本页面介绍了以下表格工作流的服务账号:
端到端 AutoML 表格工作流的服务账号
此工作流使用以下服务账号:
| 服务账号 | 说明 | 默认主账号 | 默认名称 | 可被替换 |
|---|---|---|---|---|
| Vertex AI Pipelines 的服务账号 | 运行流水线的服务账号 | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
是 |
| Dataflow 工作器的服务账号 | 运行 Dataflow 工作器的服务账号 | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
是 |
| AI Platform Service Agent | 运行训练容器的服务账号。 | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
否 |
您可以将某些服务账号更改为您选择的账号。如需查看特定于 Google Cloud 控制台或 API 的说明,请参阅使用端到端 AutoML 训练模型。
Vertex AI Pipelines 的服务账号
您必须在流水线项目中将以下角色授予 Vertex AI Pipelines 的服务账号:
| 角色 | 权限 |
|---|---|
| Vertex AI User |
aiplatform.metadataStores.get 允许服务账号创建流水线作业。aiplatform.models.upload 允许服务账号上传模型。 |
| Storage Object Admin | Storage Object Admin 的 storage.objects.get 和 storage.objects.create 权限允许服务账号访问流水线作业根目录的存储桶。即使您不使用 Cloud Storage 数据源,服务账号也需要这些权限。 |
| Dataflow Developer | dataflow.jobs.create 允许服务账号在评估期间创建 Dataflow 作业。 |
| Service Account User |
iam.serviceAccounts.actAs 允许 Vertex AI Pipelines 服务账号在评估期间充当 Dataflow 工作器服务账号。 |
Dataflow 工作器的服务账号
您必须在流水线项目中将以下角色授予 Dataflow 工作器的服务账号:
| 角色 | 权限 |
|---|---|
| Dataflow Worker | 此角色允许服务账号访问运行 Dataflow 作业所需的资源。 |
| Storage Object Admin | 此角色允许服务账号访问 Cloud Storage 存储桶。即使您不使用 Cloud Storage 数据源,服务账号也需要这些权限。此角色包含 Storage Object Viewer 角色授予的所有权限。 |
此外,您还必须根据数据源类型向 Dataflow 工作器服务账号授予以下角色:
| 数据源 | 角色 | 在哪里授予角色 |
|---|---|---|
| 标准 BigQuery 表 | BigQuery Data Editor | 运行流水线的项目 |
| BigQuery Job User | 运行流水线的项目 | |
| BigQuery Data Viewer | 表所属的项目 | |
| 标准 BigQuery 表的 BigQuery 视图 | BigQuery Data Editor | 运行流水线的项目 |
| BigQuery Job User | 运行流水线的项目 | |
| BigQuery Data Viewer | 视图所属的项目 | |
| BigQuery Data Viewer | 表所属的项目 | |
| 包含源 Cloud Storage 文件的 BigQuery 外部表 | BigQuery Data Editor | 运行流水线的项目 |
| BigQuery Job User | 运行流水线的项目 | |
| BigQuery Data Viewer | 外部表所属的项目 | |
| Storage Object Viewer | 源文件所属的项目 | |
| 包含源 Cloud Storage 文件的 BigQuery 外部表的 BigQuery 视图 | BigQuery Data Editor | 运行流水线的项目 |
| BigQuery Job User | 运行流水线的项目 | |
| BigQuery Data Viewer | 视图所属的项目 | |
| BigQuery Data Viewer | 外部表所属的项目 | |
| Storage Object Viewer | 源文件所属的项目 | |
| Cloud Storage 文件 | Storage Object Viewer | 文件所属的项目 |
下表介绍了这些角色:
| 角色 | 权限 |
|---|---|
| BigQuery Data Editor | bigquery.jobs.get 和 bigquery.jobs.create 权限允许服务账号使用 BigQuery 数据集。bigquery.jobs.create 允许服务账号在统计信息和示例生成期间创建临时 BigQuery 数据集。此角色包含 BigQuery Data Viewer 角色授予的所有权限。 |
| BigQuery Job User | bigquery.jobs.create 允许服务账号使用 BigQuery 数据集。 |
