Membuat instance dengan kredensial pihak ketiga

Halaman ini menjelaskan cara membuat instance Vertex AI Workbench dengan kredensial pihak ketiga.

Ringkasan

Anda dapat membuat dan mengelola instance Vertex AI Workbench dengan kredensial pihak ketiga yang disediakan oleh Workforce Identity Federation. Workforce Identity Federation menggunakan penyedia identitas (IdP) eksternal untuk memberikan akses ke instance Vertex AI Workbench melalui proxy kepada sekelompok pengguna.

Akses ke instance Vertex AI Workbench diberikan dengan menetapkan utama kumpulan tenaga kerja ke akun layanan instance Vertex AI Workbench.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  3. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  4. Enable the Notebooks API.

    Enable the API

    5.

  5. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  6. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  7. Enable the Notebooks API.

    Enable the API

    8.
  8. Konfigurasikan IdP Anda dengan kumpulan identitas tenaga kerja.

Peran yang diperlukan untuk membuat instance

Guna memastikan bahwa akun utama gabungan tenaga kerja Anda memiliki izin yang diperlukan untuk membuat instance Vertex AI Workbench, minta administrator untuk memberikan peran IAM kepada akun utama gabungan tenaga kerja Anda Admin Notebook (roles/notebooks.admin) pada project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Administrator Anda mungkin juga dapat memberi akun utama gabungan tenaga kerja Anda izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Peran yang diperlukan untuk menggunakan kredensial pihak ketiga

Akun layanan instance Vertex AI Workbench memerlukan akses ke akun layanan instance Vertex AI Workbench, dengan izin spesifik.

Guna memastikan bahwa akun utama gabungan tenaga kerja memiliki izin yang diperlukan untuk menggunakan instance Vertex AI Workbench dengan kredensial pihak ketiga, minta administrator Anda untuk memberikan peran IAM berikut kepada akun layanan di akun layanan yang akan Anda tentukan saat membuat instance:

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses.

Administrator Anda mungkin juga dapat memberi akun utama gabungan tenaga kerja izin yang diperlukan melalui peran khusus atau peran yang telah ditetapkan lainnya.

Membuat instance menggunakan kredensial pihak ketiga

Anda dapat membuat Vertex AI Workbench menggunakan kredensial pihak ketiga dengan Konsol Google Cloud atau gcloud CLI:

Konsol

  1. Login ke konsol Google Cloud menggunakan penyedia penyedia tenaga kerja.

    Buka Konsol

  2. Di konsol Google Cloud, buka halaman Instance.

    Buka Instance

  3. Klik  Buat baru.

  4. Dalam dialog Instance baru, klik Opsi lanjutan.

  5. Pada dialog Create instance, di bagian IAM and security, lakukan hal berikut:

    1. Pastikan Service account dipilih.

    2. Hapus Use default Compute Engine service account, lalu di kolom Service account email, masukkan alamat email akun layanan yang terkait dengan akun utama tenaga kerja Anda.

  6. Klik Create.

    Vertex AI Workbench membuat sebuah instance dan otomatis memulainya. Saat instance siap digunakan, Vertex AI Workbench akan mengaktifkan link Open JupyterLab.

gcloud

Ikuti panduan IAM untuk mengautentikasi gcloud CLI dengan kumpulan identitas tenaga kerja.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • INSTANCE_NAME: nama instance Vertex AI Workbench; harus diawali dengan huruf, diikuti dengan maksimal 62 huruf kecil, angka, atau tanda hubung (-), dan tidak boleh diakhiri dengan tanda hubung
  • PROJECT_ID: project ID Anda
  • LOCATION: zona tempat Anda ingin menempatkan instance
  • VM_IMAGE_PROJECT: ID project Google Cloud tempat image VM berada, dalam format: projects/IMAGE_PROJECT_ID
  • VM_IMAGE_NAME: nama image lengkap; untuk menemukan nama image versi tertentu, lihat Menemukan versi tertentu
  • MACHINE_TYPE: jenis mesin VM instance Anda
  • METADATA: metadata kustom yang akan diterapkan ke instance ini; misalnya, untuk menentukan skrip pasca-startup, Anda dapat menggunakan tag metadata post-startup-script, dalam format: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
  • SERVICE_ACCOUNT_EMAIL: alamat email akun layanan yang dikaitkan dengan akun utama tenaga kerja Anda

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Untuk mengetahui informasi lebih lanjut tentang perintah untuk membuat instance dari command line, baca dokumentasi gcloud CLI.

Vertex AI Workbench membuat sebuah instance dan otomatis memulainya. Saat instance siap digunakan, Vertex AI Workbench akan mengaktifkan link Open JupyterLab di Konsol Google Cloud.

Akses Jupyterlab dengan kredensial pihak ketiga

Instance Vertex AI Workbench baru Anda membuat dua URL proxy terpisah dengan domain berikut:

  • byoid.googleusercontent.com: Domain ini hanya dapat digunakan oleh pengguna yang mengautentikasi dengan kumpulan identitas tenaga kerja. Nilainya disimpan di kolom metadata instance Anda proxy-byoid-url. Nilai metadata ini mengaktifkan link Open JupyterLab di konsol Google Cloud Workforce Identity Federation (console.cloud.google/).

  • googleusercontent.com: Domain ini hanya dapat digunakan oleh pengguna yang mengautentikasi dengan Autentikasi Pihak Pertama Google default. Nilainya disimpan di kolom metadata instance Anda proxy-url. Nilai metadata ini mengaktifkan link Open JupyterLab di Konsol Google Cloud (console.cloud.google.com).

Langkah selanjutnya