Halaman ini diterjemahkan oleh Cloud Translation API.

Melakukan Autentikasi ke Vertex AI

Dokumen ini menjelaskan cara melakukan autentikasi ke Vertex AI secara terprogram. Cara Anda melakukan autentikasi ke Vertex AI bergantung pada antarmuka yang Anda gunakan untuk mengakses API dan lingkungan tempat kode Anda dijalankan.

Untuk mengetahui informasi tentang penggunaan Vertex AI API, lihat Ringkasan penggunaan API. Jika Anda mencoba melakukan autentikasi ke Vertex AI Workbench, lihat Mengautentikasi ke Vertex AI Workbench.

Untuk mengetahui informasi selengkapnya tentang autentikasi Google Cloud, lihat ringkasan autentikasi.

Akses API

Vertex AI mendukung akses terprogram. Anda dapat mengakses API di cara berikut:

Library klien
Google Cloud CLI
REST

Library klien

Library klien Vertex AI menyediakan dukungan bahasa tingkat tinggi untuk autentikasi ke Vertex AI secara terprogram. Untuk mengautentikasi panggilan ke Google Cloud API, library klien mendukung Kredensial Default Aplikasi (ADC); library akan mencari kredensial di satu set lokasi yang ditentukan dan menggunakan kredensial tersebut untuk mengautentikasi permintaan ke API. Dengan ADC, Anda dapat membuat yang tersedia untuk aplikasi Anda di berbagai lingkungan, seperti lokal pengembangan atau produksi, tanpa perlu mengubah kode aplikasi.

Google Cloud CLI

Saat menggunakan gcloud CLI untuk mengakses Vertex AI, Anda login ke gcloud CLI dengan pengguna yang menyediakan kredensial yang digunakan oleh perintah gcloud CLI.

Jika kebijakan keamanan organisasi Anda mencegah akun pengguna memiliki izin yang diperlukan, Anda dapat menggunakan peniruan akun layanan.

Untuk mengetahui informasi selengkapnya, silakan melihat Melakukan autentikasi untuk menggunakan gcloud CLI. Untuk mengetahui informasi lebih lanjut tentang penggunaan gcloud CLI dengan Vertex AI, baca halaman referensi gcloud CLI.

REST

Anda dapat mengotentikasi ke Vertex AI API menggunakan kredensial gcloud CLI atau Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya tentang autentikasi permintaan REST, silakan melihat Melakukan autentikasi untuk menggunakan REST. Untuk mengetahui informasi tentang jenis kredensial, silakan melihat kredensial ADC dan gcloud CLI.

Siapkan autentikasi untuk Vertex AI

Cara Anda menyiapkan autentikasi bergantung pada lingkungan tempat kode Anda berjalan.

Opsi untuk menyiapkan autentikasi berikut adalah yang paling umum digunakan. Untuk selengkapnya pilihan, dan informasi tentang otentikasi, lihat Metode autentikasi.

Sebelum menyelesaikan petunjuk ini, Anda harus menyelesaikan pengaturan dasar untuk Vertex AI, seperti yang dijelaskan dalam Melakukan penyiapan di Google Cloud.

Untuk lingkungan pengembangan lokal

Anda dapat menyiapkan kredensial untuk lingkungan pengembangan lokal dengan cara berikut:

Kredensial pengguna untuk library klien atau alat pihak ketiga
Kredensial pengguna untuk permintaan REST dari command line

Library klien atau alat pihak ketiga

Siapkan Kredensial Default Aplikasi (ADC) di lingkungan lokal Anda:

Install the Google Cloud CLI, then initialize it by running the following command:
```
gcloud init
```
If you're using a local shell, then create local authentication credentials for your user account:
```
gcloud auth application-default login
```
You don't need to do this if you're using Cloud Shell.

Layar login akan muncul. Setelah login, kredensial Anda akan disimpan di file kredensial lokal yang digunakan oleh ADC.

Untuk mengetahui informasi selengkapnya tentang cara bekerja dengan ADC di lingkungan lokal, silakan melihat Lingkungan pengembangan lokal.

Permintaan REST dari command line

Saat membuat permintaan REST dari command line, Anda dapat menggunakan kredensial gcloud CLI dengan menyertakan gcloud auth print-access-token sebagai bagian dari perintah yang mengirimkan permintaan.