| BigQuery Data Viewer | 此角色为服务账号提供对 BigQuery 数据集的访问权限。 |
| Storage Object Viewer | storage.objects.get 允许服务账号访问 Cloud Storage 文件。 |
AI Platform Service Agent
您必须确保在流水线项目中向 AI Platform Service Agent 授予以下角色:
| 角色 | 权限 |
|---|---|
| Vertex AI Service Agent |
此角色可为服务代理授予权限。这些权限包括 storage.object.get 权限以及对 Artifact Registry 制品库中容器映像的访问权限。 |
如果您的数据源是其他项目中的 BigQuery 数据集,您必须在数据集项目中向 AI Platform Service Agent 授予以下角色:
| 角色 | 权限 |
|---|---|
| BigQuery Data Viewer | bigquery.tables.get 允许服务账号在启动 Dataflow 作业之前获取 BigQuery 数据集的相关信息。 |
如果您的数据源是其他项目中的 Cloud Storage 文件,您必须在文件项目中向 AI Platform Service Agent 授予以下角色:
| Storage Object Viewer | storage.objects.list 允许服务账号在启动 Dataflow 作业之前获取 Cloud Storage 文件的相关信息。 |
用于预测的表格工作流的服务账号
此工作流使用以下服务账号:
| 服务账号 | 说明 | 默认主账号 | 默认名称 | 可被替换 |
|---|---|---|---|---|
| Vertex AI Pipelines 的服务账号 | 运行流水线的服务账号 | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
是 |
| Dataflow 工作器的服务账号 | 运行 Dataflow 工作器的服务账号 | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
是 |
| AI Platform Service Agent | 运行训练容器的服务账号。 | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
否 |
您可以将某些服务账号更改为您选择的账号。如需了解详情,请参阅使用用于预测的表格工作流训练模型。
Vertex AI Pipelines 的服务账号
您必须在流水线项目中将以下角色授予 Vertex AI Pipelines 的服务账号:
| 角色 | 权限 |
|---|---|
| Vertex AI User |
aiplatform.metadataStores.get 允许服务账号创建流水线作业。aiplatform.models.upload 允许服务账号上传模型。 |
| BigQuery Data Editor | bigquery.tables.create 允许服务账号在启动 Dataflow 作业之前为 Feature Transform Engine 创建临时表。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。此角色包含 BigQuery Data Viewer 角色授予的所有权限。 |
| BigQuery Job User | bigquery.jobs.create 允许服务账号在启动 Dataflow 作业之前为 Feature Transform Engine 运行 BigQuery 作业。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。 |
| Service Account User |
iam.serviceAccounts.actAs 允许 Vertex AI Pipelines 服务账号在评估期间充当 Dataflow 工作器服务账号。 |
| Dataflow Developer | 此角色可以访问运行 Dataflow 作业所需的资源。 |
此外,您还必须根据数据源类型向 Vertex AI Pipelines 服务账号授予以下角色:
| 数据源 | 角色 | 在哪里授予角色 | |
|---|---|---|---|
| Cloud Storage 文件 | Storage Admin | 文件所属的项目 | |
| 标准 BigQuery 表 | Storage Object Admin | 运行流水线的项目 | |
| BigQuery Data Viewer | 表所属的项目 | ||
| 标准 BigQuery 表的 BigQuery 视图 | Storage Object Admin | 运行流水线的项目 | |
| BigQuery Data Viewer | 视图所属的项目 | ||
| BigQuery Data Viewer | 表所属的项目 | ||
| 包含源 Cloud Storage 文件的 BigQuery 外部表 | Storage Object Admin | 运行流水线的项目 | |
| BigQuery Data Viewer | 外部表所属的项目 | ||
| Storage Object Viewer | 源文件所属的项目 | ||
