Instanz mit Anmeldedaten von Drittanbietern erstellen

Auf dieser Seite wird beschrieben, wie Sie eine Vertex AI Workbench-Instanz mit Anmeldedaten von Drittanbietern erstellen.

Überblick

Sie können Vertex AI Workbench-Instanzen mit Anmeldedaten von Drittanbietern erstellen und verwalten, die von der Workforce Identity-Föderation bereitgestellt werden. Die Workforce Identity-Föderation verwendet Ihren externen Identitätsanbieter (Identity Provider, IdP), um einer Gruppe von Nutzern über einen Proxy Zugriff auf Vertex AI Workbench-Instanzen zu gewähren.

Der Zugriff auf eine Vertex AI Workbench-Instanz wird durch Zuweisung eines Workforce-Pool-Hauptkontos zu dem Dienstkonto der Vertex AI Workbench-Instanz gewährt.

Hinweise

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Enable the API

Konfigurieren Sie Ihren IdP mit einem Workforce Identity-Pool.

Erforderliche Rolle zum Erstellen einer Instanz

Um dafür zu sorgen, dass das Workforce-Pool-Hauptkonto über die erforderlichen Berechtigungen zum Erstellen einer Vertex AI Workbench-Instanz verfügt, bitten Sie Ihren Administrator, Ihrem Workforce-Pool-Hauptkonto die IAM-Rolle Notebooks-Administrator (roles/notebooks.admin) für das Projekt zu übertragen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Ihr Administrator kann Ihrem Workforce-Pool-Hauptkonto die erforderlichen Berechtigungen möglicherweise auch über benutzerdefinierte Rollen oder andere vordefinierten Rollen übertragen.

Erforderliche Rollen für die Verwendung von Drittanbieteranmeldedaten

Das Hauptkonto für den Workbench-Pool benötigt Zugriff auf das Dienstkonto Ihrer Vertex AI Workbench-Instanz mit bestimmten Berechtigungen.

Bitten Sie Ihren Administrator, dem Workforce-Pool-Hauptkonto die folgenden IAM-Rollen für das Dienstkonto zu gewährleisten, das Sie beim Erstellen der Instanz angegeben haben, um sicher zustellen, dass Ihr Workforce-Pool-Hauptkonto die nötigen Berechtigungen zur Verwendung einer Vertex AI Workbench-Instanz mit Drittanbieter-Anmeldedaten hat:

Ersteller von Dienstkonto-Token (roles/iam.serviceAccountTokenCreator)
Service Account User (roles/iam.serviceAccountUser)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Ihr Administrator kann dem Workforce-Pool-Hauptkonto möglicherweise auch die erforderlichen Berechtigungen über benutzerdefinierte Rollen oder andere vordefinierte Rollen erteilen.

Instanz mit Anmeldedaten von Drittanbietern erstellen

Sie können eine Vertex AI Workbench mit den Anmeldedaten von Drittanbietern über die Google Cloud Console oder die gcloud CLI erstellen:

Console

Melden Sie sich mit einem Workforce-Pool-Anbieter in der Google Cloud Console an.

Zur Console
Rufen Sie in der Google Cloud Console die Seite Instanzen auf.

Zur Seite „VM-Instanzen“
Klicken Sie auf NEU ERSTELLEN.
Klicken Sie im Dialogfeld Neue Instanz auf Erweiterte Optionen.
Führen Sie im Dialogfeld Instanz erstellen im Abschnitt IAM und Sicherheit die folgenden Schritte aus:
1. Achten Sie darauf, dass Dienstkonto ausgewählt ist.
2. Deaktivieren Sie Das Compute Engine-Dienstkonto nutzen und geben Sie dann im Feld Dienstkonto-Email die Dienstkonto-Email-Adresse an, die Ihrem Workforce-Hauptkonto zugeordnet ist.
Klicken Sie auf Erstellen.

Vertex AI Workbench erstellt eine Instanz und startet sie automatisch. Sobald die Instanz einsatzbereit ist, aktiviert Vertex AI Workbench den Link JupyterLab öffnen.

gcloud

Folgen Sie der IAM-Anleitung, um die gcloud CLI mit einem Workforce Identity-Pool zu authentifizieren.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

INSTANCE_NAME: der Name Ihrer Vertex AI Workbench-Instanz; muss mit einem Buchstaben beginnen, gefolgt von bis zu 62 Kleinbuchstaben, Ziffern oder Bindestrichen (-) und darf nicht mit einem Bindestrich enden
PROJECT_ID: Ihre Projekt-ID.
LOCATION: die Zone, in der sich Ihre Instanz befinden soll
VM_IMAGE_PROJECT: ID des Google Cloud-Projekts, zu dem das VM-Image gehört, im Format projects/IMAGE_PROJECT_ID
VM_IMAGE_NAME: Der vollständige Image-Name. Um den Image-Namen einer bestimmten Version zu finden, siehe Spezifische Version finden
MACHINE_TYPE: Der Maschinentyp der VM-Instanz.
METADATA: Benutzerdefinierte Metadaten, die auf diese Instanz angewendet werden sollen. Wenn Sie beispielsweise ein Post-Startscript angeben möchten, können Sie das Metadaten-Tag post-startup-script im folgenden Format verwenden: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
SERVICE_ACCOUNT_EMAIL: Die E-Mail-Adresse des Dienstkontos, das mit Ihrem Personalverantwortlichen verknüpft ist

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Weitere Informationen zum Befehl zum Erstellen einer Instanz über die Befehlszeile ausführen, siehe gcloud CLI Dokumentation.

Vertex AI Workbench erstellt eine Instanz und startet sie automatisch. Sobald die Instanz einsatzbereit ist, aktiviert Vertex AI Workbench den Link JupyterLab öffnen in der Google Cloud Console.

Mit Anmeldedaten von Drittanbietern auf Jupyterlab zugreifen

Die neue Vertex AI Workbench-Instanz erstellt zwei separate Proxy-URLs mit den folgenden Domains:

byoid.googleusercontent.com: Diese Domain kann nur von Nutzern verwendet werden, die sich mit einem Mitarbeiteridentitätspool authentifizieren. Der Wert wird im Metadatenfeld proxy-byoid-url der Instanz gespeichert. Dieser Metadatenwert aktiviert den Link JupyterLab öffnen in der Google Cloud Console für die Mitarbeiteridentitätsföderation (console.cloud.google/).
googleusercontent.com: Diese Domain kann nur von Nutzern verwendet werden, die sich über die standardmäßige Erstanbieterauthentifizierung von Google authentifizieren. Der Wert wird im Metadatenfeld proxy-url der Instanz gespeichert. Dieses Metadatenfeld aktiviert einen JupyterLab öffnen-Link in der Google Cloud Console (console.cloud.google.com).

Nächste Schritte

Weitere Informationen zur Nutzung von Hauptkonten von Drittanbietern für die Bereitstellung von Notebooks finden Sie unter Mitarbeiteridentitätsföderation.