pool di forza lavoro disponga delle autorizzazioni necessarie per creare un'istanza di Vertex AI Workbench, chiedi all'amministratore di concedere il ruolo IAM Notebooks Admin (roles/notebooks.admin) all'entità del pool di forza lavoro nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

L'amministratore potrebbe anche essere in grado di concedere all'entità del pool di forza lavoro le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

Ruoli richiesti per l'utilizzo di credenziali di terze parti

L'entità del pool di forza lavoro deve avere accesso al account di servizio dell'istanza di Vertex AI Workbench, con autorizzazioni specifiche.

Per assicurarti che l'entità del pool di forza lavoro disponga delle autorizzazioni necessarie per utilizzare un'istanza di Vertex AI Workbench con credenziali di terze parti, chiedi all'amministratore di concedere i seguenti ruoli IAM all'entità del pool di forza lavoro nel account di servizio che specificherai quando crei l'istanza:

Creatore token account di servizio (roles/iam.serviceAccountTokenCreator)
Utente Service Account (roles/iam.serviceAccountUser)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

L'amministratore potrebbe anche essere in grado di concedere all'entità del pool di forza lavoro le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

Creare l'istanza utilizzando credenziali di terze parti

Per assicurarti che l'istanza di Vertex AI Workbench contenga un dominio byoid.googleusercontent.com, devi eseguire una delle seguenti operazioni:

Crea l'istanza utilizzando la Google Cloud console della federazione delle identità per la forza lavoro.
Utilizza il flag enable_third_party_identity quando crei l'istanza.

Puoi creare un'istanza di Vertex AI Workbench utilizzando credenziali di terze parti tramite la Google Cloud console o gcloud CLI:

Console

Accedi alla Google Cloud console utilizzando un provider del pool di forza lavoro.

Vai alla console
Nella Google Cloud console, vai alla pagina Istanze.

Vai a Istanze
Fai clic su Crea nuova.
Nella finestra di dialogo Nuova istanza, fai clic su Opzioni avanzate.
Nella finestra di dialogo Crea istanza, nella sezione IAM e sicurezza , procedi nel seguente modo:
1. Assicurati che sia selezionato Service account.
2. Deseleziona Utilizza il service account Compute Engine predefinito, quindi, nel campo Indirizzo email del service account, inserisci l'indirizzo email del account di servizio associato alla tua entità della forza lavoro.
Fai clic su Crea.

Vertex AI Workbench crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab.

gcloud

Segui la guida IAM per autenticare gcloud CLI con un pool di identità della forza lavoro.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

INSTANCE_NAME: il nome dell'istanza di Vertex AI Workbench; deve iniziare con una lettera, deve contenere un massimo di 62 lettere minuscole, numeri o trattini (-) e non può terminare con un trattino
PROJECT_ID: il tuo ID progetto
LOCATION: la zona in cui vuoi che si trovi l'istanza
VM_IMAGE_PROJECT: l'ID del Google Cloud progetto a cui appartiene l'immagine della VM, nel formato: projects/IMAGE_PROJECT_ID
VM_IMAGE_NAME: il nome completo dell'immagine; per trovare il nome dell'immagine di una versione specifica, consulta Trovare la versione specifica
MACHINE_TYPE: il tipo di macchina della VM dell'istanza
METADATA: metadati personalizzati da applicare a questa istanza; ad esempio, per specificare uno script di post-startup, puoi utilizzare il tag di metadati post-startup-script, nel formato: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
SERVICE_ACCOUNT_EMAIL: l'indirizzo email del account di servizio che è associato alla tua entità della forza lavoro

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL \
    --enable-third-party-identity

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL `
    --enable-third-party-identity

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL ^
    --enable-third-party-identity

Per saperne di più sul comando per la creazione di un' istanza dalla riga di comando, consulta la documentazione di gcloud CLI.

Vertex AI Workbench crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab nella Google Cloud console.

Accedere a Jupyterlab con credenziali di terze parti

La nuova istanza di Vertex AI Workbench crea due URL proxy separati con i seguenti domini:

byoid.googleusercontent.com: questo dominio può essere utilizzato solo dagli utenti che eseguono l'autenticazione con un pool di identità della forza lavoro. Il suo valore è memorizzato nel campo dei metadati dell'istanza proxy-byoid-url. Questo valore dei metadati attiva un link Apri JupyterLab nella Google Cloud console della federazione delle identità per la forza lavoro (console.cloud.google/).
googleusercontent.com: questo dominio può essere utilizzato solo dagli utenti che eseguono l'autenticazione con l'autenticazione di prime parti predefinita di Google. Il suo valore è memorizzato nel campo dei metadati dell'istanza proxy-url. Questo valore dei metadati attiva un link Apri JupyterLab nella Google Cloud console (console.cloud.google.com).

Passaggi successivi

Per saperne di più sulle entità di terze parti da utilizzare per il provisioning dei notebook, consulta Federazione delle identità per la forza lavoro.