Créer une instance avec des identifiants tiers

Cette page explique comment créer une instance Vertex AI Workbench avec des identifiants tiers.

Présentation

Vous pouvez créer et gérer des instances Vertex AI Workbench avec des identifiants tiers fournis par la fédération des identités des employés. La fédération des identités des employés utilise votre fournisseur d'identité externe (IdP) pour accorder à un groupe d'utilisateurs l'accès aux instances Vertex AI Workbench via un proxy.

L'accès à une instance Vertex AI Workbench est accordé en attribuant un compte principal de pool d'employés au compte de service de l'instance Vertex AI Workbench.

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.
  8. Configurez votre fournisseur d'identité avec un pool d'identités d'employés.

    9. Rôle requis pour créer une instance

    Pour vous assurer que le compte principal de votre pool d'employés dispose des autorisations nécessaires pour créer une instance Vertex AI Workbench, demandez à votre administrateur d'accorder au compte principal de votre pool d'employés le rôle IAM Administrateur de notebooks (roles/notebooks.admin) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

    Votre administrateur peut également attribuer au compte principal de votre pool d'employés les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

    Rôles requis pour utiliser des identifiants tiers

    Le compte principal de votre pool d'employés doit avoir accès au compte de service de votre instance Vertex AI Workbench, avec des autorisations spécifiques.

    Pour vous assurer que le compte principal du pool d'employés dispose des autorisations nécessaires pour utiliser une instance Vertex AI Workbench avec des identifiants tiers, demandez à votre administrateur d'accorder au compte principal du pool d'employés les rôles IAM suivants sur le compte de service que vous spécifierez lorsque vous créerez votre instance :

    Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

    Votre administrateur peut également attribuer au compte principal du pool d'employés les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

    Créer l'instance à l'aide d'identifiants tiers

    Pour vous assurer que votre instance Vertex AI Workbench contient un domaine byoid.googleusercontent.com, vous devez effectuer l'une des opérations suivantes :

    • Créez l'instance à l'aide de la console de fédération d'identité du personnel Google Cloud.

    • Utilisez l'option enable_third_party_identity lorsque vous créez votre instance.

    Vous pouvez créer Vertex AI Workbench à l'aide d'identifiants tiers à l'aide de la consoleGoogle Cloud ou de gcloud CLI :

    Console

    1. Connectez-vous à la console Google Cloud à l'aide d'un fournisseur de pools de personnel.

      Accéder à la console

    2. Dans la console Google Cloud , accédez à la page Instances.

      Accéder à la page "Instances"

    3. Cliquez sur Créer.

    4. Dans la boîte de dialogue Nouvelle instance, cliquez sur Options avancées.

    5. Dans la boîte de dialogue Créer une instance, dans la section IAM et sécurité, procédez comme suit:

      1. Assurez-vous que l'option Compte de service est sélectionnée.

      2. Décochez la case Utiliser le compte de service Compute Engine par défaut, puis saisissez l'adresse e-mail du compte de service associé à votre compte principal dans le champ Adresse e-mail du compte de service.

    6. Cliquez sur Créer.

      Vertex AI Workbench crée une instance et la démarre automatiquement. Lorsque l'instance est prête à l'emploi, Vertex AI Workbench active automatiquement un lien Ouvrir JupyterLab.

    gcloud

    Suivez le guide IAM pour authentifier gcloud CLI avec un pool d'identités de personnel.

    Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

    • INSTANCE_NAME : nom de votre instance Vertex AI Workbench. Ce nom doit commencer par une lettre, suivie de 62 caractères (lettres minuscules, chiffres ou traits d'union (-)), et ne peut pas se terminer par un trait d'union.
    • PROJECT_ID : ID de votre projet.
    • LOCATION : zone dans laquelle vous souhaitez placer votre instance.
    • VM_IMAGE_PROJECT : ID du projet Google Cloud auquel appartient l'image de VM, au format : projects/IMAGE_PROJECT_ID
    • VM_IMAGE_NAME : nom complet de l'image. Pour trouver le nom d'image d'une version spécifique, consultez la page Rechercher la version spécifique.
    • MACHINE_TYPE : type de machine de la VM de votre instance
    • METADATA : métadonnées personnalisées à appliquer à cette instance. Par exemple, pour spécifier un script post-démarrage, vous pouvez utiliser le tag de métadonnées post-startup-script au format "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh".
    • SERVICE_ACCOUNT_EMAIL : adresse e-mail du compte de service associé à votre compte principal de pool d'employés

    Exécutez la commande suivante :

    Linux, macOS ou Cloud Shell

    gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL \
    --enable-third-party-identity

    Windows (PowerShell)

    gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL `
    --enable-third-party-identity

    Windows (cmd.exe)

    gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL ^
    --enable-third-party-identity

    Pour en savoir plus sur la commande permettant de créer une instance à partir de la ligne de commande, consultez la documentation de la gcloud CLI.

    Vertex AI Workbench crée une instance et la démarre automatiquement. Lorsque l'instance est prête à l'emploi, Vertex AI Workbench active un lien Ouvrir JupyterLab dans la console Google Cloud .

    Accéder à JupyterLab avec des identifiants tiers

    Votre nouvelle instance Vertex AI Workbench crée deux URL proxy distinctes avec les domaines suivants :

    • byoid.googleusercontent.com : ce domaine ne peut être utilisé que par les utilisateurs qui s'authentifient avec un pool d'identités de personnel. Sa valeur est stockée dans le champ de métadonnées proxy-byoid-url de votre instance. Cette valeur de métadonnées active un lien Ouvrir JupyterLab dans la console de la fédération des identités des employésGoogle Cloud (console.cloud.google/).

    • googleusercontent.com : ce domaine ne peut être utilisé que par les utilisateurs qui s'authentifient avec l'authentification propriétaire de Google par défaut. Sa valeur est stockée dans le champ de métadonnées proxy-url de votre instance. Cette valeur de métadonnées active un lien Ouvrir JupyterLab dans la consoleGoogle Cloud (console.cloud.google.com).

    Étapes suivantes