Instanz mit Zugriff auf Nutzeranmeldedaten erstellen

Auf dieser Seite wird beschrieben, wie Sie eine Vertex AI Workbench-Instanz erstellen, die über Ihre Nutzeranmeldedaten auf Google Cloud -Dienste und ‑APIs zugreift.

Ihre Nutzeranmeldedaten sind die Anmeldedaten, die mit Ihrem Google-Konto verknüpft sind. Ihre Nutzeranmeldedaten bestimmen, auf welche Google Cloud Dienste und APIs Ihr Google-Konto Zugriff hat.

Wenn Sie Code in einer Vertex AI Workbench-Instanz ausführen, kann Ihre Instanz standardmäßig auf Google Cloud Dienste und APIs zugreifen. Dazu werden die Anmeldedaten verwendet, die mit dem Dienstkonto Ihrer Instanz verknüpft sind. Das bedeutet, dass Ihre Instanz denselben Zugriff auf Google Cloud hat wie das Dienstkonto.

Auf dieser Seite wird beschrieben, wie Sie eine Instanz erstellen und konfigurieren, damit sie denselben Zugriff auf Google Cloud hat wie Ihre Nutzeranmeldedaten.

Übersicht

Vertex AI Workbench verwendet einen globalen, von Google verwalteten OAuth-Client, um den Zugriff auf Nutzeranmeldedaten zu verwalten, die auf die Google Cloud Ressourcen im Projekt des Nutzers beschränkt sind. Nutzer müssen dem OAuth-Client die Einwilligung erteilen, ihre Anmeldedaten für jede Vertex AI Workbench-Instanz zu verwalten. Dies erfolgt einmal pro Instanz über ein Dialogfeld, das geöffnet wird, wenn Sie in der Google Cloud -Konsole auf die Schaltfläche JupyterLab öffnen klicken.

Das Dienstkonto, das zum Erstellen der Vertex AI Workbench-Instanz verwendet wird, ist der folgende Dienst-Agent:

service-PROJECT_NUMBER@gcp-sa-notebooks-vm.iam.gserviceaccount.com.

Dieser Dienst-Agent bietet eingeschränkte Berechtigungen für wichtige Dienste wie den Export von Logs. Nutzer können kein anderes Dienstkonto angeben, wenn die Funktion für Endnutzeranmeldedaten aktiviert ist.

Instanzen, für die Endnutzeranmeldedaten aktiviert sind, haben das Compute Engine-Label notebooks-managed-euc: true und den Metadatenschlüssel euc-enabled: true, die an die VM-Ressource angehängt sind, um die Aktivierung des Features anzugeben.

Beschränkungen

Beachten Sie beim Planen Ihres Projekts die folgenden Einschränkungen:

  • Vertex AI Workbench verwendet einen globalen von Google verwalteten OAuth-Client, um den Zugriff auf Nutzeranmeldedaten zu verwalten. Organisationen können keine detaillierten Einstellungen vornehmen, auf den OAuth-Client zugreifen oder Protokollierung verwenden, um die Verwendung des OAuth-Clients zu prüfen.

  • Zum Schutz der Sicherheit von Vertex AI Workbench-Instanzen mit verwalteten Nutzeranmeldedaten können Nutzer Folgendes nicht tun:

    • Stellen Sie mit SSH eine Verbindung zur Instanz her.
    • Führen Sie ein Post-Startscript aus.
    • Rufen Sie die detaillierte VM-Seite auf.
    • Verwenden Sie ein Bild, das nicht von Google erstellt wurde.

  • Die Verwendung von Anmeldedaten von Drittanbietern wird nicht unterstützt, da der OAuth-Client nur von Google verwaltete OAuth-Anmeldedaten unterstützt.

Hinweise

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

    Erforderliche Rollen

    Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Notebooks-Ausführer (roles/notebooks.runner) für das Projekt zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer Vertex AI Workbench-Instanz benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

    Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

    Einzelne Nutzerinstanz erstellen

    So erstellen Sie eine Vertex AI Workbench-Instanz mit der Google Cloud Console:

    1. Rufen Sie in der Google Cloud Console die Seite Instanzen auf.

      Zur Seite „VM-Instanzen“

    2. Klicken Sie auf  NEU ERSTELLEN.

    3. Klicken Sie im Dialogfeld Neue Instanz auf Erweiterte Optionen.

    4. Geben Sie im Dialogfeld Instanz erstellen im Abschnitt Details die folgenden Informationen für Ihre neue Instanz ein:

      • Notebookname: Geben Sie einen Namen für Ihre neue Instanz ein. Der Name muss mit einem Buchstaben beginnen, gefolgt von bis zu 62 Kleinbuchstaben, Ziffern oder Bindestrichen (-), und darf nicht mit einem Bindestrich enden.
      • Region und Zone: Wählen Sie eine Region und eine Zone für die neue Instanz aus. Wählen Sie für eine optimale Netzwerkleistung die Region aus, die Ihnen geografisch am nächsten liegt. Verfügbare Vertex AI Workbench-Standorte

