Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Instanz mit Anmeldedaten eines Drittanbieters erstellen

Auf dieser Seite wird beschrieben, wie Sie eine Gemini Enterprise Agent Platform Workbench-Instanz mit Anmeldedaten eines Drittanbieters erstellen.

Übersicht

Sie können Gemini Enterprise Agent Platform Workbench-Instanzen mit Anmeldedaten von Drittanbietern erstellen und verwalten, die von der Mitarbeiteridentitätsföderation bereitgestellt werden. Die Mitarbeiteridentitätsföderation verwendet Ihren externen Identitätsanbieter (Identity Provider, IdP), um einer Gruppe von Nutzern über einen Proxy Zugriff auf Agent Platform Workbench-Instanzen zu gewähren.

Der Zugriff auf eine Agent Platform Workbench-Instanz wird durch Zuweisung eines Workforce-Pool-Hauptkontos zu dem Dienstkonto der Agent Platform Workbench-Instanz gewährt.

Hinweis

Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Konto haben Google Cloud, erstellen Sie ein Konto, um zu testen, wie sich unsere Produkte in realen Szenarien schlagen. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Konfigurieren Sie Ihren IdP mit einem Workforce Identity-Pool.

Erforderliche Rolle zum Erstellen einer Instanz

Um dafür zu sorgen, dass das Workforce-Pool-Prinzipal über die erforderlichen Berechtigungen zum Erstellen einer Agent Platform Workbench-Instanz verfügt, bitten Sie Ihren Administrator, Ihrem Workforce-Pool-Prinzipal die IAM-Rolle Notebooks-Administrator (roles/notebooks.admin) für das Projekt zu übertragen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Ihr Administrator kann Ihrem Workforce-Pool-Hauptkonto die erforderlichen Berechtigungen möglicherweise auch über benutzerdefinierte Rollen oder andere vordefinierten Rollen übertragen.

Erforderliche Rollen für die Verwendung von Anmeldedaten von Drittanbietern

Das Hauptkonto für den Workbench-Pool benötigt Zugriff auf das Dienstkonto Ihrer Agent Platform Workbench-Instanz mit bestimmten Berechtigungen.

Bitten Sie Ihren Administrator, dem Workforce-Pool-Prinzipal die folgenden IAM-Rollen für das Dienstkonto zu gewähren, das Sie beim Erstellen der Instanz angegeben haben, um sicherzustellen, dass der Workforce-Pool-Prinzipal die nötigen Berechtigungen zur Verwendung einer Agent Platform Workbench-Instanz mit Anmeldedaten von Drittanbietern hat:

Ersteller von Dienstkonto-Token (roles/iam.serviceAccountTokenCreator)
Dienstkontonutzer (roles/iam.serviceAccountUser)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Ihr Administrator kann dem Workforce-Pool-Hauptkonto möglicherweise auch die erforderlichen Berechtigungen über benutzerdefinierte Rollen oder andere vordefinierte Rollen erteilen.

Instanz mit Anmeldedaten eines Drittanbieters erstellen

Damit Ihre Agent Platform Workbench-Instanz eine byoid.googleusercontent.com-Domain enthält, müssen Sie eine der folgenden Aktionen ausführen:

Erstellen Sie die Instanz über die Google Cloud Mitarbeiteridentitätsföderationskonsole.
Verwenden Sie das Flag enable_third_party_identity, wenn Sie die Instanz erstellen.

Sie können eine Gemini Enterprise Agent Platform Workbench mit den Anmeldedaten von Drittanbietern über die Google Cloud Konsole oder die gcloud CLI erstellen:

Console

Melden Sie sich mit einem Workforce-Pool-Anbieter in der Google Cloud Console an.

Zur Console
Rufen Sie in der Google Cloud Konsole die Seite VM-Instanzen auf.

