Membuat instance dengan akses kredensial pengguna

Halaman ini menjelaskan cara membuat instance Vertex AI Workbench yang mengakses Google Cloud layanan dan API melalui kredensial pengguna Anda.

Kredensial pengguna Anda adalah kredensial yang terkait dengan Akun Google Anda. Kredensial pengguna Anda menentukan layanan dan API yang dapat diakses oleh Akun Google Anda. Google Cloud

Secara default, saat Anda menjalankan kode di instance Vertex AI Workbench, instance Anda dapat mengakses layanan dan API Google Cloud menggunakan kredensial yang terkait dengan akun layanan instance Anda. Artinya, instance Anda memiliki akses yang sama ke Google Cloud dengan akun layanan.

Halaman ini menjelaskan cara membuat dan mengonfigurasi instance sehingga instance tersebut memiliki akses yang sama ke Google Cloud dengan kredensial pengguna Anda.

Ringkasan

Vertex AI Workbench menggunakan klien OAuth yang dikelola Google secara global untuk mengelola akses kredensial pengguna, yang diberi cakupan untuk Google Cloud resource dalam project pengguna. Pengguna harus memberikan izin kepada Klien OAuth untuk mengelola kredensial mereka untuk setiap instance Vertex AI Workbench. Tindakan ini dilakukan satu kali per instance melalui dialog yang terbuka saat Anda mengklik tombol Open JupyterLab di konsol Google Cloud .

Akun layanan yang digunakan untuk membuat instance Vertex AI Workbench adalah agen layanan berikut:

service-PROJECT_NUMBER@gcp-sa-notebooks-vm.iam.gserviceaccount.com.

Agen layanan ini memberikan izin terbatas untuk layanan penting seperti mengekspor log. Pengguna tidak dapat menentukan akun layanan lain jika fitur kredensial pengguna akhir diaktifkan.

Instance dengan kredensial pengguna akhir yang diaktifkan memiliki label Compute Engine notebooks-managed-euc: true dan kunci metadata euc-enabled: true yang dilampirkan ke resource VM untuk menunjukkan pengaktifan fitur.

Batasan

Pertimbangkan batasan berikut saat Anda merencanakan project:

  • Vertex AI Workbench menggunakan klien OAuth yang dikelola Google secara global untuk mengelola akses kredensial pengguna. Organisasi tidak dapat menerapkan kontrol terperinci, mengakses klien OAuth, atau menggunakan logging untuk memeriksa penggunaan klien OAuth.

  • Untuk melindungi keamanan instance Vertex AI Workbench dengan kredensial pengguna terkelola, pengguna tidak dapat:

    • Gunakan SSH untuk mengakses instance.
    • Jalankan skrip pasca-startup.
    • Akses halaman VM yang berisi detail.
    • Menggunakan gambar yang tidak dibuat oleh Google.

  • Penggunaan kredensial pihak ketiga tidak didukung karena klien OAuth hanya mendukung kredensial OAuth yang dikelola Google.

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

    Peran yang diperlukan

    Untuk mendapatkan izin yang diperlukan guna membuat instance Vertex AI Workbench, minta administrator Anda untuk memberi Anda peran IAM Notebooks Runner (roles/notebooks.runner) di project tersebut. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran kustom atau peran yang telah ditentukan lainnya.

    Membuat instance pengguna tunggal

    Untuk membuat instance Vertex AI Workbench menggunakan konsol Google Cloud , lakukan hal berikut:

    1. Di konsol Google Cloud , buka halaman Instances.

      Buka Instance

    2. Klik  Buat baru.

    3. Dalam dialog Instance baru, klik Opsi lanjutan.

    4. Pada dialog Buat instance, di bagian Detail, berikan informasi berikut untuk instance baru Anda:

      • Nama: Berikan nama untuk instance baru Anda. Nama harus dimulai dengan huruf, diikuti dengan maksimal 62 huruf kecil, angka, atau tanda hubung (-), dan tidak boleh diakhiri dengan tanda hubung.
      • Region dan Zona: Pilih region dan zona untuk instance baru. Untuk mendapatkan performa jaringan terbaik, pilih region yang paling dekat secara geografis dengan Anda. Lihat lokasi Vertex AI Workbench yang tersedia.

    5. Di bagian IAM and Security, pilih Single user.

    6. Di kolom Email pengguna, masukkan akun pengguna yang ingin Anda beri akses. Jika pengguna yang ditentukan bukan pembuat instance, Anda harus memberikan peran Service Account User (roles/iam.serviceAccountUser) kepada pengguna yang ditentukan di akun layanan instance.

    7. Pilih Aktifkan kredensial pengguna akhir terkelola.

    8. Selesaikan dialog pembuatan instance selanjutnya, lalu klik Buat.

      Vertex AI Workbench membuat sebuah instance dan otomatis memulainya. Saat instance siap digunakan, Vertex AI Workbench akan mengaktifkan link Open JupyterLab di konsol Google Cloud .

    9. Pengguna harus memberikan izin kepada klien OAuth untuk mengelola kredensial mereka untuk setiap instance Vertex AI Workbench. Tindakan ini dilakukan satu kali per instance. Untuk memberikan izin, klik Open JupyterLab dan selesaikan dialog yang muncul.

      Jika Anda mencoba mengakses instance tanpa memberikan izin, JupyterLab akan menampilkan pesan untuk mengautentikasi dengan membuka JupyterLab dari konsolGoogle Cloud .

    10. Untuk memverifikasi bahwa kredensial pengguna akhir Anda tersedia di JupyterLab, buka Terminal di JupyterLab, lalu masukkan perintah berikut:

      gcloud auth list

    Mengautentikasi instance dengan kredensial pengguna Anda

    Vertex AI Workbench dapat menggunakan Kredensial Default Aplikasi (ADC) untuk mengautentikasi kredensial pengguna Anda ke Google Cloud layanan dan API. Bagian ini menjelaskan cara memberikan kredensial pengguna Anda ke ADC jika ada batasan yang mencegah Anda mengaktifkan kredensial terkelola.

    Langkah-langkah autentikasi bergantung pada apakah Anda menggunakan Akun Google atau kredensial pihak ketiga.

    Akun Google

    Setelah Anda dapat mengakses JupyterLab di instance, lakukan hal berikut:

    1. Di konsol Google Cloud , buka halaman Instances.

      Buka Instance

    2. Di samping nama instance, klik Open JupyterLab.

    3. Di JupyterLab, pilih File > New > Terminal.

    4. Di jendela terminal, jalankan perintah berikut:

      gcloud auth login

    5. Masukkan Y.

    6. Ikuti petunjuk untuk menyalin kode verifikasi dan memasukkannya ke terminal.

    Kredensial pihak ketiga

    Jika Anda membuat instance dengan kredensial pihak ketiga, maka setelah proxy JupyterLab tersedia, lakukan hal berikut:

    1. Buka JupyterLab menggunakan proxy JupyterLab gabungan.

    2. Di JupyterLab, pilih File > New > Terminal.

    3. Buat file kredensial Workforce Identity Federation dengan login tanpa browser.

    4. Di jendela terminal, jalankan perintah berikut:

      gcloud auth login --cred-file="CREDENTIAL_FILE"

      Ganti CREDENTIAL_FILE dengan jalur dan nama file kredensial yang Anda buat.

    5. Ikuti petunjuk untuk melakukan autentikasi melalui portal autentikasi pihak ketiga.

    6. Konfirmasi bahwa kredensial Anda dapat diakses melalui instance Anda dengan menggunakan perintah berikut:

      gcloud auth list