Auf dieser Seite werden die Dienstkonten für die folgenden tabellarischen Workflows beschrieben:
- Tabellarischer Workflow für End-to-End-AutoML
- Tabellarischer Workflow für Prognosen
- Tabellarischer Workflow für TabNet
- Tabellarischer Workflow für Wide & Deep
- Prophet
- ARIMA+
Dienstkonten für tabellarische Workflows für End-to-End-AutoML
Dieser Workflow verwendet folgende Dienstkonten:
| Dienstkonto | Beschreibung | Standard-Hauptkonto | Standardname | Kann überschrieben werden |
|---|---|---|---|---|
| Dienstkonto für Vertex AI Pipelines | Das Dienstkonto, mit dem die Pipeline ausgeführt wird | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| Dienstkonto für Dataflow-Worker | Das Dienstkonto, auf dem die Dataflow-Worker ausgeführt werden | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| AI Platform-Dienst-Agent | Das Dienstkonto, das die Trainingscontainer ausführt. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Nein |
Einige Dienstkonten können in ein Konto Ihrer Wahl geändert werden. Eine Anleitung für die Google Cloud Console oder die API finden Sie unter Modell mit End-to-End-AutoML trainieren.
Dienstkonto für Vertex AI Pipelines
Sie müssen dem Dienstkonto für Vertex AI Pipelines im Pipelineprojekt die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Nutzer |
aiplatform.metadataStores.get ermöglicht dem Dienstkonto, einen Pipelinejob zu erstellen. aiplatform.models.upload ermöglicht dem Dienstkonto, das Modell hochzuladen.
|
| Storage-Objekt-Administrator | Mit den Berechtigungen storage.objects.get und storage.objects.create von Storage Object Admin kann das Dienstkonto auf den Bucket für das Stammverzeichnis des Pipeline-Jobs zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn Sie keine Cloud Storage-Datenquelle verwenden. |
| Dataflow-Entwickler | dataflow.jobs.create ermöglicht dem Dienstkonto, Dataflow-Jobs während der Bewertung zu erstellen. |
| Dienstkontonutzer |
Mit iam.serviceAccounts.actAs kann das Vertex AI Pipelines-Dienstkonto während der Bewertung als Dataflow-Worker-Dienstkonto fungieren.
|
Dienstkonto für Dataflow-Worker
Sie müssen dem Dienstkonto für den Dataflow-Worker im Pipelineprojekt die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Dataflow-Worker | Mit dieser Rolle kann das Dienstkonto auf die Ressourcen zugreifen, die zum Ausführen von Dataflow-Jobs erforderlich sind. |
| Storage-Objekt-Administrator | Mit dieser Rolle kann das Dienstkonto auf Cloud Storage-Buckets zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn Sie keine Cloud Storage-Datenquelle verwenden. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter. |
Außerdem müssen Sie dem Dataflow-Worker-Dienstkonto je nach Datenquellentyp die folgenden Rollen zuweisen:
| Datenquelle | Rolle | Wo die Rolle zugewiesen werden soll |
|---|---|---|
| Standard-BigQuery-Tabelle | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Jobnutzer | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| BigQuery-Ansicht einer Standard-BigQuery-Tabelle | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Jobnutzer | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Datenansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Jobnutzer | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Jobnutzer | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Datenansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| Cloud Storage-Datei | Storage-Objekt-Betrachter | Projekt, zu dem die Datei gehört |
In der folgenden Tabelle werden diese Rollen erläutert:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Dateneditor | Die Berechtigungen bigquery.jobs.get und bigquery.jobs.create ermöglichen dem Dienstkonto, BigQuery-Datasets zu verwenden. Mit bigquery.jobs.create kann das Dienstkonto temporäre BigQuery-Datasets während der Statistiken und der Beispielgenerierung erstellen. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto, ein BigQuery-Dataset zu verwenden. |
| BigQuery-Datenbetrachter | Diese Rolle gibt dem Dienstkonto Zugriff auf das BigQuery-Dataset. |
| Storage-Objekt-Betrachter | storage.objects.get ermöglicht dem Dienstkonto, auf eine Cloud Storage-Datei zuzugreifen. |
AI Platform-Dienst-Agent
Sie müssen dem AI Platform-Dienst-Agent im Pipelineprojekt die folgende Rolle zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Dienst-Agent |
Mit dieser Rolle werden Berechtigungen für Dienst-Agents gewährt. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.