Contoh berikut mencantumkan akun layanan untuk project yang ditentukan. Anda dapat menggunakan pola yang sama untuk setiap permintaan REST.

Sebelum menggunakan salah satu data permintaan, buat penggantian berikut:

PROJECT_ID: project ID Google Cloud Anda.

Untuk mengirim permintaan, luaskan salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts"

PowerShell (Windows)

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts" | Select-Object -Expand Content

Untuk mengetahui informasi selengkapnya tentang autentikasi menggunakan REST dan gRPC, lihat Mengautentikasi untuk menggunakan REST. Untuk mengetahui informasi tentang perbedaan antara kredensial ADC lokal dan kredensial gcloud CLI, lihat kredensial ADC dan gcloud CLI.

Di Google Cloud

Untuk mengautentikasi workload yang berjalan di Google Cloud, Anda menggunakan kredensial akun layanan yang dikaitkan ke resource komputasi tempat kode Anda dijalankan, seperti Instance virtual machine (VM) Compute Engine. Pendekatan ini adalah metode autentikasi yang direkomendasikan untuk kode yang berjalan di resource komputasi Google Cloud.

Untuk sebagian besar layanan, Anda harus memasang akun layanan saat membuat resource yang akan menjalankan kode Anda; Anda tidak dapat menambahkan atau mengganti akun layanan nanti. Compute Engine merupakan pengecualian—Anda dapat memasang akun layanan ke instance VM kapan saja.

Gunakan gcloud CLI untuk membuat akun layanan dan memasangnya ke resource Anda:

Install the Google Cloud CLI, then initialize it by running the following command:
```
gcloud init
```
Set up authentication:
1. Create the service account:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
  Replace SERVICE_ACCOUNT_NAME with a name for the service account.
2. To provide access to your project and your resources, grant a role to the service account:
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
```
  Replace the following:
  - SERVICE_ACCOUNT_NAME: the name of the service account
  - PROJECT_ID: the project ID where you created the service account
  - ROLE: the role to grant
  Note: The --role flag affects which resources the service account can access in your project. You can revoke these roles or grant additional roles later. In production environments, do not grant the Owner, Editor, or Viewer roles. Instead, grant a predefined role or custom role that meets your needs.
3. To grant another role to the service account, run the command as you did in the previous step.
4. Grant the required role to the principal that will attach the service account to other resources.
```
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser
```
  Replace the following:
  - SERVICE_ACCOUNT_NAME: the name of the service account
  - PROJECT_ID: the project ID where you created the service account
  - USER_EMAIL: the email address for a Google Account
Buat resource yang akan menjalankan kode Anda, lalu instal akun layanan ke resource tersebut. Misalnya, jika Anda menggunakan Compute Engine:
Create a Compute Engine instance. Configure the instance as follows:
- Ganti INSTANCE_NAME dengan nama instance pilihan Anda.
- Tetapkan flag --zone ke zona tempat Anda ingin membuat instance.
- Tetapkan flag --service-account ke alamat email untuk akun layanan yang Anda buat.

Untuk informasi selengkapnya tentang mengautentikasi ke Google API, lihat Metode autentikasi.

Lokal atau di penyedia cloud lain

Metode yang direkomendasikan untuk menyiapkan autentikasi dari luar Google Cloud adalah menggunakan workload identity federation. Untuk mengetahui informasi selengkapnya, lihat Penyedia lokal atau penyedia cloud lainnya dalam dokumentasi autentikasi.

Kontrol akses untuk Vertex AI

Setelah melakukan autentikasi ke Vertex AI, Anda harus diizinkan untuk mengakses akses terperinci ke resource Google Cloud tertentu. Vertex AI menggunakan Identity and Access Management (IAM) untuk otorisasi.

Untuk informasi selengkapnya tentang peran Vertex AI, lihat Kontrol akses Vertex AI dengan IAM. Untuk mengetahui informasi selengkapnya tentang IAM dan otorisasi, lihat Ringkasan IAM.

Langkah selanjutnya

Pelajari cara melakukan autentikasi ke Vertex AI Workbench.
Pelajari metode autentikasi Google Cloud.
Lihat daftar kasus penggunaan autentikasi.