Crie uma instância com credenciais de terceiros

Esta página descreve como criar uma instância do Vertex AI Workbench com credenciais de terceiros.

Vista geral

Pode criar e gerir instâncias do Vertex AI Workbench com credenciais de terceiros fornecidas pela Workforce Identity Federation. A federação de identidades da força de trabalho usa o seu fornecedor de identidade (IdP) externo para conceder a um grupo de utilizadores acesso a instâncias do Vertex AI Workbench através de um proxy.

O acesso a uma instância do Vertex AI Workbench é concedido através da atribuição de um principal do workforce pool à conta de serviço da instância do Vertex AI Workbench.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.
  8. Configure o seu IdP com um workforce identity pool.

    9. Função necessária para criar uma instância

    Para garantir que o principal do pool de força de trabalho tem as autorizações necessárias para criar uma instância do Vertex AI Workbench, peça ao seu administrador para conceder ao principal do pool de força de trabalho a função de IAM Notebooks Admin (roles/notebooks.admin) no projeto. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

    O administrador também pode conceder ao principal do seu conjunto de trabalhadores as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

    Funções necessárias para usar credenciais de terceiros

    O principal do conjunto de colaboradores precisa de acesso à conta de serviço da instância do Vertex AI Workbench, com autorizações específicas.

    Para garantir que o principal do pool de força de trabalho tem as autorizações necessárias para usar uma instância do Vertex AI Workbench com credenciais de terceiros, peça ao seu administrador para conceder ao principal do pool de força de trabalho as seguintes funções do IAM na conta de serviço que vai especificar quando criar a instância:

    Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

    O administrador também pode conceder ao principal do conjunto de trabalhadores as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

    Crie a instância com credenciais de terceiros

    Para garantir que a sua instância do Vertex AI Workbench contém um domínio byoid.googleusercontent.com, tem de fazer uma das seguintes ações:

    • Crie a instância através da Google Cloud consola de federação de identidade da força de trabalho.

    • Use a flag enable_third_party_identity quando criar a instância.

    Pode criar um Vertex AI Workbench com credenciais de terceiros através da Google Cloud consola ou da CLI gcloud:

    Consola

    1. Inicie sessão na Google Cloud consola através de um fornecedor do grupo de trabalhadores.

      Aceder à consola

    2. Na Google Cloud consola, aceda à página Instâncias.

      Aceda a Instâncias

    3. Clique em  Criar novo.

    4. Na caixa de diálogo Nova instância, clique em Opções avançadas.

    5. Na caixa de diálogo Criar instância, na secção IAM e segurança, faça o seguinte:

      1. Certifique-se de que a opção Conta de serviço está selecionada.

      2. Desmarque a opção Usar conta de serviço do Compute Engine predefinida e, de seguida, no campo Email da conta de serviço, introduza o endereço de email da conta de serviço associado ao seu principal da força de trabalho.

    6. Clique em Criar.

      O Vertex AI Workbench cria uma instância e inicia-a automaticamente. Quando a instância estiver pronta a usar, o Vertex AI Workbench ativa um link Abrir JupyterLab.

    gcloud

    Siga o guia do IAM para autenticar a CLI gcloud com um Workforce Identity Pool.

    Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

    • INSTANCE_NAME: o nome da sua instância do Vertex AI Workbench; tem de começar por uma letra seguida de até 62 letras minúsculas, números ou hífenes (-) e não pode terminar com um hífen
    • PROJECT_ID: o ID do seu projeto
    • LOCATION: a zona onde quer que a sua instância esteja localizada
    • VM_IMAGE_PROJECT: o ID do projeto ao qual a imagem de VM pertence, no formato: projects/IMAGE_PROJECT_ID Google Cloud
    • VM_IMAGE_NAME: o nome completo da imagem; para encontrar o nome da imagem de uma versão específica, consulte Encontre a versão específica
    • MACHINE_TYPE: o tipo de máquina da VM da sua instância
    • METADATA: metadados personalizados a aplicar a esta instância; por exemplo, para especificar um script de pós-arranque, pode usar a etiqueta de metadados post-startup-script no formato: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
    • SERVICE_ACCOUNT_EMAIL: o endereço de email da conta de serviço que está associado ao seu principal da força de trabalho

    Execute o seguinte comando:

    Linux, macOS ou Cloud Shell

    gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL \
    --enable-third-party-identity

    Windows (PowerShell)

    gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL `
    --enable-third-party-identity

    Windows (cmd.exe)

    gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL ^
    --enable-third-party-identity

    Para mais informações sobre o comando para criar uma instância a partir da linha de comandos, consulte a documentação da CLI gcloud.

    O Vertex AI Workbench cria uma instância e inicia-a automaticamente. Quando a instância estiver pronta a usar, o Vertex AI Workbench ativa um link Abrir JupyterLab na Google Cloud consola.

    Aceda ao Jupyterlab com credenciais de terceiros

    A sua nova instância do Vertex AI Workbench cria dois URLs de proxy separados com os seguintes domínios:

    • byoid.googleusercontent.com: este domínio só pode ser usado por utilizadores que se autentiquem com um conjunto de identidades de trabalhadores. O respetivo valor é armazenado no campo de metadados proxy-byoid-url da instância. Este valor de metadados ativa um link Abrir JupyterLab na Google Cloud consola da federação de identidade da força de trabalho (console.cloud.google/).

    • googleusercontent.com: este domínio só pode ser usado por utilizadores que se autentiquem com a autenticação original da Google predefinida. O respetivo valor é armazenado no campo de metadados proxy-url da sua instância. Este valor de metadados ativa um link Abrir JupyterLab naGoogle Cloud consola (console.cloud.google.com).

    O que se segue?