| 包含源 Cloud Storage 文件的 BigQuery 外部表的 BigQuery 视图 | Storage Object Admin | 运行流水线的项目 | |
| BigQuery Data Viewer | 视图所属的项目 | ||
| BigQuery Data Viewer | 外部表所属的项目 | ||
| Storage Object Viewer | 源文件所属的项目 |
下表介绍了这些角色:
| BigQuery Data Viewer | bigquery.tables.get 为服务账号提供对数据集的访问权限。在流水线的 Feature Transform Engine 步骤中启动 Dataflow 作业之前,服务账号需要此访问权限。 |
| Storage Object Viewer | storage.objects.get 允许服务账号访问源 Cloud Storage 文件。 |
| Storage Object Admin | storage.objects.get 和 storage.objects.create 权限允许服务账号访问流水线作业根目录的存储桶。即使您的数据源不是 Cloud Storage 文件,服务账号也需要在流水线项目中拥有这些权限。此角色包含 Storage Object Viewer 角色授予的所有权限。 |
| Storage Admin | storage.buckets.* 权限允许服务账号在流水线的 Feature Transform Engine 步骤中验证 Cloud Storage 存储桶。此角色包含 Storage Object Admin 角色授予的所有权限。 |
如果您要执行模型评估,则必须提供 BigQuery 数据集以用作预测示例的目标位置。在包含此数据集的项目中,您必须将以下角色授予 Vertex AI Pipelines 服务账号:
| 角色 | 权限 |
|---|---|
| BigQuery Data Viewer | 此角色可让服务账号查看 BigQuery 数据。 |
| BigQuery Job User | bigquery.jobs.create 可让服务账号创建 BigQuery 作业。 |
Dataflow 工作器的服务账号
您必须在流水线项目中将以下角色授予 Dataflow 工作器的服务账号:
| 角色 | 权限 |
|---|---|
| Storage Object Admin | 此角色允许服务账号访问 Cloud Storage 存储桶。即使您的数据源不是 Cloud Storage 文件,服务账号也需要这些权限。 |
| BigQuery Job User | bigquery.jobs.create 允许服务账号执行流水线的 Feature Transform Engine 步骤。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。 |
| Dataflow Worker | 服务账号需要此角色授予的所有权限。 |
此外,您还必须根据数据源类型向 Dataflow 工作器服务账号授予以下角色:
| 数据源 | 角色 | 在哪里授予角色 |
|---|---|---|
| 标准 BigQuery 表 | BigQuery Data Editor | 运行流水线的项目 |
| BigQuery Data Viewer | 表所属的项目 | |
| 标准 BigQuery 表的 BigQuery 视图 | BigQuery Data Editor | 运行流水线的项目 |
| BigQuery Data Viewer | 视图所属的项目 | |
| BigQuery Data Viewer | 表所属的项目 | |
| 包含源 Cloud Storage 文件的 BigQuery 外部表 | BigQuery Data Editor | 运行流水线的项目 |
| BigQuery Data Viewer | 外部表所属的项目 | |
| Storage Object Viewer | 源文件所属的项目 | |
| 包含源 Cloud Storage 文件的 BigQuery 外部表的 BigQuery 视图 | BigQuery Data Editor | 运行流水线的项目 |
| BigQuery Data Viewer | 视图所属的项目 | |
| BigQuery Data Viewer | 外部表所属的项目 | |
| Storage Object Viewer | 源文件所属的项目 | |
| Cloud Storage 文件 | BigQuery Data Viewer | 运行流水线的项目 |
下表介绍了这些角色:
| 角色 | 权限 |
|---|---|
| BigQuery Data Viewer | bigquery.tables.get 提供对流水线 Feature Transform Engine 步骤中数据集的访问权限。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。 |
| BigQuery Data Editor | 此角色允许服务账号在流水线的 Feature Transform Engine 步骤中查询表和创建临时表。此角色包含 BigQuery Data Viewer 角色授予的所有权限。 |
| Storage Object Viewer | storage.objects.get 允许服务账号访问 Cloud Storage 文件。 |