|
Wenn Ihre Datenquelle ein BigQuery-Dataset aus einem anderen Projekt ist, müssen Sie dem AI Platform-Dienst-Agent im Dataset-Projekt die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Datenbetrachter | bigquery.tables.get ermöglicht dem Dienstkonto, Informationen zum BigQuery-Dataset abzurufen, bevor ein Dataflow-Job gestartet wird. |
Wenn Ihre Datenquelle eine Cloud Storage-Datei aus einem anderen Projekt ist, müssen Sie dem AI Platform-Dienstkonto im Dateiprojekt die folgenden Rollen zuweisen:
| Storage-Objekt-Betrachter | storage.objects.list ermöglicht dem Dienstkonto, Informationen zur Cloud Storage-Datei abzurufen, bevor ein Dataflow-Job gestartet wird. |
Dienstkonten für den tabellarische Workflow für Prognosen
Dieser Workflow verwendet folgende Dienstkonten:
| Dienstkonto | Beschreibung | Standard-Hauptkonto | Standardname | Kann überschrieben werden |
|---|---|---|---|---|
| Dienstkonto für Vertex AI Pipelines | Das Dienstkonto, mit dem die Pipeline ausgeführt wird | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| Dienstkonto für Dataflow-Worker | Das Dienstkonto, auf dem die Dataflow-Worker ausgeführt werden | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| AI Platform-Dienst-Agent | Das Dienstkonto, mit dem die Trainingscontainer ausgeführt werden. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Nein |
Einige Dienstkonten können in ein Konto Ihrer Wahl geändert werden. Weitere Informationen finden Sie unter Modell mit dem tabellarischen Workflow für Prognosen trainieren.
Dienstkonto für Vertex AI Pipelines
Sie müssen dem Dienstkonto für Vertex AI Pipelines im Pipelineprojekt die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Nutzer |
aiplatform.metadataStores.get ermöglicht dem Dienstkonto, einen Pipelinejob zu erstellen. aiplatform.models.upload ermöglicht es dem Dienstkonto, das Modell hochzuladen.
|
| BigQuery-Dateneditor | bigquery.tables.create ermöglicht dem Dienstkonto, temporäre Tabellen für Feature Transform Engine zu erstellen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn es sich bei Ihrer Datenquelle nicht um ein BigQuery-Dataset handelt. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto, BigQuery-Jobs für Feature Transform Engine auszuführen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn Ihre Datenquelle kein BigQuery-Dataset ist. |
| Dienstkontonutzer |
iam.serviceAccounts.actAs ermöglicht dem Vertex AI Pipelines-Dienstkonto, während der Bewertung als Dataflow-Worker-Dienstkonto zu fungieren.
|
| Dataflow-Entwickler | Diese Rolle gewährt Zugriff auf Ressourcen, die zum Ausführen von Dataflow-Jobs erforderlich sind. |
Außerdem müssen Sie dem Vertex AI Pipelines-Dienstkonto je nach Datenquellentyp die folgenden Rollen zuweisen:
| Datenquelle | Rolle | Wo die Rolle zugewiesen werden soll | |
|---|---|---|---|
| Cloud Storage-Datei | Storage-Administrator | Projekt, zu dem die Datei gehört | |
| Standard-BigQuery-Tabelle | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | ||
| BigQuery-Ansicht einer Standard-BigQuery-Tabelle | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | ||
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | ||
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | ||
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | ||
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | ||
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | ||
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört |
In der folgenden Tabelle werden diese Rollen erläutert:
| BigQuery-Datenbetrachter | bigquery.tables.get gewährt dem Dienstkonto Zugriff auf das Dataset. Das Dienstkonto benötigt diesen Zugriff, bevor der Dataflow-Job im Schritt „Feature Transform Engine“ der Pipeline gestartet wird. |
| Storage-Objekt-Betrachter | storage.objects.get ermöglicht dem Dienstkonto, auf die Cloud Storage-Quelldatei zuzugreifen. |
| Storage-Objekt-Administrator | Die Berechtigungen storage.objects.get und storage.objects.create ermöglichen dem Dienstkonto, auf den Bucket für das Stammverzeichnis des Pipelinejobs zuzugreifen. Das Dienstkonto benötigt diese Berechtigungen im Pipelineprojekt, auch wenn Ihre Datenquelle keine Cloud Storage-Datei ist. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter. |
| Storage-Administrator | Mit Berechtigungen vom Typ storage.buckets.* kann das Dienstkonto den Cloud Storage-Bucket im Schritt „Feature Transform Engine“ der Pipeline validieren. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Administrator. |
