Membuat instance dengan kredensial pihak ketiga

Halaman ini menjelaskan cara membuat instance Vertex AI Workbench dengan dan kredensial pihak ketiga.

Ringkasan

Anda dapat membuat dan mengelola instance Vertex AI Workbench dengan dan kredensial pihak ketiga yang disediakan oleh Workforce Identity Federation. Workforce Identity Federation menggunakan penyedia identitas (IdP) eksternal Anda untuk memberi sekelompok pengguna akses ke instance Vertex AI Workbench melalui {i>proxy<i}.

Akses ke instance Vertex AI Workbench diberikan dengan menetapkan akun utama kumpulan tenaga kerja ke akun layanan instance Vertex AI Workbench.

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Enable the API

  8. Konfigurasi IdP Anda dengan tenaga kerja kumpulan identitas.

Peran yang diperlukan untuk membuat instance

Untuk memastikan bahwa akun utama tenaga kerja Anda memiliki semua hal yang diperlukan izin untuk membuat instance Vertex AI Workbench, minta administrator untuk memberikan izin kepada tim utama tenaga kerja Anda Peran IAM Notebooks Admin (roles/notebooks.admin) pada project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Administrator Anda mungkin juga dapat memberikan informasi utama kumpulan tenaga kerja Anda izin yang diperlukan melalui perintah peran atau setelan standar lainnya peran tertentu.

Peran yang diperlukan untuk menggunakan kredensial pihak ketiga

Entity utama tenaga kerja Anda memerlukan akses ke Akun layanan instance Vertex AI Workbench, dengan izin tertentu.

Untuk memastikan bahwa akun utama kumpulan tenaga kerja memiliki izin yang diperlukan untuk menggunakan instance Vertex AI Workbench dengan kredensial pihak ketiga, minta administrator untuk memberikan akun utama kumpulan tenaga kerja peran IAM berikut di akun layanan yang akan Anda tentukan saat membuat instance:

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Administrator Anda mungkin juga dapat memberikan tugas utama kumpulan tenaga kerja izin yang diperlukan melalui perintah peran atau setelan standar lainnya peran tertentu.

Membuat instance menggunakan kredensial pihak ketiga

Anda dapat membuat Vertex AI Workbench menggunakan kredensial pihak ketiga dengan menggunakan Konsol Google Cloud atau gcloud CLI:

Konsol

  1. Login ke konsol Google Cloud menggunakan penyedia kumpulan tenaga kerja.

    Buka Console

  2. Di konsol Google Cloud, buka halaman Instance.

    Buka Instance

  3. Klik  Buat baru.

  4. Dalam dialog Instance baru, klik Opsi lanjutan.

  5. Pada dialog Create instance, di bagian IAM and security, lakukan hal berikut:

    1. Pastikan Service account dipilih.

    2. Hapus Use default Compute Engine service account, lalu, di kolom Email akun layanan, masukkan akun layanan yang terkait dengan akun utama tenaga kerja Anda.

  6. Klik Create.

    Vertex AI Workbench membuat sebuah instance dan otomatis memulainya. Saat instance siap digunakan, Vertex AI Workbench akan mengaktifkan link Open JupyterLab.

gcloud

Ikuti panduan IAM untuk mengautentikasi gcloud CLI dengan kumpulan identitas tenaga kerja.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • INSTANCE_NAME: nama instance Vertex AI Workbench; harus diawali dengan huruf yang diikuti dengan maksimal 62 huruf kecil, angka, atau tanda hubung (-), dan tidak boleh diakhiri dengan tanda hubung
  • PROJECT_ID: project ID Anda
  • LOCATION: zona tempat Anda ingin menempatkan instance
  • VM_IMAGE_PROJECT: ID project Google Cloud tempat image VM berada, dalam format: projects/IMAGE_PROJECT_ID
  • VM_IMAGE_NAME: nama image lengkap; untuk menemukan nama image versi tertentu, lihat Menemukan versi tertentu
  • MACHINE_TYPE: jenis mesin VM instance Anda
  • METADATA: metadata kustom yang akan diterapkan ke instance ini; misalnya, guna menentukan post-startup-script, Anda dapat menggunakan tag metadata post-startup-script, dalam format: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
  • SERVICE_ACCOUNT_EMAIL: alamat email akun layanan yang terkait dengan prinsip tenaga kerja Anda

Jalankan mengikuti berikut:

Linux, macOS, atau Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Untuk mengetahui informasi lebih lanjut tentang perintah untuk membuat instance dari command line, baca dokumentasi gcloud CLI.

Vertex AI Workbench membuat sebuah instance dan otomatis memulainya. Saat instance siap digunakan, Vertex AI Workbench akan mengaktifkan link Open JupyterLab di Konsol Google Cloud.

Akses Jupyterlab dengan kredensial pihak ketiga

Instance Vertex AI Workbench baru Anda akan membuat dua URL proxy terpisah dengan domain berikut:

  • byoid.googleusercontent.com: Domain ini hanya dapat digunakan oleh pengguna yang melakukan autentikasi dengan workforce identity pool. Nilainya disimpan dalam proxy-byoid-url kolom metadata instance. Nilai metadata ini mengaktifkan link Open JupyterLab di Google Cloud Konsol Workforce Identity Federation (console.cloud.google/).

  • googleusercontent.com: Domain ini hanya dapat digunakan oleh pengguna melakukan otentikasi dengan menggunakan Autentikasi Pihak Pertama Google secara {i>default<i}. Nilainya disimpan di kolom metadata instance proxy-url. Ini Nilai metadata mengaktifkan link Buka JupyterLab di kolom Konsol Google Cloud (console.cloud.google.com).

Langkah selanjutnya