Questa pagina è stata tradotta dall'API Cloud Translation.

Creare un'istanza con credenziali di terze parti

Questa pagina descrive come creare un'istanza di Vertex AI Workbench con e credenziali di terze parti.

Panoramica

Puoi creare e gestire le istanze di Vertex AI Workbench con e credenziali di terze parti fornite dalla federazione delle identità per la forza lavoro. La federazione delle identità della forza lavoro utilizza il tuo provider di identità (IdP) esterno per concedere a un gruppo di utenti l'accesso alle istanze di Vertex AI Workbench tramite un proxy.

L'accesso a un'istanza di Vertex AI Workbench viene concesso assegnando un entità pool forza lavoro all'account di servizio dell'istanza di Vertex AI Workbench.

Prima di iniziare

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Enable the API

Configura l'IdP con forza lavoro pool di identità.

Ruolo richiesto per creare un'istanza

Per assicurarti che l'entità del pool di forza lavoro abbia le autorizzazioni necessarie le autorizzazioni per creare un'istanza di Vertex AI Workbench, chiedi all'amministratore di concedere all'entità del pool di forza lavoro Ruolo IAM Amministratore Notebooks (roles/notebooks.admin) per il progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

L'amministratore potrebbe anche assegnare al principale del pool di personale le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

Ruoli richiesti per l'utilizzo di credenziali di terze parti

L'entità del pool di risorse umane deve avere accesso all'account di servizio della tua istanza Vertex AI Workbench con autorizzazioni specifiche.

per garantire che l'entità del pool di forza lavoro abbia le autorizzazioni necessarie per utilizzare un'istanza di Vertex AI Workbench con credenziali di terze parti, chiedi all'amministratore di concedere all'entità del pool di forza lavoro i seguenti ruoli IAM per l'account di servizio che definirai durante la creazione dell'istanza:

Creatore token account di servizio (roles/iam.serviceAccountTokenCreator)
Utente account di servizio (roles/iam.serviceAccountUser)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

L'amministratore potrebbe anche assegnare al principale del pool di personale le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

Creare l'istanza utilizzando le credenziali di terze parti

Puoi creare un Vertex AI Workbench utilizzando credenziali di terze parti utilizzando il metodo Console Google Cloud o gcloud CLI:

Console

Accedi alla console Google Cloud utilizzando un provider di pool di forza lavoro.

Vai alla console
Nella console Google Cloud, vai alla pagina Istanze.

Vai a Istanze
Fai clic su Crea nuovo.
Nella finestra di dialogo Nuova istanza, fai clic su Opzioni avanzate.
Nella finestra di dialogo Crea istanza, nella sezione IAM e sicurezza, procedi nel seguente modo:
1. Assicurati che sia selezionato Account di servizio.
2. Deseleziona Utilizza l'account di servizio Compute Engine predefinito, quindi Nel campo Email account di servizio, inserisci l'account di servizio. all'indirizzo email associato all'entità forza lavoro.
Fai clic su Crea.

Vertex AI Workbench crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab.

gcloud

Segui la guida IAM per l'autenticazione di gcloud CLI con un pool di identità della forza lavoro.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

INSTANCE_NAME: il nome dell'istanza di Vertex AI Workbench; deve iniziare con una lettera seguita da un massimo di 62 lettere minuscole, numeri o trattini (-) e non può terminare con un trattino
PROJECT_ID: il tuo ID progetto
LOCATION: la zona in cui vuoi che si trovi l'istanza
VM_IMAGE_PROJECT: l'ID del progetto Google Cloud che L'immagine VM appartiene a, nel formato: projects/IMAGE_PROJECT_ID
VM_IMAGE_NAME: il nome completo dell'immagine. Per trovare il nome dell'immagine di una versione specifica, consulta Trovare la versione specifica
MACHINE_TYPE: il tipo di macchina della VM dell'istanza
METADATA: metadati personalizzati da applicare a questa istanza; ad esempio per specificare uno script post-avvio, puoi utilizzare il tag dei metadati post-startup-script, nel formato: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
SERVICE_ACCOUNT_EMAIL: l'indirizzo email dell'account di servizio associato al principale del personale

Esegui la persone che seguo :

Linux, macOS o Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Per ulteriori informazioni sul comando per creare dalla riga di comando, consulta gcloud CLI documentazione.

Vertex AI Workbench crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab nella console Google Cloud.

Accedi a Jupyterlab con credenziali di terze parti

La nuova istanza di Vertex AI Workbench crea due URL proxy distinti con i seguenti domini:

byoid.googleusercontent.com: questo dominio può essere utilizzato solo dagli utenti che si autenticano con un pool di identità forza lavoro. Il valore viene memorizzato nel campo dei metadati proxy-byoid-url dell'istanza. Questo valore dei metadati attiva un link Apri JupyterLab nella console di federazione di Workforce Identity di Google Cloud (console.cloud.google/).
googleusercontent.com: questo dominio può essere utilizzato solo dagli utenti che si autenticano con l'autenticazione proprietaria predefinita di Google. Il suo valore è archiviato nel campo di metadati dell'istanza proxy-url. Questo il valore dei metadati attiva un link Apri JupyterLab nella Console Google Cloud (console.cloud.google.com).

Passaggi successivi

Per scoprire di più sulle entità di terze parti da utilizzare per il provisioning dei blocchi note, consulta Federazione delle identità per la forza lavoro.