    5. Wählen Sie im Bereich IAM und Sicherheit die Option Einzelner Nutzer aus.

    6. Geben Sie im Feld E-Mail-Adresse des Nutzers das Nutzerkonto ein, dem Sie Zugriff gewähren möchten. Wenn der angegebene Nutzer nicht der Ersteller der Instanz ist, müssen Sie ihm die Rolle Dienstkontonutzer (roles/iam.serviceAccountUser) für das Dienstkonto der Instanz zuweisen.

    7. Wählen Sie Verwaltete Anmeldedaten von Endnutzern aktivieren aus.

    8. Schließen Sie den Rest des Dialogfelds zur Instanzerstellung ab und klicken Sie dann auf Erstellen.

      Vertex AI Workbench erstellt eine Instanz und startet sie automatisch. Sobald die Instanz einsatzbereit ist, aktiviert Vertex AI Workbench den Link JupyterLab öffnen in der Google Cloud Console.

    9. Nutzer müssen dem OAuth-Client die Einwilligung erteilen, ihre Anmeldedaten für jede Vertex AI Workbench-Instanz zu verwalten. Dies muss nur einmal pro Instanz erfolgen. Klicken Sie zum Erteilen der Einwilligung auf JupyterLab öffnen und füllen Sie das angezeigte Dialogfeld aus.

      Wenn Sie versuchen, auf die Instanz zuzugreifen, ohne die Einwilligung zu erteilen, wird in JupyterLab eine Meldung angezeigt, in der Sie aufgefordert werden, sich zu authentifizieren, indem Sie JupyterLab über dieGoogle Cloud -Konsole öffnen.

    10. So prüfen Sie, ob die Anmeldedaten des Endnutzers in JupyterLab verfügbar sind: Öffnen Sie ein Terminal in JupyterLab und geben Sie den folgenden Befehl ein:

      gcloud auth list

    Instance mit Ihren Nutzeranmeldedaten authentifizieren

    Vertex AI Workbench kann Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) verwenden, um Ihre Nutzeranmeldedaten für Google Cloud -Dienste und APIs zu authentifizieren. In diesem Abschnitt wird beschrieben, wie Sie Ihre Nutzeranmeldedaten für ADC bereitstellen, wenn Sie verwaltete Anmeldedaten aufgrund der Einschränkungen nicht aktivieren können.

    Die Authentifizierungsschritte hängen davon ab, ob Sie ein Google-Konto oder Anmeldedaten eines Drittanbieters verwenden.

    Google-Konto

    Nachdem Sie auf JupyterLab in Ihrer Instanz zugreifen können, gehen Sie so vor:

    1. Rufen Sie in der Google Cloud Console die Seite Instanzen auf.

      Zur Seite „VM-Instanzen“

    2. Klicken Sie neben dem Namen Ihrer Instanz auf JupyterLab öffnen.

    3. Wählen Sie in JupyterLab Datei > Neu > Terminal aus.

    4. Führen Sie im Terminalfenster Folgendes aus:

      gcloud auth login

    5. Geben Sie Y ein.

    6. Folgen Sie der Anleitung, um einen Bestätigungscode zu kopieren und in das Terminal einzugeben.

    Anmeldedaten von Drittanbietern

    Wenn Sie eine Instanz mit Drittanbieteranmeldedaten erstellt haben, gehen Sie nach der Verfügbarkeit des JupyterLab-Proxys so vor:

    1. Öffnen Sie JupyterLab über den föderierten JupyterLab-Proxy.

    2. Wählen Sie in JupyterLab Datei > Neu > Terminal aus.

    3. Erstellen Sie eine Datei mit Anmeldedaten für die Workforce Identity-Föderation mit der Headless-Anmeldung.

    4. Führen Sie im Terminalfenster Folgendes aus:

      gcloud auth login --cred-file="CREDENTIAL_FILE"

      Ersetzen Sie CREDENTIAL_FILE durch den Pfad und den Namen der von Ihnen erstellten Anmeldedatendatei.

    5. Folgen Sie der Anleitung, um sich über das Authentifizierungsportal des Drittanbieters zu authentifizieren.

    6. Prüfen Sie mit dem folgenden Befehl, ob Ihre Anmeldedaten über Ihre Instanz zugänglich sind:

      gcloud auth list