AI Platform Service Agent
您必须确保在流水线项目中向 AI Platform Service Agent 授予以下角色:
| 角色 | 权限 |
|---|---|
| Vertex AI Service Agent |
此角色可为服务代理授予权限。这些权限包括 storage.object.get 权限以及对 Artifact Registry 制品库中容器映像的访问权限。 |
如果您要执行模型评估,则必须提供 BigQuery 数据集以用作预测示例的目标位置。在包含此数据集的项目中,您必须将以下角色授予 Vertex AI Pipelines 服务账号:
| 角色 | 权限 |
|---|---|
| BigQuery Data Editor | 此角色可让服务账号修改 BigQuery 数据。 |
| BigQuery Job User | bigquery.jobs.create 可让服务账号创建 BigQuery 作业。 |
TabNet 表格工作流、Wide & Deep 表格工作流和 Prophet 的服务账号
这些工作流使用以下服务账号:
| 服务账号 | 说明 | 默认主账号 | 默认名称 | 可被替换 |
|---|---|---|---|---|
| Vertex AI Pipelines 的服务账号 | 运行流水线的服务账号 | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
是 |
| Dataflow 工作器的服务账号 | 运行 Dataflow 工作器的服务账号 | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
是 |
| AI Platform Service Agent | 运行训练容器的服务账号。 | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
否 |
您可以将某些服务账号更改为您选择的账号。如需查看 TabNet 表格工作流的说明,请参阅使用 TabNet 训练模型。如需了解 Wide & Deep 的表格工作流的说明,请参阅使用 Wide & Deep 训练模型。如需了解 Prophet 说明,请参阅使用 Prophet 进行预测。
Vertex AI Pipelines 的服务账号
您必须在流水线项目中将以下角色授予 Vertex AI Pipelines 的服务账号:
| 角色 | 权限 |
|---|---|
| Vertex AI User |
aiplatform.metadataStores.get 允许服务账号创建流水线作业。aiplatform.models.upload 允许服务账号上传模型。 |
| BigQuery Data Editor | bigquery.tables.create 允许服务账号在启动 Dataflow 作业之前为 Feature Transform Engine 创建临时表。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。此角色包含 BigQuery Data Viewer 角色授予的所有权限。 |
| BigQuery Job User | bigquery.jobs.create 允许服务账号在启动 Dataflow 作业之前为 Feature Transform Engine 运行 BigQuery 作业。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。 |
| Service Account User |
iam.serviceAccounts.actAs 允许 Vertex AI Pipelines 服务账号在评估期间充当 Dataflow 工作器服务账号。 |
| Dataflow Developer | 此角色可以访问运行 Dataflow 作业所需的资源。 |
此外,您还必须根据数据源类型向 Vertex AI Pipelines 服务账号授予以下角色:
| 数据源 | 角色 | 在哪里授予角色 | |
|---|---|---|---|
| Cloud Storage 文件 | Storage Admin | 文件所属的项目 | |
| 标准 BigQuery 表 | Storage Object Admin | 运行流水线的项目 | |
| BigQuery Data Viewer | 表所属的项目 | ||
| 标准 BigQuery 表的 BigQuery 视图 | Storage Object Admin | 运行流水线的项目 | |
| BigQuery Data Viewer | 视图所属的项目 | ||
| BigQuery Data Viewer | 表所属的项目 | ||
| 包含源 Cloud Storage 文件的 BigQuery 外部表 | Storage Object Admin | 运行流水线的项目 | |
| BigQuery Data Viewer | 外部表所属的项目 | ||
| Storage Object Viewer | 源文件所属的项目 | ||
| 包含源 Cloud Storage 文件的 BigQuery 外部表的 BigQuery 视图 | Storage Object Admin | 运行流水线的项目 | |
| BigQuery Data Viewer | 视图所属的项目 | ||
