サードパーティの認証情報を使用してインスタンスを作成する

このページでは、サードパーティの認証情報を使用して Vertex AI Workbench インスタンスを作成する方法について説明します。

概要

Workforce Identity 連携によって提供されるサードパーティの認証情報を使用して、Vertex AI Workbench インスタンスを作成して管理できます。Workforce Identity 連携は、外部 ID プロバイダ（IdP）を使用して、プロキシを介して Vertex AI Workbench インスタンスへのアクセス権をユーザー グループに付与します。

Vertex AI Workbench インスタンスへのアクセス権は、Vertex AI Workbench インスタンスのサービス アカウントに Workforce プールのプリンシパルを割り当てることで付与されます。

始める前に

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Notebooks API.

   Enable the API

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Make sure that billing is enabled for your Google Cloud project.

7. Enable the Notebooks API.

   Enable the API

8. Workforce Identity プールを使用して IdP を構成します。

インスタンスの作成に必要なロール

Workforce プールのプリンシパルに Vertex AI Workbench インスタンスの作成に必要な権限を付与するには、プロジェクトに対する Notebooks 管理者（roles/notebooks.admin）の IAM ロールを Workforce プールのプリンシパルに付与するよう管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。

管理者は、カスタムロールや他の事前定義ロールを使用して、Workforce プールのプリンシパルに必要な権限を付与することもできます。

サードパーティの認証情報を使用するのに必要なロール

Workforce プールのプリンシパルは、特定の権限を持つ Vertex AI Workbench インスタンスのサービス アカウントにアクセスする必要があります。

サードパーティの認証情報を使用して Vertex AI Workbench インスタンスを使用する権限を Workforce プールのプリンシパルに付与するには、インスタンスの作成時に指定するサービス アカウントに次の IAM ロールを Workforce プールのプリンシパルに付与するよう管理者に依頼してください。

• サービス アカウント トークン作成者（roles/iam.serviceAccountTokenCreator）
• サービス アカウント ユーザー（roles/iam.serviceAccountUser）

ロールの付与の詳細については、アクセス権の管理をご覧ください。

管理者は、カスタムロールや他の事前定義ロールを使用して、Workforce プールのプリンシパルに必要な権限を付与することもできます。

サードパーティの認証情報を使用してインスタンスを作成する

サードパーティの認証情報を使用して Vertex AI Workbench を作成するには、Google Cloud コンソールまたは gcloud CLI を使用します。

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL

サードパーティの認証情報を使用して Jupyterlab にアクセスする

新しい Vertex AI Workbench インスタンスでは、次のドメインを持つ 2 つのプロキシ URL が作成されます。

• byoid.googleusercontent.com: このドメインは、Workforce Identity プールで認証を行うユーザーのみが使用できます。この値は、インスタンスのメタデータ フィールド proxy-byoid-url に保存されます。このメタデータ値により、Google Cloud Workforce Identity 連携コンソール（console.cloud.google/）で [JupyterLab を開く] リンクが有効になります。

• googleusercontent.com: このドメインは、デフォルトの Google ファースト パーティ認証で認証するユーザーのみが使用できます。この値は、インスタンスのメタデータ フィールド proxy-url に保存されます。このメタデータ値により、Google Cloud コンソール（console.cloud.google.com）で [JupyterLab を開く] リンクが有効になります。

次のステップ

• Notebooks のプロビジョニングに使用するサードパーティのプリンシパルの詳細について、Workforce Identity 連携を確認する。