表形式のワークフローのサービス アカウント

このページでは、次の表形式ワークフローのサービス アカウントについて説明します。

エンドツーエンドの AutoML 表形式ワークフローのサービス アカウント

このワークフローでは、次のサービス アカウントを使用します。

サービス アカウント 説明 デフォルトのプリンシパル デフォルトの名前 オーバーライドできます
Vertex AI Pipelines のサービス アカウント パイプラインを実行するサービス アカウント PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
Dataflow ワーカーのサービス アカウント Dataflow ワーカーを実行するサービス アカウント PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
AI Platform サービス エージェント トレーニング コンテナを実行するサービス アカウント。 service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent ×

一部のサービス アカウントは、任意のアカウントに変更できます。Google Cloud コンソールまたは API 固有の手順については、エンドツーエンドの AutoML でモデルをトレーニングするをご覧ください。

Vertex AI Pipelines のサービス アカウント

パイプライン プロジェクトの Vertex AI Pipelines のサービス アカウントに次のロールを付与する必要があります。

ロール 権限
Vertex AI ユーザー aiplatform.metadataStores.get により、サービス アカウントはパイプライン ジョブを作成できます。aiplatform.models.upload により、サービス アカウントはモデルをアップロードできます。
Storage オブジェクト管理者 Storage オブジェクト管理者の storage.objects.get 権限と storage.objects.create 権限により、サービス アカウントはパイプライン ジョブのルート ディレクトリにあるバケットにアクセスできます。Cloud Storage データソースを使用していない場合でも、サービス アカウントにはこれらの権限が必要です。
Dataflow デベロッパー dataflow.jobs.create により、サービス アカウントは評価中に Dataflow ジョブを作成できます。
サービス アカウント ユーザー iam.serviceAccounts.actAs により、Vertex AI Pipelines サービス アカウントは評価中に Dataflow ワーカー サービス アカウントとして機能できます。

Dataflow ワーカーのサービス アカウント

パイプライン プロジェクトの Dataflow ワーカーのサービス アカウントに次のロールを付与する必要があります。

ロール 権限
Dataflow ワーカー このロールにより、サービス アカウントは Dataflow ジョブの実行に必要なリソースにアクセスできます。
Storage オブジェクト管理者 このロールにより、サービス アカウントは Cloud Storage バケットにアクセスできます。Cloud Storage データソースを使用していない場合でも、サービス アカウントにはこれらの権限が必要です。このロールには、Storage オブジェクト閲覧者のロールによって付与されるすべての権限が含まれています。

データソースの種類に基づいて次のロールを Dataflow ワーカー サービス アカウントに追加で付与する必要があります。

データソース ロール ロールを付与する場所
標準の BigQuery テーブル BigQuery データ編集者 パイプラインを実行するプロジェクト
BigQuery ジョブユーザー パイプラインを実行するプロジェクト
BigQuery データ閲覧者 テーブルが属するプロジェクト
標準の BigQuery テーブルBigQuery ビュー BigQuery データ編集者 パイプラインを実行するプロジェクト
BigQuery ジョブユーザー パイプラインを実行するプロジェクト
BigQuery データ閲覧者 ビューが属するプロジェクト
BigQuery データ閲覧者 テーブルが属するプロジェクト
ソースの Cloud Storage ファイルを含む BigQuery 外部テーブル BigQuery データ編集者 パイプラインを実行するプロジェクト
BigQuery ジョブユーザー パイプラインを実行するプロジェクト
BigQuery データ閲覧者 外部テーブルが属するプロジェクト
Storage オブジェクト閲覧者 ソースファイルが属するプロジェクト
ソースの Cloud Storage ファイルを含む BigQuery 外部テーブルBigQuery ビュー BigQuery データ編集者 パイプラインを実行するプロジェクト
BigQuery ジョブユーザー パイプラインを実行するプロジェクト
BigQuery データ閲覧者 ビューが属するプロジェクト
BigQuery データ閲覧者 外部テーブルが属するプロジェクト
Storage オブジェクト閲覧者 ソースファイルが属するプロジェクト
Cloud Storage ファイル Storage オブジェクト閲覧者 ファイルが属するプロジェクト

次の表に、これらのロールの説明を示します。

ロール 権限
BigQuery データ編集者 bigquery.jobs.get 権限と bigquery.jobs.create 権限により、サービス アカウントで BigQuery データセットを使用できます。bigquery.jobs.create により、サービス アカウントは統計情報とサンプルの生成中に一時的な BigQuery データセットを作成できます。このロールには、BigQuery データ閲覧者のロールによって付与されるすべての権限が含まれます。
BigQuery ジョブユーザー bigquery.jobs.create により、サービス アカウントは BigQuery データセットを使用できます。
BigQuery データ閲覧者 このロールは、サービス アカウントに BigQuery データセットへのアクセス権を付与します。
Storage オブジェクト閲覧者 storage.objects.get により、サービス アカウントは Cloud Storage ファイルにアクセスできます。

AI Platform サービス エージェント

パイプライン プロジェクトの AI Platform サービス エージェントに次のロールが付与されていることを確認する必要があります。

ロール 権限
Vertex AI サービス エージェント このロールは、サービス エージェントに権限を付与します。これらの権限には、Artifact Registry リポジトリ内のコンテナ イメージに対する storage.object.get 権限とアクセス権限が含まれます。

データソースが別のプロジェクトの BigQuery データセットである場合は、データセット プロジェクトの AI Platform サービス エージェントに次のロールを付与する必要があります。

ロール 権限
BigQuery データ閲覧者 bigquery.tables.get により、サービス アカウントは Dataflow ジョブを起動する前に BigQuery データセットに関する情報を取得できます。

データソースが別のプロジェクトの Cloud Storage ファイルである場合は、ファイル プロジェクトの AI Platform サービス エージェントに次のロールを付与する必要があります。

Storage オブジェクト閲覧者 storage.objects.list により、サービス アカウントは Dataflow ジョブを開始する前に Cloud Storage ファイルに関する情報を取得できます。

予測用の表形式ワークフローのサービス アカウント

このワークフローでは、次のサービス アカウントを使用します。

サービス アカウント 説明 デフォルトのプリンシパル デフォルトの名前 オーバーライドできます
Vertex AI Pipelines のサービス アカウント パイプラインを実行するサービス アカウント PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
Dataflow ワーカーのサービス アカウント Dataflow ワーカーを実行するサービス アカウント PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
AI Platform サービス エージェント トレーニング コンテナを実行するサービス アカウント。 service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent ×

一部のサービス アカウントは、任意のアカウントに変更できます。詳細については、予測用の表形式ワークフローを使用してモデルをトレーニングするをご覧ください。

Vertex AI Pipelines のサービス アカウント

パイプライン プロジェクトの Vertex AI Pipelines のサービス アカウントに次のロールを付与する必要があります。

ロール 権限
Vertex AI ユーザー aiplatform.metadataStores.get により、サービス アカウントはパイプライン ジョブを作成できます。aiplatform.models.upload により、サービス アカウントはモデルをアップロードできます。
BigQuery データ編集者 bigquery.tables.create により、サービス アカウントは Dataflow ジョブを起動する前に Feature Transform Engine の一時テーブルを作成できます。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。このロールには、BigQuery データ閲覧者のロールによって付与されるすべての権限が含まれます。
BigQuery ジョブユーザー bigquery.jobs.create により、サービス アカウントは Dataflow ジョブを起動する前に Feature Transform Engine の BigQuery ジョブを実行できます。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。
サービス アカウント ユーザー iam.serviceAccounts.actAs により、Vertex AI Pipelines サービス アカウントは評価中に Dataflow ワーカー サービス アカウントとして機能できます。
Dataflow デベロッパー このロールは、Dataflow ジョブの実行に必要なリソースへのアクセス権を付与します。

データソースの種類に基づいて次のロールを Vertex AI Pipelines サービス アカウントに追加で付与する必要があります。

データソース ロール ロールを付与する場所
Cloud Storage ファイル Storage 管理者 ファイルが属するプロジェクト
標準の BigQuery テーブル Storage オブジェクト管理者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 テーブルが属するプロジェクト
標準の BigQuery テーブルBigQuery ビュー Storage オブジェクト管理者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 ビューが属するプロジェクト
BigQuery データ閲覧者 テーブルが属するプロジェクト
ソースの Cloud Storage ファイルを含む BigQuery 外部テーブル Storage オブジェクト管理者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 外部テーブルが属するプロジェクト
Storage オブジェクト閲覧者 ソースファイルが属するプロジェクト
ソースの Cloud Storage ファイルを含む BigQuery 外部テーブルBigQuery ビュー Storage オブジェクト管理者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 ビューが属するプロジェクト
BigQuery データ閲覧者 外部テーブルが属するプロジェクト
Storage オブジェクト閲覧者 ソースファイルが属するプロジェクト

次の表に、これらのロールの説明を示します。

BigQuery データ閲覧者 bigquery.tables.get は、サービス アカウントにデータセットへのアクセス権を付与します。パイプラインの Feature Transform Engine のステップで Dataflow ジョブを起動する前に、サービス アカウントにこのアクセス権が必要です。
Storage オブジェクト閲覧者 storage.objects.get により、サービス アカウントはソースの Cloud Storage ファイルにアクセスできます。
Storage オブジェクト管理者 storage.objects.get 権限と storage.objects.create 権限により、サービス アカウントはパイプライン ジョブのルート ディレクトリのバケットにアクセスできます。データソースが Cloud Storage ファイルでない場合でも、サービス アカウントにはパイプライン プロジェクトでこれらの権限が必要です。このロールには、Storage オブジェクト閲覧者のロールによって付与されるすべての権限が含まれています。
Storage 管理者 storage.buckets.* 権限により、サービス アカウントはパイプラインの Feature Transform Engine のステップで Cloud Storage バケットを検証できます。このロールには、Storage オブジェクト管理者のロールによって付与されるすべての権限が含まれています。

モデル評価を実行する場合は、予測サンプルの宛先となる BigQuery データセットを指定する必要があります。このデータセットを含むプロジェクトで、Vertex AI Pipelines サービス アカウントに次のロールを付与する必要があります。

ロール 権限
BigQuery データ閲覧者 このロールにより、サービス アカウントで BigQuery データを閲覧できます。
BigQuery ジョブユーザー bigquery.jobs.create によって、サービス アカウントで BigQuery ジョブを作成できます。

Dataflow ワーカーのサービス アカウント

パイプライン プロジェクトの Dataflow ワーカーのサービス アカウントに次のロールを付与する必要があります。

ロール 権限
Storage オブジェクト管理者 このロールにより、サービス アカウントは Cloud Storage バケットにアクセスできます。データソースが Cloud Storage ファイルでない場合でも、サービス アカウントにはこれらの権限が必要です。
BigQuery ジョブユーザー bigquery.jobs.create により、サービス アカウントはパイプラインの Feature Transform Engine のステップを実行できます。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。
Dataflow ワーカー サービス アカウントには、このロールによって付与されるすべての権限が必要です。

データソースの種類に基づいて次のロールを Dataflow ワーカー サービス アカウントに追加で付与する必要があります。

データソース ロール ロールを付与する場所
標準の BigQuery テーブル BigQuery データ編集者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 テーブルが属するプロジェクト
標準の BigQuery テーブルBigQuery ビュー BigQuery データ編集者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 ビューが属するプロジェクト
BigQuery データ閲覧者 テーブルが属するプロジェクト
ソースの Cloud Storage ファイルを含む BigQuery 外部テーブル BigQuery データ編集者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 外部テーブルが属するプロジェクト
Storage オブジェクト閲覧者 ソースファイルが属するプロジェクト
ソースの Cloud Storage ファイルを含む BigQuery 外部テーブルBigQuery ビュー BigQuery データ編集者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 ビューが属するプロジェクト
BigQuery データ閲覧者 外部テーブルが属するプロジェクト
Storage オブジェクト閲覧者 ソースファイルが属するプロジェクト
Cloud Storage ファイル BigQuery データ閲覧者 パイプラインを実行するプロジェクト

次の表に、これらのロールの説明を示します。

ロール 権限
BigQuery データ閲覧者 bigquery.tables.get は、パイプラインの Feature Transform Engine ステップ内のデータセットに対するアクセス権を付与します。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。
BigQuery データ編集者 このロールにより、サービス アカウントはパイプラインの Feature Transform Engine のステップ中にテーブルをクエリし、一時テーブルを作成できます。このロールには、BigQuery データ閲覧者のロールによって付与されるすべての権限が含まれます。
Storage オブジェクト閲覧者 storage.objects.get により、サービス アカウントは Cloud Storage ファイルにアクセスできます。

AI Platform サービス エージェント

パイプライン プロジェクトの AI Platform サービス エージェントに次のロールが付与されていることを確認する必要があります。

ロール 権限
Vertex AI サービス エージェント このロールは、サービス エージェントに権限を付与します。これらの権限には、Artifact Registry リポジトリ内のコンテナ イメージに対する storage.object.get 権限とアクセス権限が含まれます。

モデル評価を実行する場合は、予測サンプルの宛先となる BigQuery データセットを指定する必要があります。このデータセットを含むプロジェクトで、Vertex AI Pipelines サービス アカウントに次のロールを付与する必要があります。

ロール 権限
BigQuery データ編集者 このロールにより、サービス アカウントは BigQuery データを編集できます。
BigQuery ジョブユーザー bigquery.jobs.create によって、サービス アカウントで BigQuery ジョブを作成できます。

TabNet の表形式のワークフローおよび、ワイド&ディープと Prophet の表形式のワークフローのサービス アカウント

これらのワークフローでは、次のサービス アカウントを使用します。

サービス アカウント 説明 デフォルトのプリンシパル デフォルトの名前 オーバーライドできます
Vertex AI Pipelines のサービス アカウント パイプラインを実行するサービス アカウント PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
Dataflow ワーカーのサービス アカウント Dataflow ワーカーを実行するサービス アカウント PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
AI Platform サービス エージェント トレーニング コンテナを実行するサービス アカウント。 service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent ×

一部のサービス アカウントは、任意のアカウントに変更できます。TabNet の手順の表形式ワークフローについては、TabNet でモデルをトレーニングするをご覧ください。ワイド&ディープの手順の表形式ワークフローについては、ワイド&ディープでモデルをトレーニングするをご覧ください。Prophet の手順については、Prophet による予測をご覧ください。

Vertex AI Pipelines のサービス アカウント

パイプライン プロジェクトの Vertex AI Pipelines のサービス アカウントに次のロールを付与する必要があります。

ロール 権限
Vertex AI ユーザー aiplatform.metadataStores.get により、サービス アカウントはパイプライン ジョブを作成できます。aiplatform.models.upload により、サービス アカウントはモデルをアップロードできます。
BigQuery データ編集者 bigquery.tables.create により、サービス アカウントは Dataflow ジョブを起動する前に Feature Transform Engine の一時テーブルを作成できます。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。このロールには、BigQuery データ閲覧者のロールによって付与されるすべての権限が含まれます。
BigQuery ジョブユーザー bigquery.jobs.create により、サービス アカウントは Dataflow ジョブを起動する前に Feature Transform Engine の BigQuery ジョブを実行できます。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。
サービス アカウント ユーザー iam.serviceAccounts.actAs により、Vertex AI Pipelines サービス アカウントは評価中に Dataflow ワーカー サービス アカウントとして機能できます。
Dataflow デベロッパー このロールは、Dataflow ジョブの実行に必要なリソースへのアクセス権を付与します。

データソースの種類に基づいて次のロールを Vertex AI Pipelines サービス アカウントに追加で付与する必要があります。

データソース ロール ロールを付与する場所
Cloud Storage ファイル Storage 管理者 ファイルが属するプロジェクト
標準の BigQuery テーブル Storage オブジェクト管理者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 テーブルが属するプロジェクト
標準の BigQuery テーブルBigQuery ビュー Storage オブジェクト管理者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 ビューが属するプロジェクト
BigQuery データ閲覧者 テーブルが属するプロジェクト
ソースの Cloud Storage ファイルを含む BigQuery 外部テーブル Storage オブジェクト管理者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 外部テーブルが属するプロジェクト
Storage オブジェクト閲覧者 ソースファイルが属するプロジェクト
ソースの Cloud Storage ファイルを含む BigQuery 外部テーブルBigQuery ビュー Storage オブジェクト管理者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 ビューが属するプロジェクト
BigQuery データ閲覧者 外部テーブルが属するプロジェクト
Storage オブジェクト閲覧者 ソースファイルが属するプロジェクト

次の表に、これらのロールの説明を示します。

BigQuery データ閲覧者 bigquery.tables.get は、サービス アカウントにデータセットへのアクセス権を付与します。パイプラインの Feature Transform Engine のステップで Dataflow ジョブを起動する前に、サービス アカウントにこのアクセス権が必要です。
Storage オブジェクト閲覧者 storage.objects.get により、サービス アカウントはソースの Cloud Storage ファイルにアクセスできます。
Storage オブジェクト管理者 storage.objects.get 権限と storage.objects.create 権限により、サービス アカウントはパイプライン ジョブのルート ディレクトリのバケットにアクセスできます。データソースが Cloud Storage ファイルでない場合でも、サービス アカウントにはパイプライン プロジェクトでこれらの権限が必要です。このロールには、Storage オブジェクト閲覧者のロールによって付与されるすべての権限が含まれています。
Storage 管理者 storage.buckets.* 権限により、サービス アカウントはパイプラインの Feature Transform Engine のステップで Cloud Storage バケットを検証できます。このロールには、Storage オブジェクト管理者のロールによって付与されるすべての権限が含まれています。

Dataflow ワーカーのサービス アカウント

パイプライン プロジェクトの Dataflow ワーカーのサービス アカウントに次のロールを付与する必要があります。

ロール 権限
Storage オブジェクト管理者 このロールにより、サービス アカウントは Cloud Storage バケットにアクセスできます。データソースが Cloud Storage ファイルでない場合でも、サービス アカウントにはこれらの権限が必要です。
BigQuery ジョブユーザー bigquery.jobs.create により、サービス アカウントはパイプラインの Feature Transform Engine のステップを実行できます。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。
Dataflow ワーカー サービス アカウントには、このロールによって付与されるすべての権限が必要です。

データソースの種類に基づいて次のロールを Dataflow ワーカー サービス アカウントに追加で付与する必要があります。

データソース ロール ロールを付与する場所
標準の BigQuery テーブル BigQuery データ編集者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 テーブルが属するプロジェクト
標準の BigQuery テーブルBigQuery ビュー BigQuery データ編集者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 ビューが属するプロジェクト
BigQuery データ閲覧者 テーブルが属するプロジェクト
ソースの Cloud Storage ファイルを含む BigQuery 外部テーブル BigQuery データ編集者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 外部テーブルが属するプロジェクト
Storage オブジェクト閲覧者 ソースファイルが属するプロジェクト
ソースの Cloud Storage ファイルを含む BigQuery 外部テーブルBigQuery ビュー BigQuery データ編集者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 ビューが属するプロジェクト
BigQuery データ閲覧者 外部テーブルが属するプロジェクト
Storage オブジェクト閲覧者 ソースファイルが属するプロジェクト
Cloud Storage ファイル BigQuery データ閲覧者 パイプラインを実行するプロジェクト

次の表に、これらのロールの説明を示します。

ロール 権限
BigQuery データ閲覧者 bigquery.tables.get は、パイプラインの Feature Transform Engine ステップ内のデータセットに対するアクセス権を付与します。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。
BigQuery データ編集者 このロールにより、サービス アカウントはパイプラインの Feature Transform Engine のステップ中にテーブルをクエリし、一時テーブルを作成できます。このロールには、BigQuery データ閲覧者のロールによって付与されるすべての権限が含まれます。
Storage オブジェクト閲覧者 storage.objects.get により、サービス アカウントは Cloud Storage ファイルにアクセスできます。

AI Platform サービス エージェント

パイプライン プロジェクトの AI Platform サービス エージェントに次のロールが付与されていることを確認する必要があります。

ロール 権限
Vertex AI サービス エージェント このロールは、サービス エージェントに権限を付与します。これらの権限には、Artifact Registry リポジトリ内のコンテナ イメージに対する storage.object.get 権限とアクセス権限が含まれます。

ARIMA+ のサービス アカウント

このワークフローでは、次のサービス アカウントを使用します。

サービス アカウント 説明 デフォルトのプリンシパル デフォルトの名前 オーバーライドできます
Vertex AI Pipelines のサービス アカウント パイプラインを実行するサービス アカウント PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
AI Platform サービス エージェント トレーニング コンテナを実行するサービス アカウント。 service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent ×

Vertex AI Pipelines サービス アカウントは、任意のアカウントに変更できます。詳細については、ARIMA+ による予測をご覧ください。

Vertex AI Pipelines のサービス アカウント

パイプライン プロジェクトの Vertex AI Pipelines のサービス アカウントに次のロールを付与する必要があります。

ロール 権限
Vertex AI ユーザー aiplatform.metadataStores.get により、サービス アカウントはパイプライン ジョブを作成できます。aiplatform.models.upload により、サービス アカウントはモデルをアップロードできます。
BigQuery データ編集者 bigquery.tables.create により、サービス アカウントは Dataflow ジョブを起動する前に Feature Transform Engine の一時テーブルを作成できます。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。このロールには、BigQuery データ閲覧者のロールによって付与されるすべての権限が含まれます。
BigQuery ジョブユーザー bigquery.jobs.create により、サービス アカウントは Dataflow ジョブを起動する前に Feature Transform Engine の BigQuery ジョブを実行できます。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。
サービス アカウント ユーザー iam.serviceAccounts.actAs により、Vertex AI Pipelines サービス アカウントは評価中に Dataflow ワーカー サービス アカウントとして機能できます。
Dataflow デベロッパー このロールは、Dataflow ジョブの実行に必要なリソースへのアクセス権を付与します。

データソースの種類に基づいて次のロールを Vertex AI Pipelines サービス アカウントに追加で付与する必要があります。

データソース ロール ロールを付与する場所
Cloud Storage ファイル Storage 管理者 ファイルが属するプロジェクト
標準の BigQuery テーブル Storage オブジェクト管理者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 テーブルが属するプロジェクト
標準の BigQuery テーブルBigQuery ビュー Storage オブジェクト管理者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 ビューが属するプロジェクト
BigQuery データ閲覧者 テーブルが属するプロジェクト
ソースの Cloud Storage ファイルを含む BigQuery 外部テーブル Storage オブジェクト管理者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 外部テーブルが属するプロジェクト
Storage オブジェクト閲覧者 ソースファイルが属するプロジェクト
ソースの Cloud Storage ファイルを含む BigQuery 外部テーブルBigQuery ビュー Storage オブジェクト管理者 パイプラインを実行するプロジェクト
BigQuery データ閲覧者 ビューが属するプロジェクト
BigQuery データ閲覧者 外部テーブルが属するプロジェクト
Storage オブジェクト閲覧者 ソースファイルが属するプロジェクト

次の表に、これらのロールの説明を示します。

BigQuery データ閲覧者 bigquery.tables.get は、サービス アカウントにデータセットへのアクセス権を付与します。パイプラインの Feature Transform Engine のステップで Dataflow ジョブを起動する前に、サービス アカウントにこのアクセス権が必要です。
Storage オブジェクト閲覧者 storage.objects.get により、サービス アカウントはソースの Cloud Storage ファイルにアクセスできます。
Storage オブジェクト管理者 storage.objects.get 権限と storage.objects.create 権限により、サービス アカウントはパイプライン ジョブのルート ディレクトリのバケットにアクセスできます。データソースが Cloud Storage ファイルでない場合でも、サービス アカウントにはパイプライン プロジェクトでこれらの権限が必要です。このロールには、Storage オブジェクト閲覧者のロールによって付与されるすべての権限が含まれています。
Storage 管理者 storage.buckets.* 権限により、サービス アカウントはパイプラインの Feature Transform Engine のステップで Cloud Storage バケットを検証できます。このロールには、Storage オブジェクト管理者のロールによって付与されるすべての権限が含まれています。

AI Platform サービス エージェント

パイプライン プロジェクトの AI Platform サービス エージェントに次のロールが付与されていることを確認する必要があります。

ロール 権限
Vertex AI サービス エージェント このロールは、サービス エージェントに権限を付与します。これらの権限には、Artifact Registry リポジトリ内のコンテナ イメージに対する storage.object.get 権限とアクセス権限が含まれます。