| BigQuery Data Viewer | 外部表所属的项目 | ||
| Storage Object Viewer | 源文件所属的项目 |
下表介绍了这些角色:
| BigQuery Data Viewer | bigquery.tables.get 为服务账号提供对数据集的访问权限。在流水线的 Feature Transform Engine 步骤中启动 Dataflow 作业之前,服务账号需要此访问权限。 |
| Storage Object Viewer | storage.objects.get 允许服务账号访问源 Cloud Storage 文件。 |
| Storage Object Admin | storage.objects.get 和 storage.objects.create 权限允许服务账号访问流水线作业根目录的存储桶。即使您的数据源不是 Cloud Storage 文件,服务账号也需要在流水线项目中拥有这些权限。此角色包含 Storage Object Viewer 角色授予的所有权限。 |
| Storage Admin | storage.buckets.* 权限允许服务账号在流水线的 Feature Transform Engine 步骤中验证 Cloud Storage 存储桶。此角色包含 Storage Object Admin 角色授予的所有权限。 |
Dataflow 工作器的服务账号
您必须在流水线项目中将以下角色授予 Dataflow 工作器的服务账号:
| 角色 | 权限 |
|---|---|
| Storage Object Admin | 此角色允许服务账号访问 Cloud Storage 存储桶。即使您的数据源不是 Cloud Storage 文件,服务账号也需要这些权限。 |
| BigQuery Job User | bigquery.jobs.create 允许服务账号执行流水线的 Feature Transform Engine 步骤。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。 |
| Dataflow Worker | 服务账号需要此角色授予的所有权限。 |
此外,您还必须根据数据源类型向 Dataflow 工作器服务账号授予以下角色:
| 数据源 | 角色 | 在哪里授予角色 |
|---|---|---|
| 标准 BigQuery 表 | BigQuery Data Editor | 运行流水线的项目 |
| BigQuery Data Viewer | 表所属的项目 | |
| 标准 BigQuery 表的 BigQuery 视图 | BigQuery Data Editor | 运行流水线的项目 |
| BigQuery Data Viewer | 视图所属的项目 | |
| BigQuery Data Viewer | 表所属的项目 | |
| 包含源 Cloud Storage 文件的 BigQuery 外部表 | BigQuery Data Editor | 运行流水线的项目 |
| BigQuery Data Viewer | 外部表所属的项目 | |
| Storage Object Viewer | 源文件所属的项目 | |
| 包含源 Cloud Storage 文件的 BigQuery 外部表的 BigQuery 视图 | BigQuery Data Editor | 运行流水线的项目 |
| BigQuery Data Viewer | 视图所属的项目 | |
| BigQuery Data Viewer | 外部表所属的项目 | |
| Storage Object Viewer | 源文件所属的项目 | |
| Cloud Storage 文件 | BigQuery Data Viewer | 运行流水线的项目 |
下表介绍了这些角色:
| 角色 | 权限 |
|---|---|
| BigQuery Data Viewer | bigquery.tables.get 提供对流水线 Feature Transform Engine 步骤中数据集的访问权限。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。 |
| BigQuery Data Editor | 此角色允许服务账号在流水线的 Feature Transform Engine 步骤中查询表和创建临时表。此角色包含 BigQuery Data Viewer 角色授予的所有权限。 |
| Storage Object Viewer | storage.objects.get 允许服务账号访问 Cloud Storage 文件。 |
AI Platform Service Agent
您必须确保在流水线项目中向 AI Platform Service Agent 授予以下角色:
| 角色 | 权限 |
|---|---|
| Vertex AI Service Agent |
此角色可为服务代理授予权限。这些权限包括 storage.object.get 权限以及对 Artifact Registry 制品库中容器映像的访问权限。 |
ARIMA+ 的服务账号
此工作流使用以下服务账号:
| 服务账号 | 说明 | 默认主账号 | 默认名称 | 可被替换 |
|---|---|---|---|---|
| Vertex AI Pipelines 的服务账号 | 运行流水线的服务账号 | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