Zur Seite „VM-Instanzen“
Klicken Sie auf NEU ERSTELLEN.
Klicken Sie im Dialogfeld Neue Instanz auf Erweiterte Optionen.
Führen Sie im Dialogfeld Instanz erstellen im Bereich IAM und Sicherheit folgende Schritte aus:
1. Achten Sie darauf, dass Dienstkonto ausgewählt ist.
2. Deaktivieren Sie Das Compute Engine-Dienstkonto nutzen und geben Sie dann im Feld Dienstkonto-Email die Dienstkonto-Email-Adresse an, die Ihrem Workforce-Hauptkonto zugeordnet ist.
Klicken Sie auf Erstellen.

Agent Platform Workbench erstellt eine Instanz und startet sie automatisch. Wenn die Instanz einsatzbereit ist, aktiviert Agent Platform Workbench einen Link JupyterLab öffnen.

gcloud

Folgen Sie der IAM-Anleitung um die gcloud CLI mit einem Workforce Identity-Pool zu authentifizieren.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

INSTANCE_NAME: Der Name Ihrer Agent Platform Workbench-Instanz. Er muss mit einem Buchstaben beginnen und darf maximal 62 Kleinbuchstaben, Zahlen oder Bindestriche (-) enthalten. Er darf nicht mit einem Bindestrich enden.
PROJECT_ID: Ihre Projekt-ID.
LOCATION: Die Zone, in der sich Ihre Instanz befinden soll.
VM_IMAGE_PROJECT: Die ID des Projekts, zu dem das VM-Image gehört, im Format projects/IMAGE_PROJECT_ID. Google Cloud
VM_IMAGE_NAME: Der vollständige Image-Name. Um den Image-Namen einer bestimmten Version zu finden, siehe Spezifische Version finden.
MACHINE_TYPE: Der Maschinentyp der VM-Instanz.
METADATA: Benutzerdefinierte Metadaten, die auf diese Instanz angewendet werden sollen. Wenn Sie beispielsweise ein Post-Startscript angeben möchten, können Sie das Metadaten-Tag post-startup-script im folgenden Format verwenden: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
SERVICE_ACCOUNT_EMAIL: Die E-Mail-Adresse des Dienstkontos, das mit Ihrem Personalverantwortlichen verknüpft ist

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL \
    --enable-third-party-identity

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL `
    --enable-third-party-identity

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL ^
    --enable-third-party-identity

Weitere Informationen zum Befehl zum Erstellen einer Instanz über die Befehlszeile ausführen, siehe die gcloud CLI Dokumentation.

Agent Platform Workbench erstellt eine Instanz und startet sie automatisch. Wenn die Instanz einsatzbereit ist, aktiviert Agent Platform Workbench einen Link JupyterLab öffnen in der Google Cloud Konsole.

Mit Anmeldedaten von Drittanbietern auf JupyterLab zugreifen

Die neue Gemini Enterprise Agent Platform Workbench-Instanz erstellt zwei separate Proxy-URLs mit den folgenden Domains:

byoid.googleusercontent.com: Diese Domain kann nur von Nutzern verwendet werden, die sich mit einem Workforce Identity-Pool authentifizieren. Der Wert wird im Metadatenfeld proxy-byoid-url Ihrer Instanz gespeichert. Dieser Metadatenwert aktiviert einen Link JupyterLab öffnen in der Google Cloud Mitarbeiteridentitätsföderationskonsole (console.cloud.google/).
googleusercontent.com: Diese Domain kann nur von Nutzern verwendet werden, die sich über die standardmäßige Erstanbieterauthentifizierung von Google authentifizieren. Der Wert wird im Metadatenfeld proxy-url Ihrer Instanz gespeichert. Dieser Metadatenwert aktiviert einen Link JupyterLab öffnen in der Google Cloud Konsole (console.cloud.google.com).

Nächste Schritte

Weitere Informationen zur Nutzung von Hauptkonten von Drittanbietern für die Bereitstellung von Notebooks finden Sie unter Mitarbeiteridentitätsföderation.