Wenn Sie die Modellbewertung durchführen, müssen Sie ein BigQuery-Dataset als Ziel für die vorhergesagten Beispiele bereitstellen. In dem Projekt, das dieses Dataset enthält, müssen Sie dem Vertex AI Pipelines-Dienstkonto die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Datenbetrachter | Mit dieser Rolle kann das Dienstkonto BigQuery-Daten aufrufen. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto das Erstellen von BigQuery-Jobs. |
Dienstkonto für Dataflow-Worker
Sie müssen dem Dienstkonto für den Dataflow-Worker im Pipelineprojekt die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Storage-Objekt-Administrator | Mit dieser Rolle kann das Dienstkonto auf Cloud Storage-Buckets zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn die Datenquelle keine Cloud Storage-Datei ist. |
| BigQuery-Jobnutzer | Mit bigquery.jobs.create kann das Dienstkonto den Schritt „Feature Transform Engine“ der Pipeline ausführen. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn Ihre Datenquelle kein BigQuery-Dataset ist. |
| Dataflow-Worker | Das Dienstkonto benötigt alle Berechtigungen, die durch diese Rolle gewährt werden. |
Außerdem müssen Sie dem Dataflow-Worker-Dienstkonto je nach Datenquellentyp die folgenden Rollen zuweisen:
| Datenquelle | Rolle | Wo die Rolle zugewiesen werden soll |
|---|---|---|
| Standard-BigQuery-Tabelle | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| BigQuery-Ansicht einer Standard-BigQuery-Tabelle | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Datenansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Datenansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| Cloud Storage-Datei | BigQuery-Datenbetrachter | Projekt, in dem die Pipeline ausgeführt wird |
In der folgenden Tabelle werden diese Rollen erläutert:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Datenbetrachter | bigquery.tables.get bietet Zugriff auf das Dataset im Schritt „Feature Transform Engine“ der Pipeline. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn es sich bei Ihrer Datenquelle nicht um ein BigQuery-Dataset handelt. |
| BigQuery-Dateneditor | Mit dieser Rolle kann das Dienstkonto die Tabelle abfragen und temporäre Tabellen während des Schritts „Feature Transform Engine“ der Pipeline erstellen. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| Storage-Objekt-Betrachter | Mit storage.objects.get kann das Dienstkonto auf eine Cloud Storage-Datei zugreifen. |
AI Platform-Dienst-Agent
Sie müssen dem AI Platform-Dienst-Agent im Pipelineprojekt die folgende Rolle zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Dienst-Agent |
Mit dieser Rolle werden Berechtigungen für Dienst-Agents gewährt. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.
|
Wenn Sie die Modellbewertung durchführen, müssen Sie ein BigQuery-Dataset als Ziel für die vorhergesagten Beispiele bereitstellen. In dem Projekt, das dieses Dataset enthält, müssen Sie dem Vertex AI Pipelines-Dienstkonto die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Dateneditor | Mit dieser Rolle kann das Dienstkonto BigQuery-Daten bearbeiten. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto das Erstellen von BigQuery-Jobs. |
Dienstkonten für den tabellarischen Workflow für TabNet und tabellarische Workflows für Wide & Deep sowie Prophet
Für diese Workflows werden die folgenden Dienstkonten verwendet:
| Dienstkonto | Beschreibung | Standard-Hauptkonto | Standardname | Kann überschrieben werden |
|---|---|---|---|---|
| Dienstkonto für Vertex AI Pipelines | Das Dienstkonto, mit dem die Pipeline ausgeführt wird | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| Dienstkonto für Dataflow-Worker | Das Dienstkonto, auf dem die Dataflow-Worker ausgeführt werden | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| AI Platform-Dienst-Agent | Das Dienstkonto, das die Trainingscontainer ausführt. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Nein |
Einige der Dienstkonten können in ein Konto Ihrer Wahl geändert werden. Eine Anleitung für den tabellarischen Workflow für TabNet finden Sie unter Modell mit TabNet trainieren. Eine Anleitung für den tabellarischen Workflow für Wide & Deep finden Sie unter Modell mit Wide & Deep trainieren. Eine Prophet-Anleitung finden Sie unter Prognose mit Prophet.
