このページでは、次の表形式ワークフローのサービス アカウントについて説明します。
エンドツーエンドの AutoML 表形式ワークフローのサービス アカウント
このワークフローでは、次のサービス アカウントを使用します。
| サービス アカウント | 説明 | デフォルトのプリンシパル | デフォルトの名前 | オーバーライドできます |
|---|---|---|---|---|
| Vertex AI Pipelines のサービス アカウント | パイプラインを実行するサービス アカウント | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
○ |
| Dataflow ワーカーのサービス アカウント | Dataflow ワーカーを実行するサービス アカウント | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
○ |
| AI Platform サービス エージェント | トレーニング コンテナを実行するサービス アカウント。 | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
× |
一部のサービス アカウントは、任意のアカウントに変更できます。Google Cloud コンソールまたは API 固有の手順については、エンドツーエンドの AutoML でモデルをトレーニングするをご覧ください。
Vertex AI Pipelines のサービス アカウント
パイプライン プロジェクトの Vertex AI Pipelines のサービス アカウントに次のロールを付与する必要があります。
| ロール | 権限 |
|---|---|
| Vertex AI ユーザー |
aiplatform.metadataStores.get により、サービス アカウントはパイプライン ジョブを作成できます。aiplatform.models.upload により、サービス アカウントはモデルをアップロードできます。 |
| Storage オブジェクト管理者 | Storage オブジェクト管理者の storage.objects.get 権限と storage.objects.create 権限により、サービス アカウントはパイプライン ジョブのルート ディレクトリにあるバケットにアクセスできます。Cloud Storage データソースを使用していない場合でも、サービス アカウントにはこれらの権限が必要です。 |
| Dataflow デベロッパー | dataflow.jobs.create により、サービス アカウントは評価中に Dataflow ジョブを作成できます。 |
| サービス アカウント ユーザー |
iam.serviceAccounts.actAs により、Vertex AI Pipelines サービス アカウントは評価中に Dataflow ワーカー サービス アカウントとして機能できます。 |
Dataflow ワーカーのサービス アカウント
パイプライン プロジェクトの Dataflow ワーカーのサービス アカウントに次のロールを付与する必要があります。
| ロール | 権限 |
|---|---|
| Dataflow ワーカー | このロールにより、サービス アカウントは Dataflow ジョブの実行に必要なリソースにアクセスできます。 |
| Storage オブジェクト管理者 | このロールにより、サービス アカウントは Cloud Storage バケットにアクセスできます。Cloud Storage データソースを使用していない場合でも、サービス アカウントにはこれらの権限が必要です。このロールには、Storage オブジェクト閲覧者のロールによって付与されるすべての権限が含まれています。 |
データソースの種類に基づいて次のロールを Dataflow ワーカー サービス アカウントに追加で付与する必要があります。
| データソース | ロール | ロールを付与する場所 |
|---|---|---|
| 標準の BigQuery テーブル | BigQuery データ編集者 | パイプラインを実行するプロジェクト |
| BigQuery ジョブユーザー | パイプラインを実行するプロジェクト | |
| BigQuery データ閲覧者 | テーブルが属するプロジェクト | |
| 標準の BigQuery テーブルの BigQuery ビュー | BigQuery データ編集者 | パイプラインを実行するプロジェクト |
| BigQuery ジョブユーザー | パイプラインを実行するプロジェクト | |
| BigQuery データ閲覧者 | ビューが属するプロジェクト | |
| BigQuery データ閲覧者 | テーブルが属するプロジェクト | |
| ソースの Cloud Storage ファイルを含む BigQuery 外部テーブル | BigQuery データ編集者 | パイプラインを実行するプロジェクト |
| BigQuery ジョブユーザー | パイプラインを実行するプロジェクト | |
| BigQuery データ閲覧者 | 外部テーブルが属するプロジェクト | |
| Storage オブジェクト閲覧者 | ソースファイルが属するプロジェクト | |
| ソースの Cloud Storage ファイルを含む BigQuery 外部テーブルの BigQuery ビュー | BigQuery データ編集者 | パイプラインを実行するプロジェクト |
| BigQuery ジョブユーザー | パイプラインを実行するプロジェクト | |
| BigQuery データ閲覧者 | ビューが属するプロジェクト | |
