表格工作流的服务账号

本页面介绍了以下表格工作流的服务账号:

端到端 AutoML 表格工作流的服务账号

此工作流使用以下服务账号:

服务账号 说明 默认主账号 默认名称 可被替换
Vertex AI Pipelines 的服务账号 运行流水线的服务账号 PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
Dataflow 工作器的服务账号 运行 Dataflow 工作器的服务账号 PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
AI Platform Service Agent 运行训练容器的服务账号。 service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent

您可以将某些服务账号更改为您选择的账号。如需查看特定于 Google Cloud 控制台或 API 的说明,请参阅使用端到端 AutoML 训练模型

Vertex AI Pipelines 的服务账号

您必须在流水线项目中将以下角色授予 Vertex AI Pipelines 的服务账号:

角色 权限
Vertex AI User aiplatform.metadataStores.get 允许服务账号创建流水线作业。aiplatform.models.upload 允许服务账号上传模型。
Storage Object Admin Storage Object Admin 的 storage.objects.getstorage.objects.create 权限允许服务账号访问流水线作业根目录的存储桶。即使您不使用 Cloud Storage 数据源,服务账号也需要这些权限。
Dataflow Developer dataflow.jobs.create 允许服务账号在评估期间创建 Dataflow 作业。
Service Account User iam.serviceAccounts.actAs 允许 Vertex AI Pipelines 服务账号在评估期间充当 Dataflow 工作器服务账号。

Dataflow 工作器的服务账号

您必须在流水线项目中将以下角色授予 Dataflow 工作器的服务账号:

角色 权限
Dataflow Worker 此角色允许服务账号访问运行 Dataflow 作业所需的资源。
Storage Object Admin 此角色允许服务账号访问 Cloud Storage 存储桶。即使您不使用 Cloud Storage 数据源,服务账号也需要这些权限。此角色包含 Storage Object Viewer 角色授予的所有权限。

此外,您还必须根据数据源类型向 Dataflow 工作器服务账号授予以下角色:

数据源 角色 在哪里授予角色
标准 BigQuery 表 BigQuery Data Editor 运行流水线的项目
BigQuery Job User 运行流水线的项目
BigQuery Data Viewer 表所属的项目
标准 BigQuery 表BigQuery 视图 BigQuery Data Editor 运行流水线的项目
BigQuery Job User 运行流水线的项目
BigQuery Data Viewer 视图所属的项目
BigQuery Data Viewer 表所属的项目
包含源 Cloud Storage 文件的 BigQuery 外部表 BigQuery Data Editor 运行流水线的项目
BigQuery Job User 运行流水线的项目
BigQuery Data Viewer 外部表所属的项目
Storage Object Viewer 源文件所属的项目
包含源 Cloud Storage 文件的 BigQuery 外部表BigQuery 视图 BigQuery Data Editor 运行流水线的项目
BigQuery Job User 运行流水线的项目
BigQuery Data Viewer 视图所属的项目
BigQuery Data Viewer 外部表所属的项目
Storage Object Viewer 源文件所属的项目
Cloud Storage 文件 Storage Object Viewer 文件所属的项目

下表介绍了这些角色:

角色 权限
BigQuery Data Editor bigquery.jobs.getbigquery.jobs.create 权限允许服务账号使用 BigQuery 数据集。bigquery.jobs.create 允许服务账号在统计信息和示例生成期间创建临时 BigQuery 数据集。此角色包含 BigQuery Data Viewer 角色授予的所有权限。
BigQuery Job User bigquery.jobs.create 允许服务账号使用 BigQuery 数据集。
BigQuery Data Viewer 此角色为服务账号提供对 BigQuery 数据集的访问权限。
Storage Object Viewer storage.objects.get 允许服务账号访问 Cloud Storage 文件。

AI Platform Service Agent

您必须确保在流水线项目中向 AI Platform Service Agent 授予以下角色:

角色 权限
Vertex AI Service Agent 此角色可为服务代理授予权限。这些权限包括 storage.object.get 权限以及对 Artifact Registry 制品库中容器映像的访问权限。

如果您的数据源是其他项目中的 BigQuery 数据集,您必须在数据集项目中向 AI Platform Service Agent 授予以下角色:

角色 权限
BigQuery Data Viewer bigquery.tables.get 允许服务账号在启动 Dataflow 作业之前获取 BigQuery 数据集的相关信息。

如果您的数据源是其他项目中的 Cloud Storage 文件,您必须在文件项目中向 AI Platform Service Agent 授予以下角色:

Storage Object Viewer storage.objects.list 允许服务账号在启动 Dataflow 作业之前获取 Cloud Storage 文件的相关信息。

