Halaman ini diterjemahkan oleh Cloud Translation API.

Membuat instance dengan kredensial pihak ketiga

Halaman ini menjelaskan cara membuat instance Vertex AI Workbench dengan dan kredensial pihak ketiga.

Ringkasan

Anda dapat membuat dan mengelola instance Vertex AI Workbench dengan dan kredensial pihak ketiga yang disediakan oleh Workforce Identity Federation. Workforce Identity Federation menggunakan penyedia identitas (IdP) eksternal Anda untuk memberi sekelompok pengguna akses ke instance Vertex AI Workbench melalui {i>proxy<i}.

Akses ke instance Vertex AI Workbench diberikan dengan menetapkan akun utama kumpulan tenaga kerja ke akun layanan instance Vertex AI Workbench.

Sebelum memulai

Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

Buka pemilih project

Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

Aktifkan API Notebooks.

Mengaktifkan API

Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

Buka pemilih project

Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

Aktifkan API Notebooks.

Mengaktifkan API

Konfigurasi IdP Anda dengan tenaga kerja kumpulan identitas.

Peran yang diperlukan untuk membuat instance

Untuk memastikan bahwa akun utama tenaga kerja Anda memiliki semua hal yang diperlukan izin untuk membuat instance Vertex AI Workbench, minta administrator untuk memberikan izin kepada tim utama tenaga kerja Anda Peran IAM Notebooks Admin (roles/notebooks.admin) pada project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Administrator Anda mungkin juga dapat memberikan informasi utama kumpulan tenaga kerja Anda izin yang diperlukan melalui perintah peran atau setelan standar lainnya peran tertentu.

Peran yang diperlukan untuk menggunakan kredensial pihak ketiga

Entity utama tenaga kerja Anda memerlukan akses ke Akun layanan instance Vertex AI Workbench, dengan izin tertentu.

Untuk memastikan bahwa akun utama kumpulan tenaga kerja memiliki izin yang diperlukan untuk menggunakan instance Vertex AI Workbench dengan kredensial pihak ketiga, minta administrator untuk memberikan akun utama kumpulan tenaga kerja peran IAM berikut di akun layanan yang akan Anda tentukan saat membuat instance:

Service Account Token Creator (roles/iam.serviceAccountTokenCreator)
Service Account User (roles/iam.serviceAccountUser)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Administrator Anda mungkin juga dapat memberikan tugas utama kumpulan tenaga kerja izin yang diperlukan melalui perintah peran atau setelan standar lainnya peran tertentu.

Membuat instance menggunakan kredensial pihak ketiga

Anda dapat membuat Vertex AI Workbench menggunakan kredensial pihak ketiga dengan menggunakan Konsol Google Cloud atau gcloud CLI:

Konsol

Login ke konsol Google Cloud menggunakan penyedia kumpulan tenaga kerja.

Buka Console
Di konsol Google Cloud, buka halaman Instance.

Buka Instance
Klik Buat baru.
Dalam dialog Instance baru, klik Opsi lanjutan.
Pada dialog Create instance, di bagian IAM and security, lakukan hal berikut:
1. Pastikan Service account dipilih.
2. Hapus Use default Compute Engine service account, lalu, di kolom Email akun layanan, masukkan akun layanan yang terkait dengan akun utama tenaga kerja Anda.
Klik Create.

Vertex AI Workbench membuat sebuah instance dan otomatis memulainya. Saat instance siap digunakan, Vertex AI Workbench akan mengaktifkan link Open JupyterLab.

gcloud

Ikuti panduan IAM untuk mengautentikasi gcloud CLI dengan kumpulan identitas tenaga kerja.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

INSTANCE_NAME: nama instance Vertex AI Workbench; harus diawali dengan huruf yang diikuti dengan maksimal 62 huruf kecil, angka, atau tanda hubung (-), dan tidak boleh diakhiri dengan tanda hubung
PROJECT_ID: project ID Anda
LOCATION: zona tempat Anda ingin menempatkan instance
VM_IMAGE_PROJECT: ID project Google Cloud tempat image VM berada, dalam format: projects/IMAGE_PROJECT_ID
VM_IMAGE_NAME: nama image lengkap; untuk menemukan nama image versi tertentu, lihat Menemukan versi tertentu
MACHINE_TYPE: jenis mesin VM instance Anda
METADATA: metadata kustom yang akan diterapkan ke instance ini; misalnya, guna menentukan post-startup-script, Anda dapat menggunakan tag metadata post-startup-script, dalam format: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
SERVICE_ACCOUNT_EMAIL: alamat email akun layanan yang terkait dengan prinsip tenaga kerja Anda

Jalankan mengikuti berikut:

Linux, macOS, atau Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Untuk mengetahui informasi lebih lanjut tentang perintah untuk membuat instance dari command line, baca dokumentasi gcloud CLI.

Vertex AI Workbench membuat sebuah instance dan otomatis memulainya. Saat instance siap digunakan, Vertex AI Workbench akan mengaktifkan link Open JupyterLab di Konsol Google Cloud.

Akses Jupyterlab dengan kredensial pihak ketiga

Instance Vertex AI Workbench baru Anda akan membuat dua URL proxy terpisah dengan domain berikut:

byoid.googleusercontent.com: Domain ini hanya dapat digunakan oleh pengguna yang melakukan autentikasi dengan workforce identity pool. Nilainya disimpan dalam proxy-byoid-url kolom metadata instance. Nilai metadata ini mengaktifkan link Open JupyterLab di Google Cloud Konsol Workforce Identity Federation (console.cloud.google/).
googleusercontent.com: Domain ini hanya dapat digunakan oleh pengguna melakukan otentikasi dengan menggunakan Autentikasi Pihak Pertama Google secara {i>default<i}. Nilainya disimpan di kolom metadata instance proxy-url. Ini Nilai metadata mengaktifkan link Buka JupyterLab di kolom Konsol Google Cloud (console.cloud.google.com).

Langkah selanjutnya

Untuk mempelajari lebih lanjut akun utama pihak ketiga yang akan digunakan untuk menyediakan notebook, lihat Workforce Identity Federation.