使用第三方凭据创建实例
本页面介绍了如何使用第三方凭据创建 Vertex AI Workbench 实例。
概览
您可以使用员工身份联合提供的第三方凭据创建和管理 Vertex AI Workbench 实例。员工身份联合使用外部身份提供方 (IdP) 通过代理为一组用户授予对 Vertex AI Workbench 实例的访问权限。
通过向 Vertex AI Workbench 实例的服务账号分配员工池主账号,即可授予对 Vertex AI Workbench 实例的访问权限。
准备工作
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
- 使用员工身份池配置 IdP。
创建实例所需的角色
如需确保员工池主账号拥有创建 Vertex AI Workbench 实例所需的权限,请让您的管理员为员工池主账号授予项目的 Notebooks Admin (roles/notebooks.admin) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
您的管理员也可以通过自定义角色或其他预定义角色为员工池主账号授予所需的权限。
使用第三方凭据所需的角色
您的员工池主账号需要有权访问 Vertex AI Workbench 实例的服务账号,并拥有特定权限。
如需确保员工池主账号拥有通过第三方凭据使用 Vertex AI Workbench 实例所需的权限,请让您的管理员为员工池主账号授予您在创建实例时指定的服务账号的以下 IAM 角色:
-
Service Account Token Creator (
roles/iam.serviceAccountTokenCreator) -
Service Account User (
roles/iam.serviceAccountUser)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
您的管理员也可以通过自定义角色或其他预定义角色为员工池主账号授予所需的权限。
使用第三方凭据创建实例
您可以通过 Google Cloud 控制台或 gcloud CLI 使用第三方凭据创建 Vertex AI Workbench:
控制台
gcloud
如需使用员工身份池向 gcloud CLI 进行身份验证,请按照 IAM 指南操作。
在使用下面的命令数据之前,请先进行以下替换:
-
INSTANCE_NAME:Vertex AI Workbench 实例的名称;必须以字母开头,后面最多可跟 62 个小写字母、数字或连字符 (-),但不能以连字符结尾 PROJECT_ID:您的项目 IDLOCATION:您希望实例所在的可用区-
VM_IMAGE_PROJECT:虚拟机映像所属的 Google Cloud 项目的 ID,格式为projects/IMAGE_PROJECT_ID -
VM_IMAGE_NAME:完整的映像名称;如需查找特定版本的映像名称,请参阅查找特定版本 -
MACHINE_TYPE:实例虚拟机的机器类型 -
METADATA:要应用于此实例的自定义元数据;例如,如需指定 post-startup-script,您可以使用post-startup-script元数据标记,格式为"--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh" -
SERVICE_ACCOUNT_EMAIL:与您的员工主账号关联的服务账号电子邮件地址
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud workbench instances create INSTANCE_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --vm-image-project=VM_IMAGE_PROJECT \ --vm-image-name=VM_IMAGE_NAME \ --machine-type=MACHINE_TYPE \ --metadata=METADATA \ --service-account-email=SERVICE_ACCOUNT_EMAIL
Windows (PowerShell)
gcloud workbench instances create INSTANCE_NAME ` --project=PROJECT_ID ` --location=LOCATION ` --vm-image-project=VM_IMAGE_PROJECT ` --vm-image-name=VM_IMAGE_NAME ` --machine-type=MACHINE_TYPE ` --metadata=METADATA ` --service-account-email=SERVICE_ACCOUNT_EMAIL
Windows (cmd.exe)
gcloud workbench instances create INSTANCE_NAME ^ --project=PROJECT_ID ^ --location=LOCATION ^ --vm-image-project=VM_IMAGE_PROJECT ^ --vm-image-name=VM_IMAGE_NAME ^ --machine-type=MACHINE_TYPE ^ --metadata=METADATA ^ --service-account-email=SERVICE_ACCOUNT_EMAIL
如需详细了解用于从命令行创建示例的命令,请参阅 gcloud CLI 文档。
Vertex AI Workbench 会创建实例并自动启动该实例。当实例可供使用时,Vertex AI Workbench 会在 Google Cloud 控制台中激活打开 JupyterLab 链接。
使用第三方凭据访问 Jupyterlab
新的 Vertex AI Workbench 实例会使用以下网域创建两个单独的代理网址:
byoid.googleusercontent.com:此网域只能由通过员工身份池进行身份验证的用户使用。其值存储在实例的元数据字段proxy-byoid-url中。此元数据值会在 Google Cloud 员工身份联合控制台 (console.cloud.google/) 中激活打开 JupyterLab 链接。googleusercontent.com:此网域只能由通过 Google 的默认第一方身份验证进行身份验证的用户使用。其值存储在实例的元数据字段proxy-url中。此元数据值会在 Google Cloud 控制台 (console.cloud.google.com) 中激活打开 JupyterLab 链接。
后续步骤
- 如需详细了解用于预配笔记本的第三方主账号,请参阅员工身份联合。