Creare un'istanza con credenziali di terze parti

Questa pagina descrive come creare un'istanza di Vertex AI Workbench con le credenziali di terze parti.

Panoramica

Puoi creare e gestire istanze di Vertex AI Workbench con le credenziali di terze parti fornite da Workforce Identity Federation. La federazione delle identità della forza lavoro utilizza il tuo provider di identità (IdP) esterno per concedere a un gruppo di utenti l'accesso alle istanze di Vertex AI Workbench tramite un proxy.

L'accesso a un'istanza di Vertex AI Workbench viene concesso assegnando un principale del pool di risorse umane all'account di servizio dell'istanza di Vertex AI Workbench.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Enable the API

  8. Configura l'IdP con un pool di identità di forza lavoro.

Ruolo richiesto per la creazione di un'istanza

Per assicurarti che il principale del pool di risorse umane disponga delle autorizzazioni necessarie per creare un'istanza di Vertex AI Workbench, chiedi all'amministratore di concedere al principale del pool di risorse umane il ruolo IAM Amministratore di notebook (roles/notebooks.admin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

L'amministratore potrebbe anche assegnare al principale del pool di personale le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

Ruoli richiesti per l'utilizzo delle credenziali di terze parti

L'entità del pool di risorse umane deve avere accesso all'account di servizio della tua istanza Vertex AI Workbench con autorizzazioni specifiche.

Per assicurarti che l'entità del pool di risorse umane disponga delle autorizzazioni necessarie per utilizzare un'istanza di Vertex AI Workbench con credenziali di terze parti, chiedi all'amministratore di concedere all'entità del pool di risorse umane i seguenti ruoli IAM nell'account di servizio che specificherai al momento della creazione dell'istanza:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

L'amministratore potrebbe anche assegnare al principale del pool di personale le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

Creare l'istanza utilizzando le credenziali di terze parti

Puoi creare un Vertex AI Workbench utilizzando le credenziali di terze parti tramite la console Google Cloud o la gcloud CLI:

Console

  1. Accedi alla console Google Cloud utilizzando un provider di pool di forza lavoro.

    Vai alla console

  2. Nella console Google Cloud, vai alla pagina Istanze.

    Vai a Istanze

  3. Fai clic su  Crea nuova.

  4. Nella finestra di dialogo Nuova istanza, fai clic su Opzioni avanzate.

  5. Nella finestra di dialogo Crea istanza, nella sezione IAM e sicurezza, procedi nel seguente modo:

    1. Assicurati che sia selezionato Account di servizio.

    2. Deseleziona Utilizza l'account di servizio Compute Engine predefinito, quindi, nel campo Indirizzo email dell'account di servizio, inserisci l'indirizzo email dell'account di servizio associato all'entità di forza lavoro.

  6. Fai clic su Crea.

    Vertex AI Workbench crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab.

gcloud

Segui la guida IAM per autenticare la gcloud CLI con un pool di identità per il personale.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • INSTANCE_NAME: il nome dell'istanza di Vertex AI Workbench; deve iniziare con una lettera seguita da un massimo di 62 lettere minuscole, numeri o trattini (-) e non può terminare con un trattino
  • PROJECT_ID: il tuo ID progetto
  • LOCATION: la zona in cui vuoi che si trovi l'istanza
  • VM_IMAGE_PROJECT: l'ID del progetto Google Cloud a cui appartiene l'immagine VM, nel formato: projects/IMAGE_PROJECT_ID
  • VM_IMAGE_NAME: il nome completo dell'immagine. Per trovare il nome dell'immagine di una versione specifica, consulta Trovare la versione specifica
  • MACHINE_TYPE: il tipo di macchina della VM della tua istanza
  • METADATA: metadati personalizzati da applicare a questa istanza. Ad esempio, per specificare uno script post-avvio, puoi utilizzare il tag dei metadati post-startup-script nel formato: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
  • SERVICE_ACCOUNT_EMAIL: l'indirizzo email dell'account di servizio associato al principale del personale

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Per ulteriori informazioni sul comando per la creazione di un'istanza dalla riga di comando, consulta la documentazione della riga di comando gcloud.

Vertex AI Workbench crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab nella console Google Cloud.

Accedere a JupyterLab con credenziali di terze parti

La nuova istanza di Vertex AI Workbench crea due URL proxy distinti con i seguenti domini:

  • byoid.googleusercontent.com: questo dominio può essere utilizzato solo dagli utenti che si autenticano con un pool di identità forza lavoro. Il valore viene memorizzato nel campo dei metadati proxy-byoid-url dell'istanza. Questo valore dei metadati attiva un link Apri JupyterLab nella console Google Cloud Workforce Identity Federation (console.cloud.google/).

  • googleusercontent.com: questo dominio può essere utilizzato solo dagli utenti che si autenticano con l'autenticazione proprietaria predefinita di Google. Il relativo valore viene memorizzato nel campo dei metadati proxy-url dell'istanza. Questo valore dei metadati attiva un link Apri JupyterLab nella console Google Cloud (console.cloud.google.com).

Passaggi successivi