| BigQuery データ閲覧者 | 外部テーブルが属するプロジェクト | |
| Storage オブジェクト閲覧者 | ソースファイルが属するプロジェクト | |
| Cloud Storage ファイル | Storage オブジェクト閲覧者 | ファイルが属するプロジェクト |
次の表に、これらのロールの説明を示します。
| ロール | 権限 |
|---|---|
| BigQuery データ編集者 | bigquery.jobs.get 権限と bigquery.jobs.create 権限により、サービス アカウントで BigQuery データセットを使用できます。bigquery.jobs.create により、サービス アカウントは統計情報とサンプルの生成中に一時的な BigQuery データセットを作成できます。このロールには、BigQuery データ閲覧者のロールによって付与されるすべての権限が含まれます。 |
| BigQuery ジョブユーザー | bigquery.jobs.create により、サービス アカウントは BigQuery データセットを使用できます。 |
| BigQuery データ閲覧者 | このロールは、サービス アカウントに BigQuery データセットへのアクセス権を付与します。 |
| Storage オブジェクト閲覧者 | storage.objects.get により、サービス アカウントは Cloud Storage ファイルにアクセスできます。 |
AI Platform サービス エージェント
パイプライン プロジェクトの AI Platform サービス エージェントに次のロールが付与されていることを確認する必要があります。
| ロール | 権限 |
|---|---|
| Vertex AI サービス エージェント |
このロールは、サービス エージェントに権限を付与します。これらの権限には、Artifact Registry リポジトリ内のコンテナ イメージに対する storage.object.get 権限とアクセス権限が含まれます。 |
データソースが別のプロジェクトの BigQuery データセットである場合は、データセット プロジェクトの AI Platform サービス エージェントに次のロールを付与する必要があります。
| ロール | 権限 |
|---|---|
| BigQuery データ閲覧者 | bigquery.tables.get により、サービス アカウントは Dataflow ジョブを起動する前に BigQuery データセットに関する情報を取得できます。 |
データソースが別のプロジェクトの Cloud Storage ファイルである場合は、ファイル プロジェクトの AI Platform サービス エージェントに次のロールを付与する必要があります。
| Storage オブジェクト閲覧者 | storage.objects.list により、サービス アカウントは Dataflow ジョブを開始する前に Cloud Storage ファイルに関する情報を取得できます。 |
予測用の表形式ワークフローのサービス アカウント
このワークフローでは、次のサービス アカウントを使用します。
| サービス アカウント | 説明 | デフォルトのプリンシパル | デフォルトの名前 | オーバーライドできます |
|---|---|---|---|---|
| Vertex AI Pipelines のサービス アカウント | パイプラインを実行するサービス アカウント | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
○ |
| Dataflow ワーカーのサービス アカウント | Dataflow ワーカーを実行するサービス アカウント | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
○ |
| AI Platform サービス エージェント | トレーニング コンテナを実行するサービス アカウント。 | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
× |
一部のサービス アカウントは、任意のアカウントに変更できます。詳細については、予測用の表形式ワークフローを使用してモデルをトレーニングするをご覧ください。
Vertex AI Pipelines のサービス アカウント
パイプライン プロジェクトの Vertex AI Pipelines のサービス アカウントに次のロールを付与する必要があります。
| ロール | 権限 |
|---|---|
| Vertex AI ユーザー |
aiplatform.metadataStores.get により、サービス アカウントはパイプライン ジョブを作成できます。aiplatform.models.upload により、サービス アカウントはモデルをアップロードできます。 |
| BigQuery データ編集者 | bigquery.tables.create により、サービス アカウントは Dataflow ジョブを起動する前に Feature Transform Engine の一時テーブルを作成できます。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。このロールには、BigQuery データ閲覧者のロールによって付与されるすべての権限が含まれます。 |
| BigQuery ジョブユーザー | bigquery.jobs.create により、サービス アカウントは Dataflow ジョブを起動する前に Feature Transform Engine の BigQuery ジョブを実行できます。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。 |
| サービス アカウント ユーザー |
iam.serviceAccounts.actAs により、Vertex AI Pipelines サービス アカウントは評価中に Dataflow ワーカー サービス アカウントとして機能できます。 |
| Dataflow デベロッパー | このロールは、Dataflow ジョブの実行に必要なリソースへのアクセス権を付与します。 |
データソースの種類に基づいて次のロールを Vertex AI Pipelines サービス アカウントに追加で付与する必要があります。
| データソース | ロール | ロールを付与する場所 | |
|---|---|---|---|
| Cloud Storage ファイル | Storage 管理者 | ファイルが属するプロジェクト | |
| 標準の BigQuery テーブル | Storage オブジェクト管理者 | パイプラインを実行するプロジェクト | |
| BigQuery データ閲覧者 | テーブルが属するプロジェクト | ||
| 標準の BigQuery テーブルの BigQuery ビュー | Storage オブジェクト管理者 | パイプラインを実行するプロジェクト | |
| BigQuery データ閲覧者 | ビューが属するプロジェクト | ||
| BigQuery データ閲覧者 | テーブルが属するプロジェクト | ||
| ソースの Cloud Storage ファイルを含む BigQuery 外部テーブル | Storage オブジェクト管理者 | パイプラインを実行するプロジェクト | |
| BigQuery データ閲覧者 | 外部テーブルが属するプロジェクト | ||
| Storage オブジェクト閲覧者 | ソースファイルが属するプロジェクト | ||
| ソースの Cloud Storage ファイルを含む BigQuery 外部テーブルの BigQuery ビュー | Storage オブジェクト管理者 | パイプラインを実行するプロジェクト | |
| BigQuery データ閲覧者 | ビューが属するプロジェクト | ||
| BigQuery データ閲覧者 | 外部テーブルが属するプロジェクト | ||
| Storage オブジェクト閲覧者 | ソースファイルが属するプロジェクト |
次の表に、これらのロールの説明を示します。
| BigQuery データ閲覧者 | bigquery.tables.get は、サービス アカウントにデータセットへのアクセス権を付与します。パイプラインの Feature Transform Engine のステップで Dataflow ジョブを起動する前に、サービス アカウントにこのアクセス権が必要です。 |
| Storage オブジェクト閲覧者 | storage.objects.get により、サービス アカウントはソースの Cloud Storage ファイルにアクセスできます。 |
| Storage オブジェクト管理者 | storage.objects.get 権限と storage.objects.create 権限により、サービス アカウントはパイプライン ジョブのルート ディレクトリのバケットにアクセスできます。データソースが Cloud Storage ファイルでない場合でも、サービス アカウントにはパイプライン プロジェクトでこれらの権限が必要です。このロールには、Storage オブジェクト閲覧者のロールによって付与されるすべての権限が含まれています。 |
| Storage 管理者 | storage.buckets.* 権限により、サービス アカウントはパイプラインの Feature Transform Engine のステップで Cloud Storage バケットを検証できます。このロールには、Storage オブジェクト管理者のロールによって付与されるすべての権限が含まれています。 |
モデル評価を実行する場合は、予測サンプルの宛先となる BigQuery データセットを指定する必要があります。このデータセットを含むプロジェクトで、Vertex AI Pipelines サービス アカウントに次のロールを付与する必要があります。
| ロール | 権限 |
|---|---|
| BigQuery データ閲覧者 | このロールにより、サービス アカウントで BigQuery データを閲覧できます。 |
| BigQuery ジョブユーザー | bigquery.jobs.create によって、サービス アカウントで BigQuery ジョブを作成できます。 |
Dataflow ワーカーのサービス アカウント
パイプライン プロジェクトの Dataflow ワーカーのサービス アカウントに次のロールを付与する必要があります。
| ロール | 権限 |
|---|---|
| Storage オブジェクト管理者 | このロールにより、サービス アカウントは Cloud Storage バケットにアクセスできます。データソースが Cloud Storage ファイルでない場合でも、サービス アカウントにはこれらの権限が必要です。 |
| BigQuery ジョブユーザー | bigquery.jobs.create により、サービス アカウントはパイプラインの Feature Transform Engine のステップを実行できます。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。 |
| Dataflow ワーカー | サービス アカウントには、このロールによって付与されるすべての権限が必要です。 |
データソースの種類に基づいて次のロールを Dataflow ワーカー サービス アカウントに追加で付与する必要があります。
| データソース | ロール | ロールを付与する場所 |
|---|---|---|
| 標準の BigQuery テーブル | BigQuery データ編集者 | パイプラインを実行するプロジェクト |
| BigQuery データ閲覧者 | テーブルが属するプロジェクト | |
| 標準の BigQuery テーブルの BigQuery ビュー | BigQuery データ編集者 | パイプラインを実行するプロジェクト |
| BigQuery データ閲覧者 | ビューが属するプロジェクト | |
| BigQuery データ閲覧者 | テーブルが属するプロジェクト | |
| ソースの Cloud Storage ファイルを含む BigQuery 外部テーブル | BigQuery データ編集者 | パイプラインを実行するプロジェクト |
| BigQuery データ閲覧者 | 外部テーブルが属するプロジェクト | |
| Storage オブジェクト閲覧者 | ソースファイルが属するプロジェクト | |
| ソースの Cloud Storage ファイルを含む BigQuery 外部テーブルの BigQuery ビュー | BigQuery データ編集者 | パイプラインを実行するプロジェクト |
| BigQuery データ閲覧者 | ビューが属するプロジェクト | |
| BigQuery データ閲覧者 | 外部テーブルが属するプロジェクト | |
| Storage オブジェクト閲覧者 | ソースファイルが属するプロジェクト | |
| Cloud Storage ファイル | BigQuery データ閲覧者 | パイプラインを実行するプロジェクト |
次の表に、これらのロールの説明を示します。
| ロール | 権限 |
|---|---|
| BigQuery データ閲覧者 | bigquery.tables.get は、パイプラインの Feature Transform Engine ステップ内のデータセットに対するアクセス権を付与します。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。 |
| BigQuery データ編集者 | このロールにより、サービス アカウントはパイプラインの Feature Transform Engine のステップ中にテーブルをクエリし、一時テーブルを作成できます。このロールには、BigQuery データ閲覧者のロールによって付与されるすべての権限が含まれます。 |
| Storage オブジェクト閲覧者 | storage.objects.get により、サービス アカウントは Cloud Storage ファイルにアクセスできます。 |
AI Platform サービス エージェント
パイプライン プロジェクトの AI Platform サービス エージェントに次のロールが付与されていることを確認する必要があります。
| ロール | 権限 |
|---|---|
| Vertex AI サービス エージェント |
このロールは、サービス エージェントに権限を付与します。これらの権限には、Artifact Registry リポジトリ内のコンテナ イメージに対する storage.object.get 権限とアクセス権限が含まれます。 |
モデル評価を実行する場合は、予測サンプルの宛先となる BigQuery データセットを指定する必要があります。このデータセットを含むプロジェクトで、Vertex AI Pipelines サービス アカウントに次のロールを付与する必要があります。
| ロール | 権限 |
|---|---|
| BigQuery データ編集者 | このロールにより、サービス アカウントは BigQuery データを編集できます。 |
| BigQuery ジョブユーザー | bigquery.jobs.create によって、サービス アカウントで BigQuery ジョブを作成できます。 |
TabNet の表形式のワークフローおよび、ワイド&ディープと Prophet の表形式のワークフローのサービス アカウント
これらのワークフローでは、次のサービス アカウントを使用します。
| サービス アカウント | 説明 | デフォルトのプリンシパル | デフォルトの名前 | オーバーライドできます |
|---|---|---|---|---|
| Vertex AI Pipelines のサービス アカウント | パイプラインを実行するサービス アカウント | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
○ |
| Dataflow ワーカーのサービス アカウント | Dataflow ワーカーを実行するサービス アカウント | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
○ |
| AI Platform サービス エージェント | トレーニング コンテナを実行するサービス アカウント。 | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
× |
一部のサービス アカウントは、任意のアカウントに変更できます。TabNet の手順の表形式ワークフローについては、TabNet でモデルをトレーニングするをご覧ください。ワイド&ディープの手順の表形式ワークフローについては、ワイド&ディープでモデルをトレーニングするをご覧ください。Prophet の手順については、Prophet による予測をご覧ください。
Vertex AI Pipelines のサービス アカウント
パイプライン プロジェクトの Vertex AI Pipelines のサービス アカウントに次のロールを付与する必要があります。
| ロール | 権限 |
|---|---|
| Vertex AI ユーザー |
aiplatform.metadataStores.get により、サービス アカウントはパイプライン ジョブを作成できます。aiplatform.models.upload により、サービス アカウントはモデルをアップロードできます。 |
| BigQuery データ編集者 | bigquery.tables.create により、サービス アカウントは Dataflow ジョブを起動する前に Feature Transform Engine の一時テーブルを作成できます。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。このロールには、BigQuery データ閲覧者のロールによって付与されるすべての権限が含まれます。 |
| BigQuery ジョブユーザー | bigquery.jobs.create により、サービス アカウントは Dataflow ジョブを起動する前に Feature Transform Engine の BigQuery ジョブを実行できます。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。 |
| サービス アカウント ユーザー |
iam.serviceAccounts.actAs により、Vertex AI Pipelines サービス アカウントは評価中に Dataflow ワーカー サービス アカウントとして機能できます。 |
| Dataflow デベロッパー | このロールは、Dataflow ジョブの実行に必要なリソースへのアクセス権を付与します。 |
データソースの種類に基づいて次のロールを Vertex AI Pipelines サービス アカウントに追加で付与する必要があります。
| データソース | ロール | ロールを付与する場所 | |
|---|---|---|---|
| Cloud Storage ファイル | Storage 管理者 | ファイルが属するプロジェクト | |
| 標準の BigQuery テーブル | Storage オブジェクト管理者 | パイプラインを実行するプロジェクト | |
| BigQuery データ閲覧者 | テーブルが属するプロジェクト | ||
| 標準の BigQuery テーブルの BigQuery ビュー | Storage オブジェクト管理者 | パイプラインを実行するプロジェクト | |
| BigQuery データ閲覧者 | ビューが属するプロジェクト | ||
| BigQuery データ閲覧者 | テーブルが属するプロジェクト | ||
| ソースの Cloud Storage ファイルを含む BigQuery 外部テーブル | Storage オブジェクト管理者 | パイプラインを実行するプロジェクト | |
| BigQuery データ閲覧者 | 外部テーブルが属するプロジェクト | ||
| Storage オブジェクト閲覧者 | ソースファイルが属するプロジェクト | ||
| ソースの Cloud Storage ファイルを含む BigQuery 外部テーブルの BigQuery ビュー | Storage オブジェクト管理者 | パイプラインを実行するプロジェクト | |
| BigQuery データ閲覧者 | ビューが属するプロジェクト | ||
| BigQuery データ閲覧者 | 外部テーブルが属するプロジェクト | ||
| Storage オブジェクト閲覧者 | ソースファイルが属するプロジェクト |
次の表に、これらのロールの説明を示します。
| BigQuery データ閲覧者 | bigquery.tables.get は、サービス アカウントにデータセットへのアクセス権を付与します。パイプラインの Feature Transform Engine のステップで Dataflow ジョブを起動する前に、サービス アカウントにこのアクセス権が必要です。 |
| Storage オブジェクト閲覧者 | storage.objects.get により、サービス アカウントはソースの Cloud Storage ファイルにアクセスできます。 |
| Storage オブジェクト管理者 | storage.objects.get 権限と storage.objects.create 権限により、サービス アカウントはパイプライン ジョブのルート ディレクトリのバケットにアクセスできます。データソースが Cloud Storage ファイルでない場合でも、サービス アカウントにはパイプライン プロジェクトでこれらの権限が必要です。このロールには、Storage オブジェクト閲覧者のロールによって付与されるすべての権限が含まれています。 |
| Storage 管理者 | storage.buckets.* 権限により、サービス アカウントはパイプラインの Feature Transform Engine のステップで Cloud Storage バケットを検証できます。このロールには、Storage オブジェクト管理者のロールによって付与されるすべての権限が含まれています。 |
Dataflow ワーカーのサービス アカウント
パイプライン プロジェクトの Dataflow ワーカーのサービス アカウントに次のロールを付与する必要があります。
| ロール | 権限 |
|---|---|
| Storage オブジェクト管理者 | このロールにより、サービス アカウントは Cloud Storage バケットにアクセスできます。データソースが Cloud Storage ファイルでない場合でも、サービス アカウントにはこれらの権限が必要です。 |
| BigQuery ジョブユーザー | bigquery.jobs.create により、サービス アカウントはパイプラインの Feature Transform Engine のステップを実行できます。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。 |
| Dataflow ワーカー | サービス アカウントには、このロールによって付与されるすべての権限が必要です。 |
データソースの種類に基づいて次のロールを Dataflow ワーカー サービス アカウントに追加で付与する必要があります。
| データソース | ロール | ロールを付与する場所 |
|---|---|---|
| 標準の BigQuery テーブル | BigQuery データ編集者 | パイプラインを実行するプロジェクト |
| BigQuery データ閲覧者 | テーブルが属するプロジェクト | |
| 標準の BigQuery テーブルの BigQuery ビュー | BigQuery データ編集者 | パイプラインを実行するプロジェクト |
| BigQuery データ閲覧者 | ビューが属するプロジェクト | |
| BigQuery データ閲覧者 | テーブルが属するプロジェクト | |
| ソースの Cloud Storage ファイルを含む BigQuery 外部テーブル | BigQuery データ編集者 | パイプラインを実行するプロジェクト |
| BigQuery データ閲覧者 | 外部テーブルが属するプロジェクト | |
| Storage オブジェクト閲覧者 | ソースファイルが属するプロジェクト | |
| ソースの Cloud Storage ファイルを含む BigQuery 外部テーブルの BigQuery ビュー | BigQuery データ編集者 | パイプラインを実行するプロジェクト |
| BigQuery データ閲覧者 | ビューが属するプロジェクト | |
| BigQuery データ閲覧者 | 外部テーブルが属するプロジェクト | |
| Storage オブジェクト閲覧者 | ソースファイルが属するプロジェクト | |
| Cloud Storage ファイル | BigQuery データ閲覧者 | パイプラインを実行するプロジェクト |
次の表に、これらのロールの説明を示します。
| ロール | 権限 |
|---|---|
| BigQuery データ閲覧者 | bigquery.tables.get は、パイプラインの Feature Transform Engine ステップ内のデータセットに対するアクセス権を付与します。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。 |
| BigQuery データ編集者 | このロールにより、サービス アカウントはパイプラインの Feature Transform Engine のステップ中にテーブルをクエリし、一時テーブルを作成できます。このロールには、BigQuery データ閲覧者のロールによって付与されるすべての権限が含まれます。 |
| Storage オブジェクト閲覧者 | storage.objects.get により、サービス アカウントは Cloud Storage ファイルにアクセスできます。 |
AI Platform サービス エージェント
パイプライン プロジェクトの AI Platform サービス エージェントに次のロールが付与されていることを確認する必要があります。
| ロール | 権限 |
|---|---|
| Vertex AI サービス エージェント |
このロールは、サービス エージェントに権限を付与します。これらの権限には、Artifact Registry リポジトリ内のコンテナ イメージに対する storage.object.get 権限とアクセス権限が含まれます。 |
ARIMA+ のサービス アカウント
このワークフローでは、次のサービス アカウントを使用します。
| サービス アカウント | 説明 | デフォルトのプリンシパル | デフォルトの名前 | オーバーライドできます |
|---|---|---|---|---|
| Vertex AI Pipelines のサービス アカウント | パイプラインを実行するサービス アカウント | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
○ |
| AI Platform サービス エージェント | トレーニング コンテナを実行するサービス アカウント。 | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
× |
Vertex AI Pipelines サービス アカウントは、任意のアカウントに変更できます。詳細については、ARIMA+ による予測をご覧ください。
Vertex AI Pipelines のサービス アカウント
パイプライン プロジェクトの Vertex AI Pipelines のサービス アカウントに次のロールを付与する必要があります。
| ロール | 権限 |
|---|---|
| Vertex AI ユーザー |
aiplatform.metadataStores.get により、サービス アカウントはパイプライン ジョブを作成できます。aiplatform.models.upload により、サービス アカウントはモデルをアップロードできます。 |
| BigQuery データ編集者 | bigquery.tables.create により、サービス アカウントは Dataflow ジョブを起動する前に Feature Transform Engine の一時テーブルを作成できます。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。このロールには、BigQuery データ閲覧者のロールによって付与されるすべての権限が含まれます。 |
| BigQuery ジョブユーザー | bigquery.jobs.create により、サービス アカウントは Dataflow ジョブを起動する前に Feature Transform Engine の BigQuery ジョブを実行できます。データソースが BigQuery データセットでない場合でも、サービス アカウントにはこの権限が必要です。 |
| サービス アカウント ユーザー |
iam.serviceAccounts.actAs により、Vertex AI Pipelines サービス アカウントは評価中に Dataflow ワーカー サービス アカウントとして機能できます。 |
| Dataflow デベロッパー | このロールは、Dataflow ジョブの実行に必要なリソースへのアクセス権を付与します。 |
データソースの種類に基づいて次のロールを Vertex AI Pipelines サービス アカウントに追加で付与する必要があります。
| データソース | ロール | ロールを付与する場所 | |
|---|---|---|---|
| Cloud Storage ファイル | Storage 管理者 | ファイルが属するプロジェクト | |
| 標準の BigQuery テーブル | Storage オブジェクト管理者 | パイプラインを実行するプロジェクト | |
| BigQuery データ閲覧者 | テーブルが属するプロジェクト | ||
| 標準の BigQuery テーブルの BigQuery ビュー | Storage オブジェクト管理者 | パイプラインを実行するプロジェクト | |
| BigQuery データ閲覧者 | ビューが属するプロジェクト | ||
| BigQuery データ閲覧者 | テーブルが属するプロジェクト | ||
| ソースの Cloud Storage ファイルを含む BigQuery 外部テーブル | Storage オブジェクト管理者 | パイプラインを実行するプロジェクト | |
| BigQuery データ閲覧者 | 外部テーブルが属するプロジェクト | ||
| Storage オブジェクト閲覧者 | ソースファイルが属するプロジェクト | ||
| ソースの Cloud Storage ファイルを含む BigQuery 外部テーブルの BigQuery ビュー | Storage オブジェクト管理者 | パイプラインを実行するプロジェクト | |
| BigQuery データ閲覧者 | ビューが属するプロジェクト | ||
| BigQuery データ閲覧者 | 外部テーブルが属するプロジェクト | ||
| Storage オブジェクト閲覧者 | ソースファイルが属するプロジェクト |
次の表に、これらのロールの説明を示します。
| BigQuery データ閲覧者 | bigquery.tables.get は、サービス アカウントにデータセットへのアクセス権を付与します。パイプラインの Feature Transform Engine のステップで Dataflow ジョブを起動する前に、サービス アカウントにこのアクセス権が必要です。 |
| Storage オブジェクト閲覧者 | storage.objects.get により、サービス アカウントはソースの Cloud Storage ファイルにアクセスできます。 |
| Storage オブジェクト管理者 | storage.objects.get 権限と storage.objects.create 権限により、サービス アカウントはパイプライン ジョブのルート ディレクトリのバケットにアクセスできます。データソースが Cloud Storage ファイルでない場合でも、サービス アカウントにはパイプライン プロジェクトでこれらの権限が必要です。このロールには、Storage オブジェクト閲覧者のロールによって付与されるすべての権限が含まれています。 |
| Storage 管理者 | storage.buckets.* 権限により、サービス アカウントはパイプラインの Feature Transform Engine のステップで Cloud Storage バケットを検証できます。このロールには、Storage オブジェクト管理者のロールによって付与されるすべての権限が含まれています。 |
AI Platform サービス エージェント
パイプライン プロジェクトの AI Platform サービス エージェントに次のロールが付与されていることを確認する必要があります。
| ロール | 権限 |
|---|---|
| Vertex AI サービス エージェント |
このロールは、サービス エージェントに権限を付与します。これらの権限には、Artifact Registry リポジトリ内のコンテナ イメージに対する storage.object.get 権限とアクセス権限が含まれます。 |