Criar uma instância com credenciais de terceiros

Nesta página, descrevemos como criar uma instância do Vertex AI Workbench com credenciais de terceiros.

Visão geral

É possível criar e gerenciar instâncias do Vertex AI Workbench com credenciais de terceiros fornecidas pela federação de identidade de colaboradores. A federação de identidade de colaboradores usa o provedor de identidade externo (IdP) para conceder acesso a um grupo de usuários acesso a instâncias do Vertex AI Workbench por um proxy.

O acesso a uma instância do Vertex AI Workbench é concedido pela atribuição do principal do pool de colaboradores à conta de serviço da instância do Vertex AI Workbench.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Enable the API

    5.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Enable the API

    8.
  8. Configure seu IdP com um pool de identidade dos colaboradores.

Papel necessário para criar uma instância

Para garantir que o principal do pool dos colaboradores tenha as ferramentas permissões para criar uma instância do Vertex AI Workbench, peça ao administrador para conceder ao principal do pool de colaboradores Administrador de notebooks (roles/notebooks.admin) papel do IAM no projeto. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

O administrador também pode atribuir o pool de colaboradores as permissões necessárias por meio de papéis personalizados ou outros papéis predefinidos .

Papéis necessários para usar credenciais de terceiros

O principal do pool de colaboradores precisa de acesso à sua conta de serviço da instância do Vertex AI Workbench com permissões específicas.

Para garantir que o principal do pool de colaboradores tenha as permissões necessárias para usar uma instância do Vertex AI Workbench com credenciais de terceiros, peça ao administrador para conceder ao principal do pool de colaboradores os seguintes papéis do IAM na conta de serviço que você especificará ao criar sua instância:

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Seu administrador também pode conceder ao principal do pool de colaboradores as permissões necessárias por meio de papéis personalizados ou outros papéis predefinidos.

Criar a instância usando credenciais de terceiros

É possível criar um Vertex AI Workbench com as credenciais de terceiros usando o console do Google Cloud ou a gcloud CLI:

Console

  1. Faça login no console do Google Cloud usando um provedor de pool de colaboradores

    Acessar o console

  2. No Console do Google Cloud, acesse a página Instâncias.

    Acesse "Instâncias"

  3. Clique em Criar.

  4. Na caixa de diálogo Nova instância, clique em Opções avançadas.

  5. Na caixa de diálogo Criar instância, na seção IAM e segurança, faça o seguinte:

    1. Verifique se a Conta de serviço está selecionada.

    2. Desmarque Usar a conta de serviço padrão do Compute Engine e, em seguida, o campo E-mail da conta de serviço, insira o endereço da conta de serviço associado ao principal dos colaboradores.

  6. Clique em Criar.

    O Vertex AI Workbench cria uma instância e a inicia automaticamente. Quando a instância estiver pronta para uso, o Vertex AI Workbench ativa um link Abrir JupyterLab.

gcloud

Siga o guia do IAM. para autenticar a gcloud CLI com um pool de identidades dos colaboradores.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • INSTANCE_NAME: o nome da sua instância do Vertex AI Workbench. Precisa começar com uma letra seguida por até 62 letras minúsculas, números ou hifens (-) e não pode terminar com um hífen.
  • PROJECT_ID: ID do projeto;
  • LOCATION: a zona em que você quer que a instância esteja localizada
  • VM_IMAGE_PROJECT: o ID do projeto do Google Cloud a que a imagem da VM pertence, no formato: projects/IMAGE_PROJECT_ID
  • VM_IMAGE_NAME: o nome completo da imagem. Para encontrar o nome da imagem de uma versão específica, consulte Encontrar a versão específica.
  • MACHINE_TYPE: o tipo de máquina da VM da instância
  • METADATA: metadados personalizados a serem aplicados a esta instância. Por exemplo, para especificar um script pós-inicialização, use a tag de metadados post-startup-script no formato: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
  • SERVICE_ACCOUNT_EMAIL: o endereço de e-mail da conta de serviço que está associado ao principal dos colaboradores

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Para mais informações sobre o comando para criar uma instância usando a linha de comando, consulte a documentação da CLI gcloud.

O Vertex AI Workbench cria uma instância e a inicia automaticamente. Quando a instância estiver pronta para uso, o Vertex AI Workbench ativa um link Abrir JupyterLab no console do Google Cloud.

Acessar o Jupyterlab com credenciais de terceiros

Sua nova instância do Vertex AI Workbench cria dois URLs de proxy separados com os domínios a seguir:

  • byoid.googleusercontent.com: este domínio só pode ser usado por usuários autenticados com um pool de identidades dos colaboradores. O valor é armazenado no campo de metadados da instância proxy-byoid-url. Esse valor de metadados é ativado um link Abrir JupyterLab na interface do console da federação de identidade de colaboradores do Google Cloud (console.cloud.google/).

  • googleusercontent.com: este domínio só pode ser usado por usuários autenticados com um pool de identidades da força de trabalho. O valor é armazenado no campo de metadados da instância proxy-url. Este valor de metadados ativa um link Abrir JupyterLab no console do Google Cloud (console.cloud.google.com).

A seguir