Dienstkonto für Vertex AI Pipelines
Sie müssen dem Dienstkonto für Vertex AI Pipelines im Pipelineprojekt die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Nutzer |
aiplatform.metadataStores.get ermöglicht dem Dienstkonto, einen Pipelinejob zu erstellen. aiplatform.models.upload ermöglicht dem Dienstkonto, das Modell hochzuladen.
|
| BigQuery-Dateneditor | bigquery.tables.create ermöglicht dem Dienstkonto, temporäre Tabellen für Feature Transform Engine zu erstellen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn es sich bei Ihrer Datenquelle nicht um ein BigQuery-Dataset handelt. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto, BigQuery-Jobs für Feature Transform Engine auszuführen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn Ihre Datenquelle kein BigQuery-Dataset ist. |
| Dienstkontonutzer |
iam.serviceAccounts.actAs ermöglicht dem Vertex AI Pipelines-Dienstkonto, während der Bewertung als Dataflow-Worker-Dienstkonto zu fungieren.
|
| Dataflow-Entwickler | Diese Rolle bietet Zugriff auf Ressourcen, die zum Ausführen von Dataflow-Jobs erforderlich sind. |
Außerdem müssen Sie dem Vertex AI Pipelines-Dienstkonto je nach Datenquellentyp die folgenden Rollen zuweisen:
| Datenquelle | Rolle | Wo die Rolle zugewiesen werden soll | |
|---|---|---|---|
| Cloud Storage-Datei | Storage-Administrator | Projekt, zu dem die Datei gehört | |
| Standard-BigQuery-Tabelle | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | ||
| BigQuery-Ansicht einer Standard-BigQuery-Tabelle | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | ||
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | ||
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | ||
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | ||
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Datenansicht gehört | ||
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | ||
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört |
In der folgenden Tabelle werden diese Rollen erläutert:
| BigQuery-Datenbetrachter | bigquery.tables.get gewährt dem Dienstkonto Zugriff auf das Dataset. Das Dienstkonto benötigt diesen Zugriff, bevor der Dataflow-Job im Schritt „Feature Transform Engine“ der Pipeline gestartet wird. |
| Storage-Objekt-Betrachter | storage.objects.get ermöglicht dem Dienstkonto, auf die Cloud Storage-Quelldatei zuzugreifen. |
| Storage-Objekt-Administrator | Die Berechtigungen storage.objects.get und storage.objects.create ermöglichen dem Dienstkonto, auf den Bucket für das Stammverzeichnis des Pipelinejobs zuzugreifen. Das Dienstkonto benötigt diese Berechtigungen im Pipelineprojekt, auch wenn Ihre Datenquelle keine Cloud Storage-Datei ist. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter. |
| Storage-Administrator | Mit Berechtigungen vom Typ storage.buckets.* kann das Dienstkonto den Cloud Storage-Bucket im Schritt „Feature Transform Engine“ der Pipeline validieren. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Administrator. |
Dienstkonto für Dataflow-Worker
Sie müssen dem Dienstkonto für den Dataflow-Worker im Pipelineprojekt die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Storage-Objekt-Administrator | Mit dieser Rolle kann das Dienstkonto auf Cloud Storage-Buckets zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn die Datenquelle keine Cloud Storage-Datei ist. |
| BigQuery-Jobnutzer | Mit bigquery.jobs.create kann das Dienstkonto den Schritt „Feature Transform Engine“ der Pipeline ausführen. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn es sich bei Ihrer Datenquelle nicht um ein BigQuery-Dataset handelt. |
| Dataflow-Worker | Das Dienstkonto benötigt alle Berechtigungen, die durch diese Rolle gewährt werden. |
Außerdem müssen Sie dem Dataflow-Worker-Dienstkonto je nach Datenquellentyp die folgenden Rollen zuweisen:
| Datenquelle | Rolle | Wo soll die Rolle zugewiesen werden? |
|---|---|---|
| Standard-BigQuery-Tabelle | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| BigQuery-Ansicht einer Standard-BigQuery-Tabelle | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Datenansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| Cloud Storage-Datei | BigQuery-Datenbetrachter | Projekt, in dem die Pipeline ausgeführt wird |
In der folgenden Tabelle werden diese Rollen erläutert:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Datenbetrachter | bigquery.tables.get bietet Zugriff auf das Dataset im Schritt „Feature Transform Engine“ der Pipeline. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn Ihre Datenquelle kein BigQuery-Dataset ist. |
| BigQuery-Dateneditor | Mit dieser Rolle kann das Dienstkonto die Tabelle abfragen und temporäre Tabellen während des Schritts „Feature Transform Engine“ der Pipeline erstellen. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| Storage-Objekt-Betrachter | Mit storage.objects.get kann das Dienstkonto auf eine Cloud Storage-Datei zugreifen. |
AI Platform-Dienst-Agent
Sie müssen dem AI Platform-Dienst-Agent im Pipelineprojekt die folgende Rolle zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Dienst-Agent |
Diese Rolle gewährt Berechtigungen für Dienst-Agents. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.