用于预测的表格工作流的服务账号

此工作流使用以下服务账号:

服务账号 说明 默认主账号 默认名称 可被替换
Vertex AI Pipelines 的服务账号 运行流水线的服务账号 PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
Dataflow 工作器的服务账号 运行 Dataflow 工作器的服务账号 PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
AI Platform Service Agent 运行训练容器的服务账号。 service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent

您可以将某些服务账号更改为您选择的账号。如需了解详情,请参阅使用用于预测的表格工作流训练模型

Vertex AI Pipelines 的服务账号

您必须在流水线项目中将以下角色授予 Vertex AI Pipelines 的服务账号:

角色 权限
Vertex AI User aiplatform.metadataStores.get 允许服务账号创建流水线作业。aiplatform.models.upload 允许服务账号上传模型。
BigQuery Data Editor bigquery.tables.create 允许服务账号在启动 Dataflow 作业之前为 Feature Transform Engine 创建临时表。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。此角色包含 BigQuery Data Viewer 角色授予的所有权限。
BigQuery Job User bigquery.jobs.create 允许服务账号在启动 Dataflow 作业之前为 Feature Transform Engine 运行 BigQuery 作业。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。
Service Account User iam.serviceAccounts.actAs 允许 Vertex AI Pipelines 服务账号在评估期间充当 Dataflow 工作器服务账号。
Dataflow Developer 此角色可以访问运行 Dataflow 作业所需的资源。

此外,您还必须根据数据源类型向 Vertex AI Pipelines 服务账号授予以下角色:

数据源 角色 在哪里授予角色
Cloud Storage 文件 Storage Admin 文件所属的项目
标准 BigQuery 表 Storage Object Admin 运行流水线的项目
BigQuery Data Viewer 表所属的项目
标准 BigQuery 表BigQuery 视图 Storage Object Admin 运行流水线的项目
BigQuery Data Viewer 视图所属的项目
BigQuery Data Viewer 表所属的项目
包含源 Cloud Storage 文件的 BigQuery 外部表 Storage Object Admin 运行流水线的项目
BigQuery Data Viewer 外部表所属的项目
Storage Object Viewer 源文件所属的项目
包含源 Cloud Storage 文件的 BigQuery 外部表BigQuery 视图 Storage Object Admin 运行流水线的项目
BigQuery Data Viewer 视图所属的项目
BigQuery Data Viewer 外部表所属的项目
Storage Object Viewer 源文件所属的项目

下表介绍了这些角色:

BigQuery Data Viewer bigquery.tables.get 为服务账号提供对数据集的访问权限。在流水线的 Feature Transform Engine 步骤中启动 Dataflow 作业之前,服务账号需要此访问权限。
Storage Object Viewer storage.objects.get 允许服务账号访问源 Cloud Storage 文件。
Storage Object Admin storage.objects.getstorage.objects.create 权限允许服务账号访问流水线作业根目录的存储桶。即使您的数据源不是 Cloud Storage 文件,服务账号也需要在流水线项目中拥有这些权限。此角色包含 Storage Object Viewer 角色授予的所有权限。
Storage Admin storage.buckets.* 权限允许服务账号在流水线的 Feature Transform Engine 步骤中验证 Cloud Storage 存储桶。此角色包含 Storage Object Admin 角色授予的所有权限。

如果您要执行模型评估,则必须提供 BigQuery 数据集以用作预测示例的目标位置。在包含此数据集的项目中,您必须将以下角色授予 Vertex AI Pipelines 服务账号:

角色 权限
BigQuery Data Viewer 此角色可让服务账号查看 BigQuery 数据。
BigQuery Job User bigquery.jobs.create 可让服务账号创建 BigQuery 作业。

Dataflow 工作器的服务账号

您必须在流水线项目中将以下角色授予 Dataflow 工作器的服务账号:

角色 权限
Storage Object Admin 此角色允许服务账号访问 Cloud Storage 存储桶。即使您的数据源不是 Cloud Storage 文件,服务账号也需要这些权限。
BigQuery Job User bigquery.jobs.create 允许服务账号执行流水线的 Feature Transform Engine 步骤。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。
Dataflow Worker 服务账号需要此角色授予的所有权限。

此外,您还必须根据数据源类型向 Dataflow 工作器服务账号授予以下角色:

