Crear una instancia con credenciales de terceros

En esta página se describe cómo crear una instancia de Vertex AI Workbench con credenciales de terceros.

Información general

Puedes crear y gestionar instancias de Vertex AI Workbench con credenciales de terceros proporcionadas por la federación de identidades de la fuerza de trabajo. La federación de identidades de Workforce usa tu proveedor de identidades (IdP) externo para conceder acceso a un grupo de usuarios a instancias de Vertex AI Workbench a través de un proxy.

El acceso a una instancia de Vertex AI Workbench se concede asignando un principal de grupo de trabajadores a la cuenta de servicio de la instancia de Vertex AI Workbench.

Antes de empezar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.
  8. Configura tu IdP con un grupo de identidades de empleados.

    9. Rol necesario para crear una instancia

    Para asegurarte de que tu principal del grupo de trabajo tiene los permisos necesarios para crear una instancia de Vertex AI Workbench, pide a tu administrador que le conceda el rol de gestión de identidades y accesos Administrador de cuadernos (roles/notebooks.admin) en el proyecto. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

    Es posible que tu administrador también pueda conceder a la entidad de seguridad de tu grupo de trabajadores los permisos necesarios a través de roles personalizados u otros roles predefinidos.

    Roles necesarios para usar credenciales de terceros

    El principal de tu grupo de trabajadores necesita acceso a la cuenta de servicio de tu instancia de Vertex AI Workbench, con permisos específicos.

    Para asegurarte de que la entidad de seguridad del grupo de trabajadores tenga los permisos necesarios para usar una instancia de Vertex AI Workbench con credenciales de terceros, pide a tu administrador que le conceda los siguientes roles de gestión de identidades y accesos en la cuenta de servicio que especificarás al crear la instancia:

    Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

    Es posible que tu administrador también pueda conceder al principal del grupo de trabajo los permisos necesarios a través de roles personalizados u otros roles predefinidos.

    Crea la instancia con las credenciales de terceros

    Para asegurarte de que tu instancia de Vertex AI Workbench contiene un dominio byoid.googleusercontent.com, debes hacer una de las siguientes acciones:

    • Crea la instancia con la consola de Google CloudFederación de Identidades de Workforce.

    • Usa la marca enable_third_party_identity al crear la instancia.

    Puedes crear un Vertex AI Workbench con credenciales de terceros mediante la Google Cloud consola o la CLI de gcloud:

    Consola

    1. Inicia sesión en la Google Cloud consola con un proveedor de grupo de trabajadores.

      Ir a la consola

    2. En la consola, ve a la página Instancias. Google Cloud

      Ir a Instancias

    3. Haz clic en  Crear.

    4. En el cuadro de diálogo Nueva instancia, haz clic en Opciones avanzadas.

    5. En el cuadro de diálogo Crear instancia, en la sección IAM y seguridad, haga lo siguiente:

      1. Asegúrate de que esté seleccionada la opción Cuenta de servicio.

      2. Desmarca Usar la cuenta de servicio predeterminada de Compute Engine y, a continuación, en el campo Correo de la cuenta de servicio, introduce la dirección de correo de la cuenta de servicio asociada a tu principal de la fuerza de trabajo.

    6. Haz clic en Crear.

      Vertex AI Workbench crea una instancia y la inicia automáticamente. Cuando la instancia esté lista para usarse, Vertex AI Workbench activará el enlace Abrir JupyterLab.

    gcloud

    Sigue la guía de gestión de identidades y accesos para autenticar la CLI de gcloud con un grupo de identidades de la plantilla.

    --enable-third-party-identity

    Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

    • INSTANCE_NAME: el nombre de tu instancia de Vertex AI Workbench. Debe empezar por una letra seguida de un máximo de 62 letras minúsculas, números o guiones (-), y no puede acabar en guion.
    • PROJECT_ID: tu ID de proyecto
    • LOCATION: la zona en la que quieres que se encuentre tu instancia
    • VM_IMAGE_PROJECT: el ID del proyecto al que pertenece la imagen de VM, en el formato Google Cloud projects/IMAGE_PROJECT_ID
    • VM_IMAGE_NAME: el nombre completo de la imagen. Para encontrar el nombre de la imagen de una versión específica, consulta Buscar la versión específica.
    • MACHINE_TYPE: el tipo de máquina de la máquina virtual de tu instancia
    • METADATA: metadatos personalizados que se aplicarán a esta instancia. Por ejemplo, para especificar un script posterior al inicio, puedes usar la etiqueta de metadatos post-startup-script con el siguiente formato: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
    • SERVICE_ACCOUNT_EMAIL: la dirección de correo de la cuenta de servicio asociada a tu principal de la plantilla

    Ejecuta el siguiente comando:

    Linux, macOS o Cloud Shell

    gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL

    Windows (PowerShell)

    gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL

    Windows (cmd.exe)

    gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL

    Para obtener más información sobre el comando para crear una instancia desde la línea de comandos, consulta la documentación de la CLI de gcloud.

    Vertex AI Workbench crea una instancia y la inicia automáticamente. Cuando la instancia esté lista para usarse, Vertex AI Workbench activará un enlace Abrir JupyterLab en la consola. Google Cloud

    Acceder a JupyterLab con credenciales de terceros

    Tu nueva instancia de Vertex AI Workbench crea dos URLs de proxy independientes con los siguientes dominios:

    • byoid.googleusercontent.com: Este dominio solo lo pueden usar los usuarios que se autentiquen con un grupo de identidades de Workforce. Su valor se almacena en el campo de metadatos proxy-byoid-url de su instancia. Este valor de metadatos activa un enlace Abrir JupyterLab en la Google Cloudconsola de federación de identidades de la plantilla (console.cloud.google/).

    • googleusercontent.com: Este dominio solo lo pueden usar los usuarios que se autentiquen con la autenticación predeterminada de terceros de Google. Su valor se almacena en el campo de metadatos proxy-url de su instancia. Este valor de metadatos activa un enlace Abrir JupyterLab en laGoogle Cloud consola (console.cloud.google.com).

    Siguientes pasos

    • Para obtener más información sobre los principales de terceros que se pueden usar para aprovisionar cuadernos, consulta Workforce Identity Federation.