|
Dienstkonten für ARIMA+
Dieser Workflow verwendet folgende Dienstkonten:
| Dienstkonto | Beschreibung | Standard-Hauptkonto | Standardname | Kann überschrieben werden |
|---|---|---|---|---|
| Dienstkonto für Vertex AI Pipelines | Das Dienstkonto, mit dem die Pipeline ausgeführt wird | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| AI Platform-Dienst-Agent | Das Dienstkonto, das die Trainingscontainer ausführt. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Nein |
Das Vertex AI Pipelines-Dienstkonto kann in ein Konto Ihrer Wahl geändert werden. Weitere Informationen finden Sie unter Prognosen mit ARIMA+.
Dienstkonto für Vertex AI Pipelines
Sie müssen dem Dienstkonto für Vertex AI Pipelines im Pipelineprojekt die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Nutzer |
Mit aiplatform.metadataStores.get kann das Dienstkonto einen Pipeline-Job erstellen. aiplatform.models.upload ermöglicht es dem Dienstkonto, das Modell hochzuladen.
|
| BigQuery-Dateneditor | bigquery.tables.create ermöglicht dem Dienstkonto, temporäre Tabellen für Feature Transform Engine zu erstellen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn Ihre Datenquelle kein BigQuery-Dataset ist. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto, BigQuery-Jobs für Feature Transform Engine auszuführen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn Ihre Datenquelle kein BigQuery-Dataset ist. |
| Dienstkontonutzer |
Mit iam.serviceAccounts.actAs kann das Vertex AI Pipelines-Dienstkonto während der Bewertung als Dataflow-Worker-Dienstkonto fungieren.
|
| Dataflow-Entwickler | Diese Rolle gewährt Zugriff auf Ressourcen, die zum Ausführen von Dataflow-Jobs erforderlich sind. |
Außerdem müssen Sie dem Vertex AI Pipelines-Dienstkonto je nach Datenquellentyp die folgenden Rollen zuweisen:
| Datenquelle | Rolle | Wo die Rolle zugewiesen werden soll | |
|---|---|---|---|
| Cloud Storage-Datei | Storage-Administrator | Projekt, zu dem die Datei gehört | |
| Standard-BigQuery-Tabelle | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | ||
| BigQuery-Ansicht einer Standard-BigQuery-Tabelle | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | ||
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | ||
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | ||
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | ||
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | ||
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | ||
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört |
In der folgenden Tabelle werden diese Rollen erläutert:
| BigQuery-Datenbetrachter | bigquery.tables.get gewährt dem Dienstkonto Zugriff auf das Dataset. Das Dienstkonto benötigt diesen Zugriff, bevor der Dataflow-Job im Schritt „Feature Transform Engine“ der Pipeline gestartet wird. |
| Storage-Objekt-Betrachter | storage.objects.get ermöglicht dem Dienstkonto, auf die Cloud Storage-Quelldatei zuzugreifen. |
| Storage-Objekt-Administrator | Die Berechtigungen storage.objects.get und storage.objects.create ermöglichen dem Dienstkonto, auf den Bucket für das Stammverzeichnis des Pipelinejobs zuzugreifen. Das Dienstkonto benötigt diese Berechtigungen im Pipelineprojekt, auch wenn Ihre Datenquelle keine Cloud Storage-Datei ist. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter. |
| Storage-Administrator | Mit Berechtigungen vom Typ storage.buckets.* kann das Dienstkonto den Cloud Storage-Bucket im Schritt „Feature Transform Engine“ der Pipeline validieren. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Administrator. |
AI Platform-Dienst-Agent
Sie müssen dem AI Platform-Dienst-Agent im Pipelineprojekt die folgende Rolle zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Dienst-Agent |
Mit dieser Rolle werden Berechtigungen für Dienst-Agents gewährt. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.
|