是 |
| AI Platform Service Agent | 运行训练容器的服务账号。 | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
否 |
您可以将 Vertex AI Pipelines 服务账号更改为您选择的账号。如需了解详情,请参阅使用 ARIMA+ 进行预测。
Vertex AI Pipelines 的服务账号
您必须在流水线项目中将以下角色授予 Vertex AI Pipelines 的服务账号:
| 角色 | 权限 |
|---|---|
| Vertex AI User |
aiplatform.metadataStores.get 允许服务账号创建流水线作业。aiplatform.models.upload 允许服务账号上传模型。 |
| BigQuery Data Editor | bigquery.tables.create 允许服务账号在启动 Dataflow 作业之前为 Feature Transform Engine 创建临时表。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。此角色包含 BigQuery Data Viewer 角色授予的所有权限。 |
| BigQuery Job User | bigquery.jobs.create 允许服务账号在启动 Dataflow 作业之前为 Feature Transform Engine 运行 BigQuery 作业。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。 |
| Service Account User |
iam.serviceAccounts.actAs 允许 Vertex AI Pipelines 服务账号在评估期间充当 Dataflow 工作器服务账号。 |
| Dataflow Developer | 此角色可以访问运行 Dataflow 作业所需的资源。 |
此外,您还必须根据数据源类型向 Vertex AI Pipelines 服务账号授予以下角色:
| 数据源 | 角色 | 在哪里授予角色 | |
|---|---|---|---|
| Cloud Storage 文件 | Storage Admin | 文件所属的项目 | |
| 标准 BigQuery 表 | Storage Object Admin | 运行流水线的项目 | |
| BigQuery Data Viewer | 表所属的项目 | ||
| 标准 BigQuery 表的 BigQuery 视图 | Storage Object Admin | 运行流水线的项目 | |
| BigQuery Data Viewer | 视图所属的项目 | ||
| BigQuery Data Viewer | 表所属的项目 | ||
| 包含源 Cloud Storage 文件的 BigQuery 外部表 | Storage Object Admin | 运行流水线的项目 | |
| BigQuery Data Viewer | 外部表所属的项目 | ||
| Storage Object Viewer | 源文件所属的项目 | ||
| 包含源 Cloud Storage 文件的 BigQuery 外部表的 BigQuery 视图 | Storage Object Admin | 运行流水线的项目 | |
| BigQuery Data Viewer | 视图所属的项目 | ||
| BigQuery Data Viewer | 外部表所属的项目 | ||
| Storage Object Viewer | 源文件所属的项目 |
下表介绍了这些角色:
| BigQuery Data Viewer | bigquery.tables.get 为服务账号提供对数据集的访问权限。在流水线的 Feature Transform Engine 步骤中启动 Dataflow 作业之前,服务账号需要此访问权限。 |
| Storage Object Viewer | storage.objects.get 允许服务账号访问源 Cloud Storage 文件。 |
| Storage Object Admin | storage.objects.get 和 storage.objects.create 权限允许服务账号访问流水线作业根目录的存储桶。即使您的数据源不是 Cloud Storage 文件,服务账号也需要在流水线项目中拥有这些权限。此角色包含 Storage Object Viewer 角色授予的所有权限。 |
| Storage Admin | storage.buckets.* 权限允许服务账号在流水线的 Feature Transform Engine 步骤中验证 Cloud Storage 存储桶。此角色包含 Storage Object Admin 角色授予的所有权限。 |
AI Platform Service Agent
您必须确保在流水线项目中向 AI Platform Service Agent 授予以下角色:
| 角色 | 权限 |
|---|---|
| Vertex AI Service Agent |
此角色可为服务代理授予权限。这些权限包括 storage.object.get 权限以及对 Artifact Registry 制品库中容器映像的访问权限。 |