Gemini アクセス用のサービス アカウントを設定する

このページでは、Gemini サービスとの通信を許可するようにサービス アカウントを設定する方法について説明します。

始める前に

Gemini アクセス用のサービス アカウントを設定するには、顧客組織と Gemini 組織の両方で OpenID Connect（OIDC）クライアントが利用可能で、ID プロバイダが構成されていることを確認する必要があります。

OIDC クライアントの作成方法を学習する。

サービス アカウントを作成する

Gemini アクセス用のサービス アカウントを設定する手順は次のとおりです。

1. Gemini 組織で、次の操作を行います。

   1. プロジェクトを作成する。
   2. プロジェクト IAM 管理者（project-iam-admin）ロールを取得します。詳細については、IAM-R0005 ランブックをご覧ください。
   3. 作成したプロジェクトにサービス アカウントを作成します。
   4. 作成したサービス アカウントに AI Large Gemini モデル ユーザーのロールを付与します。アクセス権を付与する方法については、ロール バインディングを設定するをご覧ください。
   5. 作成したサービス アカウントのサービスキー ファイル（genai-router-access-secret.json）を作成します。詳細については、鍵ペアを作成して追加するをご覧ください。

2. 顧客の組織にログインします。

3. お客様の組織で、次の操作を行います。

   1. 組織インフラストラクチャ クラスタにアクセスするための kubeconfig ファイルを取得します。詳細については、kubeconfig ファイルを手動で生成するをご覧ください。
   2. aics-system Namespace で Inference Gateway Secret 管理者（inference-gateway-secret-admin）ロールを取得します。詳細については、IAM-R0005 ランブックをご覧ください。

   3. 以前に生成したサービスキー ファイルから、組織インフラストラクチャ クラスタに Secret を作成します。

      KUBECONFIG=KUBECONFIG_PATH
      
      kubectl create secret generic genai-router-access-secret \
          --from-file=genai-router-access-secret.json \
          --namespace=aics-system
      

      KUBECONFIG_PATH は、組織のインフラストラクチャ クラスタにアクセスするための kubeconfig ファイルのパスに置き換えます。

      IAC を通じてオペレーションを追跡します。詳細については、IAC-R0004 ランブックをご覧ください。

次のステップ

• お客様の組織に主要コンポーネントをデプロイする