Créer une instance avec des identifiants tiers

Cette page explique comment créer une instance Vertex AI Workbench avec des identifiants tiers.

Présentation

Vous pouvez créer et gérer des instances Vertex AI Workbench avec des identifiants tiers fournis par la fédération des identités des employés. La fédération des identités des employés utilise votre fournisseur d'identité externe (IdP) pour accorder à un groupe d'utilisateurs l'accès aux instances Vertex AI Workbench via un proxy.

L'accès à une instance Vertex AI Workbench est accordé en attribuant un compte principal de pool d'employés au compte de service de l'instance Vertex AI Workbench.

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Enable the API

  8. Configurez votre fournisseur d'identité avec un pool d'identités d'employés.

Rôle requis pour créer une instance

Pour vous assurer que le compte principal de votre pool d'employés dispose des autorisations nécessaires pour créer une instance Vertex AI Workbench, demandez à votre administrateur d'accorder au compte principal de votre pool d'employés le rôle IAM Administrateur de notebooks (roles/notebooks.admin) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Votre administrateur peut également attribuer au compte principal de votre pool de travailleurs les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Rôles requis pour utiliser des identifiants tiers

Le compte principal de votre pool d'employés doit avoir accès au compte de service de votre instance Vertex AI Workbench, avec des autorisations spécifiques.

Pour vous assurer que le compte principal du pool d'employés dispose des autorisations nécessaires pour utiliser une instance Vertex AI Workbench avec des identifiants tiers, demandez à votre administrateur d'accorder au compte principal du pool d'employés les rôles IAM suivants sur le compte de service que vous spécifierez lorsque vous créerez votre instance :

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Votre administrateur peut également attribuer au compte principal du pool d'employés les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Créer l'instance à l'aide d'identifiants tiers

Vous pouvez créer un Workbench Vertex AI à l'aide d'identifiants tiers à l'aide de la console Google Cloud ou de gcloud CLI:

Console

  1. Connectez-vous à la console Google Cloud à l'aide d'un fournisseur de pools de personnel.

    Accéder à la console

  2. Dans la console Google Cloud, accédez à la page Instances.

    Accéder à la page "Instances"

  3. Cliquez sur  Créer.

  4. Dans la boîte de dialogue Nouvelle instance, cliquez sur Options avancées.

  5. Dans la boîte de dialogue Créer une instance, dans la section IAM et sécurité, procédez comme suit:

    1. Assurez-vous que l'option Compte de service est sélectionnée.

    2. Décochez la case Utiliser le compte de service Compute Engine par défaut, puis saisissez l'adresse e-mail du compte de service associé à votre compte principal dans le champ Adresse e-mail du compte de service.

  6. Cliquez sur Créer.

    Vertex AI Workbench crée une instance et la démarre automatiquement. Lorsque l'instance est prête à l'emploi, Vertex AI Workbench active automatiquement un lien Ouvrir JupyterLab.

gcloud

Suivez le guide IAM pour authentifier gcloud CLI avec un pool d'identités de personnel.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • INSTANCE_NAME : nom de votre instance Vertex AI Workbench. Doit commencer par une lettre suivie de 62 caractères (lettres minuscules, chiffres ou traits d'union (-)) et ne peut pas se terminer par un trait d'union.
  • PROJECT_ID : ID de votre projet.
  • LOCATION : zone dans laquelle vous souhaitez placer votre instance.
  • VM_IMAGE_PROJECT : ID du projet Google Cloud auquel appartient l'image de VM, au format : projects/IMAGE_PROJECT_ID
  • VM_IMAGE_NAME : nom complet de l'image. Pour trouver le nom d'image d'une version spécifique, consultez la page Rechercher la version spécifique.
  • MACHINE_TYPE : type de machine de la VM de votre instance
  • METADATA : métadonnées personnalisées à appliquer à cette instance. Par exemple, pour spécifier un script post-démarrage, vous pouvez utiliser le tag de métadonnées post-startup-script au format "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh".
  • SERVICE_ACCOUNT_EMAIL : adresse e-mail du compte de service associé à votre compte principal de pool d'employés

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Pour en savoir plus sur la commande permettant de créer une instance à partir de la ligne de commande, consultez la documentation de gcloud CLI.

Vertex AI Workbench crée une instance et la démarre automatiquement. Lorsque l'instance est prête à l'emploi, Vertex AI Workbench active automatiquement un lien Ouvrir JupyterLab dans la console Google Cloud.

Accéder à JupyterLab avec des identifiants tiers

Votre nouvelle instance Vertex AI Workbench crée deux URL proxy distinctes avec les domaines suivants :

  • byoid.googleusercontent.com : ce domaine ne peut être utilisé que par les utilisateurs qui s'authentifient avec un pool d'identités de personnel. Sa valeur est stockée dans le champ de métadonnées proxy-byoid-url de votre instance. Cette valeur de métadonnées active un lien Ouvrir JupyterLab dans la console de la fédération des identités des employés Google Cloud (console.cloud.google/).

  • googleusercontent.com : ce domaine ne peut être utilisé que par les utilisateurs qui s'authentifient avec l'authentification propriétaire de Google par défaut. Sa valeur est stockée dans le champ de métadonnées proxy-url de votre instance. Cette valeur de métadonnées active un lien Ouvrir JupyterLab dans la console Google Cloud (console.cloud.google.com).

Étapes suivantes