サードパーティの認証情報を使用してインスタンスを作成する

このページでは、サードパーティの認証情報を使用して Vertex AI Workbench インスタンスを作成する方法について説明します。

概要

Workforce Identity 連携によって提供されるサードパーティの認証情報を使用して、Vertex AI Workbench インスタンスを作成して管理できます。Workforce Identity 連携は、外部 ID プロバイダ(IdP)を使用して、プロキシを介して Vertex AI Workbench インスタンスへのアクセス権をユーザー グループに付与します。

Vertex AI Workbench インスタンスへのアクセス権は、Vertex AI Workbench インスタンスのサービス アカウントに Workforce プールのプリンシパルを割り当てることで付与されます。

始める前に

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Enable the API

  8. Workforce Identity プールを使用して IdP を構成します。

インスタンスの作成に必要なロール

Workforce プールのプリンシパルに Vertex AI Workbench インスタンスの作成に必要な権限を付与するには、プロジェクトに対する Notebooks 管理者roles/notebooks.admin)の IAM ロールを Workforce プールのプリンシパルに付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

管理者は、カスタムロールや他の事前定義ロールを使用して、Workforce プールのプリンシパルに必要な権限を付与することもできます。

サードパーティの認証情報を使用するのに必要なロール

Workforce プールのプリンシパルは、特定の権限を持つ Vertex AI Workbench インスタンスのサービス アカウントにアクセスする必要があります。

サードパーティの認証情報を使用して Vertex AI Workbench インスタンスを使用する権限を Workforce プールのプリンシパルに付与するには、インスタンスの作成時に指定するサービス アカウントに次の IAM ロールを Workforce プールのプリンシパルに付与するよう管理者に依頼してください。

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

管理者は、カスタムロールや他の事前定義ロールを使用して、Workforce プールのプリンシパルに必要な権限を付与することもできます。

サードパーティの認証情報を使用してインスタンスを作成する

サードパーティの認証情報を使用して Vertex AI Workbench を作成するには、Google Cloud コンソールまたは gcloud CLI を使用します。

コンソール

  1. Workforce プール プロバイダを使用して Google Cloud コンソールにログインします。

    コンソールに移動

  2. Google Cloud コンソールで、[インスタンス] ページに移動します。

    [インスタンス] に移動

  3. [新規作成] をクリックします。

  4. [新しいインスタンス] ダイアログで、[詳細オプション] をクリックします。

  5. [インスタンスを作成] ダイアログの [IAM とセキュリティ] セクションで、次の操作を行います。

    1. [サービス アカウント] が選択されていることを確認します。

    2. [デフォルトの Compute Engine サービス アカウントを使用する] をオフにして、[サービス アカウントのメールアドレス] フィールドに、ワークフォース プリンシパルに関連付けられているサービス アカウントのメールアドレスを入力します。

  6. [作成] をクリックします。

    Vertex AI Workbench がインスタンスを作成し、自動的に起動します。インスタンスを使用する準備が整うと、Vertex AI Workbench で [JupyterLab を開く] が有効になります。

gcloud

Workforce Identity プールで gcloud CLI を認証するには、IAM ガイドをご覧ください。

後述のコマンドデータを使用する前に、次のように置き換えます。

  • INSTANCE_NAME: Vertex AI Workbench インスタンスの名前。先頭は英字、その後は 62 文字以下の小文字、数字、ハイフン(-)でなければならず、末尾をハイフンにすることはできません
  • PROJECT_ID: プロジェクト ID
  • LOCATION: インスタンスを配置するゾーン
  • VM_IMAGE_PROJECT: VM イメージが属する Google Cloud プロジェクトの ID(形式は projects/IMAGE_PROJECT_ID
  • VM_IMAGE_NAME: イメージの完全な名前。特定のバージョンのイメージ名を確認するには、特定のバージョンを検索するをご覧ください
  • MACHINE_TYPE: インスタンスの VM のマシンタイプ
  • METADATA: このインスタンスに適用するカスタム メタデータ。たとえば、起動後スクリプトを指定するには、post-startup-script メタデータタグを "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh" の形式で使用してください。
  • SERVICE_ACCOUNT_EMAIL: ワークフォース プリンシパルに関連付けられているサービス アカウントのメールアドレス

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows(PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows(cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL

コマンドラインからインスタンスを作成するコマンドの詳細については、gcloud CLI のドキュメントをご覧ください。

Vertex AI Workbench がインスタンスを作成し、自動的に起動します。インスタンスを使用する準備が整うと、Vertex AI Workbench により Google Cloud コンソールで [JupyterLab を開く] リンクが有効になります。

サードパーティの認証情報を使用して Jupyterlab にアクセスする

新しい Vertex AI Workbench インスタンスでは、次のドメインを持つ 2 つのプロキシ URL が作成されます。

  • byoid.googleusercontent.com: このドメインは、Workforce Identity プールで認証を行うユーザーのみが使用できます。この値は、インスタンスのメタデータ フィールド proxy-byoid-url に保存されます。このメタデータ値により、Google Cloud Workforce Identity 連携コンソールconsole.cloud.google/)で [JupyterLab を開く] リンクが有効になります。

  • googleusercontent.com: このドメインは、デフォルトの Google ファースト パーティ認証で認証するユーザーのみが使用できます。この値は、インスタンスのメタデータ フィールド proxy-url に保存されます。このメタデータ値により、Google Cloud コンソール(console.cloud.google.com)で [JupyterLab を開く] リンクが有効になります。

次のステップ

  • Notebooks のプロビジョニングに使用するサードパーティのプリンシパルの詳細について、Workforce Identity 連携を確認する。