建立具有使用者憑證存取權的執行個體
本頁說明如何建立 Vertex AI Workbench 執行個體,透過使用者憑證存取 Google Cloud 服務和 API。
使用者憑證是與 Google 帳戶相關聯的憑證。 使用者憑證會決定 Google 帳戶可存取哪些服務和 API。 Google Cloud
根據預設,在 Vertex AI Workbench 執行個體中執行程式碼時,執行個體可以使用與執行個體服務帳戶相關聯的憑證,存取 Google Cloud 服務和 API。這表示執行個體與服務帳戶具有相同的 Google Cloud 存取權。
本頁說明如何建立及設定執行個體,使其與使用者憑證具有相同的 Google Cloud 存取權。
總覽
Vertex AI Workbench 會使用全域 Google 代管的 OAuth 用戶端,管理使用者憑證存取權,範圍限定為使用者專案中的 Google Cloud 資源。使用者必須授予 OAuth 用戶端管理每個 Vertex AI Workbench 執行個體憑證的權限。您只需在 Google Cloud 控制台中按一下「Open JupyterLab」按鈕,即可透過開啟的對話方塊,為每個執行個體完成這項操作。
用於建立 Vertex AI Workbench 執行個體的服務帳戶是下列服務代理:
service-PROJECT_NUMBER@gcp-sa-notebooks-vm.。
這項服務代理程式會提供有限的權限,用於匯出記錄等基本服務。如果啟用使用者憑證功能,使用者就無法指定其他服務帳戶。
啟用使用者憑證的執行個體會在 VM 資源附加下列運算標籤,表示已啟用這項功能:notebooks-managed-euc: true。
限制
規劃專案時,請注意下列限制:
Vertex AI Workbench 會使用全域 Google 代管的 OAuth 用戶端,管理使用者憑證存取權。機構無法實施精細的控制措施、存取 OAuth 用戶端,或使用記錄檔檢查 OAuth 用戶端的使用情形。
為保護使用受管理使用者憑證的 Vertex AI Workbench 執行個體安全,使用者無法:
- 使用 SSH 存取執行個體。
- 執行開機後指令碼。
- 存取 VM 詳細資料頁面。
- 使用非 Google 製作的圖片。
OAuth 用戶端只支援 Google 代管的 OAuth 憑證,因此不支援使用第三方憑證。
事前準備
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
前往 Google Cloud 控制台的「Instances」(執行個體) 頁面。
按一下「建立新標籤」。
在「New instance」對話方塊中,按一下「Advanced options」。
在「建立執行個體」對話方塊的「詳細資料」部分,為新執行個體提供下列資訊:
- 名稱:為新執行個體命名。名稱開頭須為英文字母,後面最多可接 62 個小寫英文字母、數字或連字號 (-),但結尾不得為連字號。
- 「Region」(地區)和「Zone」(區域):選取新執行個體的地區和區域。如要獲得最佳網路效能,請選取最靠近您的地理區域。請參閱可用的 Vertex AI Workbench 位置。
在「IAM and Security」(IAM 和安全性) 專區中,選取「Single user」(單一使用者)。
在「使用者電子郵件」欄位中,輸入要授予存取權的使用者帳戶。如果指定的使用者不是執行個體的建立者,您必須將執行個體服務帳戶的服務帳戶使用者角色 (
roles/iam.serviceAccountUser) 授予指定使用者。選取「啟用代管使用者憑證」。
完成執行個體建立對話方塊的其餘部分,然後按一下「建立」。
Vertex AI Workbench 會建立執行個體並自動啟動。執行個體可供使用時,Vertex AI Workbench 會在 Google Cloud 控制台中啟用「Open JupyterLab」(開啟 JupyterLab) 連結。
使用者必須授權 OAuth 用戶端管理每個 Vertex AI Workbench 執行個體的憑證。每個執行個體只需執行一次。如要授予同意聲明,請按一下「Open JupyterLab」,然後完成顯示的對話方塊。
如果您嘗試在未授予同意聲明的情況下存取執行個體,JupyterLab 會顯示訊息,要求您從Google Cloud 控制台開啟 JupyterLab 來進行驗證。
如要確認 JupyterLab 中是否提供使用者憑證,請在 JupyterLab 中開啟終端機,然後輸入下列指令:
gcloud auth list
前往 Google Cloud 控制台的「Instances」(執行個體) 頁面。
按一下執行個體名稱旁的「Open JupyterLab」。
在 JupyterLab 中,依序選取「File」>「New」>「Terminal」。
在終端機視窗中執行下列指令:
gcloud auth login
輸入
Y。按照指示複製驗證碼,然後輸入終端機。
使用同盟 JupyterLab Proxy 開啟 JupyterLab。
在 JupyterLab 中,依序選取「File」>「New」>「Terminal」。
使用無頭登入建立員工身分聯盟 憑證檔案。
在終端機視窗中執行下列指令:
gcloud auth login --cred-file="CREDENTIAL_FILE"
將 CREDENTIAL_FILE 替換為您建立的憑證檔案路徑和名稱。
按照操作說明透過第三方驗證入口網站進行驗證。
使用下列指令,確認執行個體可存取您的憑證:
gcloud auth list
必要的角色
如要取得建立 Vertex AI Workbench 執行個體所需的權限,請要求管理員授予您專案的筆記本執行者 (roles/notebooks.runner) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
建立單一使用者執行個體
如要使用 Google Cloud 控制台建立 Vertex AI Workbench 執行個體,請按照下列步驟操作:
使用使用者憑證驗證執行個體
Vertex AI Workbench 可以使用應用程式預設憑證 (ADC) 向 Google Cloud 服務和 API 驗證使用者憑證。如果因任何限制而無法啟用代管憑證,本節將說明如何向 ADC 提供使用者憑證。
驗證步驟取決於您使用的是 Google 帳戶或第三方憑證。
Google 帳戶
在執行個體上存取 JupyterLab 後,請執行下列操作:
第三方憑證
如果您使用第三方憑證建立執行個體,請在 JupyterLab Proxy 可用後執行下列操作: