Instanz mit Anmeldedaten eines Drittanbieters erstellen

Auf dieser Seite wird beschrieben, wie Sie eine Vertex AI Workbench-Instanz mit Anmeldedaten von Drittanbietern erstellen.

Übersicht

Sie können Vertex AI Workbench-Instanzen mit Anmeldedaten von Drittanbietern erstellen und verwalten, die von der Workforce Identity-Föderation bereitgestellt werden. Die Workforce Identity-Föderation verwendet Ihren externen Identitätsanbieter (Identity Provider, IdP), um einer Gruppe von Nutzern über einen Proxy Zugriff auf Vertex AI Workbench-Instanzen zu gewähren.

Der Zugriff auf eine Vertex AI Workbench-Instanz wird durch Zuweisung eines Workforce-Pool-Hauptkontos zu dem Dienstkonto der Vertex AI Workbench-Instanz gewährt.

Hinweise

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.
  8. Konfigurieren Sie Ihren IdP mit einem Mitarbeiteridentitätspool.

    9. Erforderliche Rolle zum Erstellen einer Instanz

    Damit das Workforce-Pool-Hauptkonto über die erforderlichen Berechtigungen zum Erstellen einer Vertex AI Workbench-Instanz verfügt, bitten Sie Ihren Administrator, Ihrem Workforce-Pool-Hauptkonto die IAM-Rolle Notebooks-Administrator (roles/notebooks.admin) für das Projekt zu übertragen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

    Ihr Administrator kann Ihrem Workforce-Pool-Hauptkonto die erforderlichen Berechtigungen möglicherweise auch über benutzerdefinierte Rollen oder andere vordefinierten Rollen übertragen.

    Erforderliche Rollen für die Verwendung von Anmeldedaten von Drittanbietern

    Das Hauptkonto für den Workbench-Pool benötigt Zugriff auf das Dienstkonto Ihrer Vertex AI Workbench-Instanz mit bestimmten Berechtigungen.

    Bitten Sie Ihren Administrator, dem Workforce-Pool-Hauptkonto die folgenden IAM-Rollen für das Dienstkonto zu gewährleisten, das Sie beim Erstellen der Instanz angegeben haben, um sicher zustellen, dass Ihr Workforce-Pool-Hauptkonto die nötigen Berechtigungen zur Verwendung einer Vertex AI Workbench-Instanz mit Drittanbieter-Anmeldedaten hat:

    Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

    Ihr Administrator kann dem Workforce-Pool-Hauptkonto möglicherweise auch die erforderlichen Berechtigungen über benutzerdefinierte Rollen oder andere vordefinierte Rollen erteilen.

    Instanz mit Anmeldedaten eines Drittanbieters erstellen

    Damit Ihre Vertex AI Workbench-Instanz eine byoid.googleusercontent.com-Domain enthält, müssen Sie eine der folgenden Aktionen ausführen:

    • Erstellen Sie die Instanz mit der Google CloudWorkforce Identity Federation Console.

    • Verwenden Sie beim Erstellen der Instanz das Flag enable_third_party_identity.

    Sie können eine Vertex AI Workbench mit den Anmeldedaten von Drittanbietern über dieGoogle Cloud -Konsole oder die gcloud CLI erstellen:

    Console

    1. Melden Sie sich mit einem Personalpoolanbieter in der Google Cloud -Konsole an.

      Zur Console

    2. Rufen Sie in der Google Cloud Console die Seite Instanzen auf.

      Zur Seite „VM-Instanzen“

    3. Klicken Sie auf  NEU ERSTELLEN.

    4. Klicken Sie im Dialogfeld Neue Instanz auf Erweiterte Optionen.

    5. Führen Sie im Dialogfeld Instanz erstellen im Abschnitt IAM und Sicherheit die folgenden Schritte aus:

      1. Achten Sie darauf, dass Dienstkonto ausgewählt ist.

      2. Deaktivieren Sie Das Compute Engine-Dienstkonto nutzen und geben Sie dann im Feld Dienstkonto-Email die Dienstkonto-Email-Adresse an, die Ihrem Workforce-Hauptkonto zugeordnet ist.

    6. Klicken Sie auf Erstellen.

      Vertex AI Workbench erstellt eine Instanz und startet sie automatisch. Sobald die Instanz einsatzbereit ist, aktiviert Vertex AI Workbench den Link JupyterLab öffnen.

    gcloud

    Folgen Sie der IAM-Anleitung, um die gcloud CLI mit einem Workforce Identity-Pool zu authentifizieren.

    Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

    • INSTANCE_NAME: der Name Ihrer Vertex AI Workbench-Instanz; muss mit einem Buchstaben beginnen, gefolgt von bis zu 62 Kleinbuchstaben, Ziffern oder Bindestrichen (-) und darf nicht mit einem Bindestrich enden
    • PROJECT_ID: Ihre Projekt-ID.
    • LOCATION: die Zone, in der sich Ihre Instanz befinden soll
    • VM_IMAGE_PROJECT: Die ID des Google Cloud Projekts, zu dem das VM-Image gehört, im Format: projects/IMAGE_PROJECT_ID
    • VM_IMAGE_NAME: Der vollständige Image-Name. Um den Image-Namen einer bestimmten Version zu finden, siehe Spezifische Version finden
    • MACHINE_TYPE: Der Maschinentyp der VM-Instanz.
    • METADATA: Benutzerdefinierte Metadaten, die auf diese Instanz angewendet werden sollen. Wenn Sie beispielsweise ein Post-Startscript angeben möchten, können Sie das Metadaten-Tag post-startup-script im folgenden Format verwenden: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
    • SERVICE_ACCOUNT_EMAIL: Die E-Mail-Adresse des Dienstkontos, das mit Ihrem Personalverantwortlichen verknüpft ist

    Führen Sie folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL \
    --enable-third-party-identity

    Windows (PowerShell)

    gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL `
    --enable-third-party-identity

    Windows (cmd.exe)

    gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL ^
    --enable-third-party-identity

    Weitere Informationen zum Befehl zum Erstellen einer Instanz über die Befehlszeile ausführen, siehe gcloud CLI Dokumentation.

    Vertex AI Workbench erstellt eine Instanz und startet sie automatisch. Sobald die Instanz einsatzbereit ist, aktiviert Vertex AI Workbench den Link JupyterLab öffnen in der Google Cloud Console.

    Mit Drittanbieteranmeldedaten auf JupyterLab zugreifen

    Die neue Vertex AI Workbench-Instanz erstellt zwei separate Proxy-URLs mit den folgenden Domains:

    • byoid.googleusercontent.com: Diese Domain kann nur von Nutzern verwendet werden, die sich mit einem Mitarbeiteridentitätspool authentifizieren. Der Wert wird im Metadatenfeld proxy-byoid-url Ihrer Instanz gespeichert. Dieser Metadatenwert aktiviert einen JupyterLab öffnen-Link in der Google Cloud-Konsole für die Identitätsföderation von Arbeitskräften (console.cloud.google/).

    • googleusercontent.com: Diese Domain kann nur von Nutzern verwendet werden, die sich über die standardmäßige Erstanbieterauthentifizierung von Google authentifizieren. Der Wert wird im Metadatenfeld proxy-url Ihrer Instanz gespeichert. Dieser Metadatenwert aktiviert einen JupyterLab öffnen-Link in derGoogle Cloud -Konsole (console.cloud.google.com).

    Nächste Schritte