Crea una instancia con credenciales de terceros

En esta página, se describe cómo crear una instancia de Vertex AI Workbench con credenciales de terceros.

Descripción general

Puedes crear y gestionar instancias de Vertex AI Workbench con credenciales de terceros proporcionadas por la federación de identidades de personal. La federación de identidades de personal usa su proveedor de identidades externo (IdP) para conceder a un grupo de usuarios acceso a las instancias de Vertex AI Workbench a través de un proxy.

El acceso a una instancia de Vertex AI Workbench se otorga mediante la asignación de un principal de grupo de personal a la cuenta de servicio de la instancia de Vertex AI Workbench.

Antes de comenzar

  1. Accede a tu Google Cloud cuenta de. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.
  8. Configura tu IdP con una fuerza laboral de grupo de identidades.

Rol obligatorio para crear una instancia

Para asegurarte de que la principal del grupo de personal tenga los permisos necesarios para crear una instancia de Vertex AI Workbench, pídele a tu administrador que le otorgue a la principal de grupo de personal el rol de IAM de Administrador de notebooks (roles/notebooks.admin) del proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Es posible que tu administrador también pueda otorgar a la principal del grupo de personal los permisos necesarios a través de roles personalizados o de otros roles predefinidos.

Roles obligatorios para usar credenciales de terceros

La principal de tu grupo de personal necesita acceso a la cuenta de servicio de tu instancia de Vertex AI Workbench, con permisos específicos.

Para garantizar que la principal del grupo de personal tenga los permisos necesarios para usar una instancia de Vertex AI Workbench con credenciales de terceros, pídele a tu administrador que le otorgue los siguientes roles de IAM a la principal del grupo de personal en la cuenta de servicio que especificarás cuando crees la instancia:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Es posible que tu administrador también pueda otorgar los permisos necesarios a la principal de grupo de personal a través de roles personalizados o de otros roles predefinidos.

Crea la instancia con credenciales de terceros

Para asegurarte de que tu instancia de Vertex AI Workbench contenga un dominio byoid.googleusercontent.com, debes hacer una de las siguientes acciones:

  • Crea la instancia con la Google Cloud consola de la federación de identidades de personal.

  • Usa la marca enable_third_party_identity cuando crees tu instancia.

Puedes crear Vertex AI Workbench con credenciales de terceros mediante la Google Cloud consola o gcloud CLI:

Console

  1. Accede a la Google Cloud consola de usando un proveedor de grupo de personal.

    Ir a la consola

  2. En la Google Cloud consola de, ve a la página Instancias.

    Ir a Instancias

  3. Haz clic en  Crear nuevo.

  4. En el cuadro de diálogo Instancia nueva, haz clic en Opciones avanzadas.

  5. En el cuadro de diálogo Crear instancia, en la sección IAM y seguridad, haz lo siguiente:

    1. Asegúrate de que esté seleccionada la opción Cuenta de servicio.

    2. Desmarca Usar la cuenta de servicio predeterminada de Compute Engine y, luego, en el campo Correo electrónico de la cuenta de servicio, ingresa la dirección de correo electrónico de la cuenta de servicio asociada con tu principal de personal.

  6. Haz clic en Crear.

    Vertex AI Workbench crea una instancia y la inicia de forma automática. Cuando la instancia está lista para usarse, Vertex AI Workbench activa un vínculo Abrir JupyterLab.

gcloud

Sigue la guía de IAM para autenticar la gcloud CLI con un grupo de identidad de personal.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

  • INSTANCE_NAME: el nombre de tu instancia de Vertex AI Workbench. Debe comenzar con una letra seguida de un máximo de 62 letras minúsculas, números o guiones (-) y no puede terminar con un guion.
  • PROJECT_ID: el ID de tu proyecto
  • LOCATION: Es la zona en la que deseas que se ubique la instancia.
  • VM_IMAGE_PROJECT: Es el ID del proyecto al que pertenece la imagen de VM, en el formato: projects/IMAGE_PROJECT_ID. Google Cloud
  • VM_IMAGE_NAME: es el nombre completo de la imagen. para encontrar el nombre de imagen de una versión específica, consulta Encuentra la versión específica
  • MACHINE_TYPE: el tipo de máquina de la VM de tu instancia
  • METADATA: Son metadatos personalizados que se aplicarán a esta instancia; por ejemplo, para especificar una secuencia de comandos posterior al inicio, puedes usar la etiqueta de metadatos post-startup-script en el formato: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
  • SERVICE_ACCOUNT_EMAIL: La dirección de correo electrónico de la cuenta de servicio que está asociada con la principal de tu personal

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL \
    --enable-third-party-identity

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL `
    --enable-third-party-identity

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL ^
    --enable-third-party-identity

Si deseas obtener más información sobre el comando para crear una instancia desde la línea de comandos, consulta la documentación de gcloud CLI.

Vertex AI Workbench crea una instancia y la inicia de forma automática. Cuando la instancia está lista para usarse, Vertex AI Workbench activa un vínculo Abrir JupyterLab en la Google Cloud consola de.

Accede a JupyterLab con credenciales de terceros

Tu nueva instancia de Vertex AI Workbench crea dos URLs de proxy independientes con los siguientes dominios:

  • byoid.googleusercontent.com: Solo pueden usar este dominio los usuarios que autentiquen con un grupo de identidades de personal. Su valor se almacena en el campo de metadatos proxy-byoid-url de tu instancia. Este valor de metadatos activa un vínculo Abrir JupyterLab en la Google Cloud consola de la federación de identidades de personal (console.cloud.google/).

  • googleusercontent.com: Solo pueden usar este dominio los usuarios que autentiquen con la autenticación propia de Google predeterminada. Su valor se almacena en el campo de metadatos proxy-url de tu instancia. Este valor de metadatos activa un vínculo Abrir JupyterLab en la Google Cloud consola (console.cloud.google.com).

¿Qué sigue?