使用第三方憑證建立執行個體
本頁面說明如何使用第三方憑證建立 Vertex AI Workbench 執行個體。
總覽
您可以使用員工身分聯盟提供的第三方憑證,建立及管理 Vertex AI Workbench 執行個體。員工身分聯盟會使用外部識別資訊提供者 (IdP),透過 Proxy 授予一組使用者存取 Vertex AI Workbench 執行個體的權限。
如要授予 Vertex AI Workbench 執行個體的存取權,請將工作人員集區主體指派給 Vertex AI Workbench 執行個體的服務帳戶。
事前準備
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
- 使用工作團隊身分集區設定 IdP。
使用 Google Cloud員工身分聯盟控制台建立執行個體。
建立執行個體時,請使用
enable_third_party_identity旗標。使用工作團隊集區提供者登入 Google Cloud 控制台。
前往 Google Cloud 控制台的「Instances」(執行個體) 頁面。
按一下「建立新標籤」。
在「New instance」對話方塊中,按一下「Advanced options」。
在「建立執行個體」對話方塊的「IAM 和安全性」部分,執行下列操作:
確認已選取「服務帳戶」。
清除「使用預設 Compute Engine 服務帳戶」,然後在「服務帳戶電子郵件」欄位中,輸入與員工主體相關聯的服務帳戶電子郵件地址。
點選「建立」。
Vertex AI Workbench 會建立執行個體並自動啟動。執行個體可供使用時,Vertex AI Workbench 會啟用「Open JupyterLab」(開啟 JupyterLab) 連結。
-
INSTANCE_NAME:Vertex AI Workbench 執行個體的名稱;開頭須為英文字母,後面最多可接 62 個小寫英文字母、數字或連字號 (-),但結尾不得為連字號 PROJECT_ID:您的專案 IDLOCATION:您希望執行個體所在的區域-
VM_IMAGE_PROJECT:VM 映像檔所屬 Google Cloud 專案的 ID,格式為:projects/IMAGE_PROJECT_ID -
VM_IMAGE_NAME:完整圖片名稱。如要尋找特定版本的圖片名稱,請參閱「尋找特定版本」一節。 -
MACHINE_TYPE:執行個體 VM 的機器類型 -
METADATA:要套用至這個執行個體的自訂中繼資料;例如,如要指定開機後指令碼,可以使用post-startup-script中繼資料標記,格式如下:"--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh" -
SERVICE_ACCOUNT_EMAIL:與員工主體相關聯的服務帳戶電子郵件地址 byoid.googleusercontent.com:這個網域只能供透過員工身分集區驗證的使用者使用。這個值會儲存在執行個體的中繼資料欄位proxy-byoid-url中。這個中繼資料值會啟用 Google CloudWorkforce Identity Federation 控制台 (console.cloud.google/) 中的「Open JupyterLab」連結。googleusercontent.com:這個網域只能供透過預設 Google 第一方驗證進行驗證的使用者使用。其值會儲存在執行個體的中繼資料欄位proxy-url中。這個中繼資料值會啟用Google Cloud 控制台 (console.cloud.google.com) 中的「Open JupyterLab」連結。- 如要進一步瞭解用於佈建 Notebook 的第三方主體,請參閱「員工身分聯盟」。
建立執行個體所需的角色
為確保工作團隊集區主體具備建立 Vertex AI Workbench 執行個體所需的權限,請要求管理員將專案的「筆記本管理員」 (roles/notebooks.admin) IAM 角色授予工作團隊集區主體。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
管理員或許還可透過自訂角色或其他預先定義的角色,授予工作團隊集區主體必要權限。
使用第三方憑證所需的角色
工作人員集區主體需要存取 Vertex AI Workbench 執行個體的服務帳戶,並具備特定權限。
為確保工作團隊集區主體具備必要權限,能使用第三方憑證存取 Vertex AI Workbench 執行個體,請要求管理員在您建立執行個體時指定的服務帳戶中,將下列 IAM 角色授予工作團隊集區主體:
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
管理員或許也能透過自訂角色或其他預先定義的角色,將必要權限授予工作團隊集區主體。
使用第三方憑證建立執行個體
如要確保 Vertex AI Workbench 執行個體包含 byoid.googleusercontent.com 網域,請執行下列其中一項操作:
您可以使用Google Cloud 控制台或 gcloud CLI,透過第三方憑證建立 Vertex AI Workbench:
主控台
gcloud
請按照 IAM 指南,使用工作團隊身分集區驗證 gcloud CLI。
--enable-third-party-identity
使用下列任何指令資料之前,請先替換以下項目:
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud workbench instances create INSTANCE_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --vm-image-project=VM_IMAGE_PROJECT \ --vm-image-name=VM_IMAGE_NAME \ --machine-type=MACHINE_TYPE \ --metadata=METADATA \ --service-account-email=SERVICE_ACCOUNT_EMAIL
Windows (PowerShell)
gcloud workbench instances create INSTANCE_NAME ` --project=PROJECT_ID ` --location=LOCATION ` --vm-image-project=VM_IMAGE_PROJECT ` --vm-image-name=VM_IMAGE_NAME ` --machine-type=MACHINE_TYPE ` --metadata=METADATA ` --service-account-email=SERVICE_ACCOUNT_EMAIL
Windows (cmd.exe)
gcloud workbench instances create INSTANCE_NAME ^ --project=PROJECT_ID ^ --location=LOCATION ^ --vm-image-project=VM_IMAGE_PROJECT ^ --vm-image-name=VM_IMAGE_NAME ^ --machine-type=MACHINE_TYPE ^ --metadata=METADATA ^ --service-account-email=SERVICE_ACCOUNT_EMAIL
如要進一步瞭解如何透過指令列建立執行個體的指令,請參閱 gcloud CLI 說明文件。
Vertex AI Workbench 會建立執行個體並自動啟動。執行個體可供使用時,Vertex AI Workbench 會在 Google Cloud 控制台中啟用「Open JupyterLab」(開啟 JupyterLab) 連結。
使用第三方憑證存取 JupyterLab
新的 Vertex AI Workbench 執行個體會建立兩個不同的 Proxy URL,網域如下: