Creare un'istanza con credenziali di terze parti
Questa pagina descrive come creare un'istanza di Vertex AI Workbench con le credenziali di terze parti.
Panoramica
Puoi creare e gestire istanze di Vertex AI Workbench con le credenziali di terze parti fornite da Workforce Identity Federation. La federazione delle identità della forza lavoro utilizza il tuo provider di identità (IdP) esterno per concedere a un gruppo di utenti l'accesso alle istanze di Vertex AI Workbench tramite un proxy.
L'accesso a un'istanza di Vertex AI Workbench viene concesso assegnando un principale del pool di risorse umane all'account di servizio dell'istanza di Vertex AI Workbench.
Prima di iniziare
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
- Configura l'IdP con un pool di identità di forza lavoro.
Ruolo richiesto per la creazione di un'istanza
Per assicurarti che il principale del pool di risorse umane disponga delle autorizzazioni necessarie per creare un'istanza di Vertex AI Workbench,
chiedi all'amministratore di concedere al principale del pool di risorse umane il ruolo IAM Amministratore di notebook (roles/notebooks.admin
) nel progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
L'amministratore potrebbe anche assegnare al principale del pool di personale le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.
Ruoli richiesti per l'utilizzo delle credenziali di terze parti
L'entità del pool di risorse umane deve avere accesso all'account di servizio della tua istanza Vertex AI Workbench con autorizzazioni specifiche.
Per assicurarti che l'entità del pool di risorse umane disponga delle autorizzazioni necessarie per utilizzare un'istanza di Vertex AI Workbench con credenziali di terze parti, chiedi all'amministratore di concedere all'entità del pool di risorse umane i seguenti ruoli IAM nell'account di servizio che specificherai al momento della creazione dell'istanza:
-
Creatore token account di servizio (
roles/iam.serviceAccountTokenCreator
) -
Utente account di servizio (
roles/iam.serviceAccountUser
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
L'amministratore potrebbe anche assegnare al principale del pool di personale le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.
Creare l'istanza utilizzando le credenziali di terze parti
Puoi creare un Vertex AI Workbench utilizzando le credenziali di terze parti tramite la console Google Cloud o la gcloud CLI:
Console
Accedi alla console Google Cloud utilizzando un provider di pool di forza lavoro.
Nella console Google Cloud, vai alla pagina Istanze.
Fai clic su
Crea nuova.Nella finestra di dialogo Nuova istanza, fai clic su Opzioni avanzate.
Nella finestra di dialogo Crea istanza, nella sezione IAM e sicurezza, procedi nel seguente modo:
Assicurati che sia selezionato Account di servizio.
Deseleziona Utilizza l'account di servizio Compute Engine predefinito, quindi, nel campo Indirizzo email dell'account di servizio, inserisci l'indirizzo email dell'account di servizio associato all'entità di forza lavoro.
Fai clic su Crea.
Vertex AI Workbench crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab.
gcloud
Segui la guida IAM per autenticare la gcloud CLI con un pool di identità per il personale.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
INSTANCE_NAME
: il nome dell'istanza di Vertex AI Workbench; deve iniziare con una lettera seguita da un massimo di 62 lettere minuscole, numeri o trattini (-) e non può terminare con un trattino PROJECT_ID
: il tuo ID progettoLOCATION
: la zona in cui vuoi che si trovi l'istanza-
VM_IMAGE_PROJECT
: l'ID del progetto Google Cloud a cui appartiene l'immagine VM, nel formato:projects/IMAGE_PROJECT_ID
-
VM_IMAGE_NAME
: il nome completo dell'immagine. Per trovare il nome dell'immagine di una versione specifica, consulta Trovare la versione specifica -
MACHINE_TYPE
: il tipo di macchina della VM della tua istanza -
METADATA
: metadati personalizzati da applicare a questa istanza. Ad esempio, per specificare uno script post-avvio, puoi utilizzare il tag dei metadatipost-startup-script
nel formato:"--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
-
SERVICE_ACCOUNT_EMAIL
: l'indirizzo email dell'account di servizio associato al principale del personale
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud workbench instances create INSTANCE_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --vm-image-project=VM_IMAGE_PROJECT \ --vm-image-name=VM_IMAGE_NAME \ --machine-type=MACHINE_TYPE \ --metadata=METADATA \ --service-account-email=SERVICE_ACCOUNT_EMAIL
Windows (PowerShell)
gcloud workbench instances create INSTANCE_NAME ` --project=PROJECT_ID ` --location=LOCATION ` --vm-image-project=VM_IMAGE_PROJECT ` --vm-image-name=VM_IMAGE_NAME ` --machine-type=MACHINE_TYPE ` --metadata=METADATA ` --service-account-email=SERVICE_ACCOUNT_EMAIL
Windows (cmd.exe)
gcloud workbench instances create INSTANCE_NAME ^ --project=PROJECT_ID ^ --location=LOCATION ^ --vm-image-project=VM_IMAGE_PROJECT ^ --vm-image-name=VM_IMAGE_NAME ^ --machine-type=MACHINE_TYPE ^ --metadata=METADATA ^ --service-account-email=SERVICE_ACCOUNT_EMAIL
Per ulteriori informazioni sul comando per la creazione di un'istanza dalla riga di comando, consulta la documentazione della riga di comando gcloud.
Vertex AI Workbench crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab nella console Google Cloud.
Accedere a JupyterLab con credenziali di terze parti
La nuova istanza di Vertex AI Workbench crea due URL proxy distinti con i seguenti domini:
byoid.googleusercontent.com
: questo dominio può essere utilizzato solo dagli utenti che si autenticano con un pool di identità forza lavoro. Il valore viene memorizzato nel campo dei metadatiproxy-byoid-url
dell'istanza. Questo valore dei metadati attiva un link Apri JupyterLab nella console Google Cloud Workforce Identity Federation (console.cloud.google/
).googleusercontent.com
: questo dominio può essere utilizzato solo dagli utenti che si autenticano con l'autenticazione proprietaria predefinita di Google. Il relativo valore viene memorizzato nel campo dei metadatiproxy-url
dell'istanza. Questo valore dei metadati attiva un link Apri JupyterLab nella console Google Cloud (console.cloud.google.com
).
Passaggi successivi
- Per scoprire di più sui principali di terze parti da utilizzare per il provisioning dei notebook, consulta Federazione delle identità per la forza lavoro.