数据源 角色 在哪里授予角色
标准 BigQuery 表 BigQuery Data Editor 运行流水线的项目
BigQuery Data Viewer 表所属的项目
标准 BigQuery 表BigQuery 视图 BigQuery Data Editor 运行流水线的项目
BigQuery Data Viewer 视图所属的项目
BigQuery Data Viewer 表所属的项目
包含源 Cloud Storage 文件的 BigQuery 外部表 BigQuery Data Editor 运行流水线的项目
BigQuery Data Viewer 外部表所属的项目
Storage Object Viewer 源文件所属的项目
包含源 Cloud Storage 文件的 BigQuery 外部表BigQuery 视图 BigQuery Data Editor 运行流水线的项目
BigQuery Data Viewer 视图所属的项目
BigQuery Data Viewer 外部表所属的项目
Storage Object Viewer 源文件所属的项目
Cloud Storage 文件 BigQuery Data Viewer 运行流水线的项目

下表介绍了这些角色:

角色 权限
BigQuery Data Viewer bigquery.tables.get 提供对流水线 Feature Transform Engine 步骤中数据集的访问权限。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。
BigQuery Data Editor 此角色允许服务账号在流水线的 Feature Transform Engine 步骤中查询表和创建临时表。此角色包含 BigQuery Data Viewer 角色授予的所有权限。
Storage Object Viewer storage.objects.get 允许服务账号访问 Cloud Storage 文件。

AI Platform Service Agent

您必须确保在流水线项目中向 AI Platform Service Agent 授予以下角色:

角色 权限
Vertex AI Service Agent 此角色可为服务代理授予权限。这些权限包括 storage.object.get 权限以及对 Artifact Registry 制品库中容器映像的访问权限。

如果您要执行模型评估,则必须提供 BigQuery 数据集以用作预测示例的目标位置。在包含此数据集的项目中,您必须将以下角色授予 Vertex AI Pipelines 服务账号:

角色 权限
BigQuery Data Editor 此角色可让服务账号修改 BigQuery 数据。
BigQuery Job User bigquery.jobs.create 可让服务账号创建 BigQuery 作业。

TabNet 表格工作流、Wide & Deep 表格工作流和 Prophet 的服务账号

这些工作流使用以下服务账号:

服务账号 说明 默认主账号 默认名称 可被替换
Vertex AI Pipelines 的服务账号 运行流水线的服务账号 PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
Dataflow 工作器的服务账号 运行 Dataflow 工作器的服务账号 PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
AI Platform Service Agent 运行训练容器的服务账号。 service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent

您可以将某些服务账号更改为您选择的账号。如需查看 TabNet 表格工作流的说明,请参阅使用 TabNet 训练模型。如需了解 Wide & Deep 的表格工作流的说明,请参阅使用 Wide & Deep 训练模型。如需了解 Prophet 说明,请参阅使用 Prophet 进行预测

Vertex AI Pipelines 的服务账号

您必须在流水线项目中将以下角色授予 Vertex AI Pipelines 的服务账号:

角色 权限
Vertex AI User aiplatform.metadataStores.get 允许服务账号创建流水线作业。aiplatform.models.upload 允许服务账号上传模型。
BigQuery Data Editor bigquery.tables.create 允许服务账号在启动 Dataflow 作业之前为 Feature Transform Engine 创建临时表。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。此角色包含 BigQuery Data Viewer 角色授予的所有权限。
BigQuery Job User bigquery.jobs.create 允许服务账号在启动 Dataflow 作业之前为 Feature Transform Engine 运行 BigQuery 作业。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。
Service Account User iam.serviceAccounts.actAs 允许 Vertex AI Pipelines 服务账号在评估期间充当 Dataflow 工作器服务账号。
Dataflow Developer 此角色可以访问运行 Dataflow 作业所需的资源。

此外,您还必须根据数据源类型向 Vertex AI Pipelines 服务账号授予以下角色:

数据源 角色 在哪里授予角色
Cloud Storage 文件 Storage Admin 文件所属的项目
标准 BigQuery 表 Storage Object Admin 运行流水线的项目
BigQuery Data Viewer 表所属的项目
标准 BigQuery 表BigQuery 视图 Storage Object Admin 运行流水线的项目
BigQuery Data Viewer 视图所属的项目
BigQuery Data Viewer 表所属的项目
包含源 Cloud Storage 文件的 BigQuery 外部表 Storage Object Admin 运行流水线的项目
BigQuery Data Viewer 外部表所属的项目
Storage Object Viewer 源文件所属的项目
包含源 Cloud Storage 文件的 BigQuery 外部表BigQuery 视图 Storage Object Admin 运行流水线的项目
BigQuery Data Viewer 视图所属的项目
BigQuery Data Viewer 外部表所属的项目
Storage Object Viewer 源文件所属的项目

下表介绍了这些角色:

BigQuery Data Viewer bigquery.tables.get 为服务账号提供对数据集的访问权限。在流水线的 Feature Transform Engine 步骤中启动 Dataflow 作业之前,服务账号需要此访问权限。
Storage Object Viewer storage.objects.get 允许服务账号访问源 Cloud Storage 文件。
Storage Object Admin storage.objects.getstorage.objects.create 权限允许服务账号访问流水线作业根目录的存储桶。即使您的数据源不是 Cloud Storage 文件,服务账号也需要在流水线项目中拥有这些权限。此角色包含 Storage Object Viewer 角色授予的所有权限。
Storage Admin storage.buckets.* 权限允许服务账号在流水线的 Feature Transform Engine 步骤中验证 Cloud Storage 存储桶。此角色包含 Storage Object Admin 角色授予的所有权限。

Dataflow 工作器的服务账号

您必须在流水线项目中将以下角色授予 Dataflow 工作器的服务账号:

角色 权限
Storage Object Admin 此角色允许服务账号访问 Cloud Storage 存储桶。即使您的数据源不是 Cloud Storage 文件,服务账号也需要这些权限。
BigQuery Job User bigquery.jobs.create 允许服务账号执行流水线的 Feature Transform Engine 步骤。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。
Dataflow Worker 服务账号需要此角色授予的所有权限。

此外,您还必须根据数据源类型向 Dataflow 工作器服务账号授予以下角色:

数据源 角色 在哪里授予角色
标准 BigQuery 表 BigQuery Data Editor 运行流水线的项目
BigQuery Data Viewer 表所属的项目
标准 BigQuery 表BigQuery 视图 BigQuery Data Editor 运行流水线的项目
BigQuery Data Viewer 视图所属的项目
BigQuery Data Viewer 表所属的项目
包含源 Cloud Storage 文件的 BigQuery 外部表 BigQuery Data Editor 运行流水线的项目
BigQuery Data Viewer 外部表所属的项目
Storage Object Viewer 源文件所属的项目
包含源 Cloud Storage 文件的 BigQuery 外部表BigQuery 视图 BigQuery Data Editor 运行流水线的项目
BigQuery Data Viewer 视图所属的项目
BigQuery Data Viewer 外部表所属的项目
Storage Object Viewer 源文件所属的项目
Cloud Storage 文件 BigQuery Data Viewer 运行流水线的项目

下表介绍了这些角色:

角色 权限
BigQuery Data Viewer bigquery.tables.get 提供对流水线 Feature Transform Engine 步骤中数据集的访问权限。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。
BigQuery Data Editor 此角色允许服务账号在流水线的 Feature Transform Engine 步骤中查询表和创建临时表。此角色包含 BigQuery Data Viewer 角色授予的所有权限。
Storage Object Viewer storage.objects.get 允许服务账号访问 Cloud Storage 文件。

AI Platform Service Agent

您必须确保在流水线项目中向 AI Platform Service Agent 授予以下角色:

角色 权限
Vertex AI Service Agent 此角色可为服务代理授予权限。这些权限包括 storage.object.get 权限以及对 Artifact Registry 制品库中容器映像的访问权限。

ARIMA+ 的服务账号

此工作流使用以下服务账号:

服务账号 说明 默认主账号 默认名称 可被替换
Vertex AI Pipelines 的服务账号 运行流水线的服务账号 PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
AI Platform Service Agent 运行训练容器的服务账号。 service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent

您可以将 Vertex AI Pipelines 服务账号更改为您选择的账号。如需了解详情,请参阅使用 ARIMA+ 进行预测

Vertex AI Pipelines 的服务账号

您必须在流水线项目中将以下角色授予 Vertex AI Pipelines 的服务账号:

角色 权限
Vertex AI User aiplatform.metadataStores.get 允许服务账号创建流水线作业。aiplatform.models.upload 允许服务账号上传模型。
BigQuery Data Editor bigquery.tables.create 允许服务账号在启动 Dataflow 作业之前为 Feature Transform Engine 创建临时表。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。此角色包含 BigQuery Data Viewer 角色授予的所有权限。
BigQuery Job User bigquery.jobs.create 允许服务账号在启动 Dataflow 作业之前为 Feature Transform Engine 运行 BigQuery 作业。即使您的数据源不是 BigQuery 数据集,服务账号也需要此权限。
Service Account User iam.serviceAccounts.actAs 允许 Vertex AI Pipelines 服务账号在评估期间充当 Dataflow 工作器服务账号。
Dataflow Developer 此角色可以访问运行 Dataflow 作业所需的资源。

此外,您还必须根据数据源类型向 Vertex AI Pipelines 服务账号授予以下角色:

数据源 角色 在哪里授予角色
Cloud Storage 文件 Storage Admin 文件所属的项目
标准 BigQuery 表 Storage Object Admin 运行流水线的项目
BigQuery Data Viewer 表所属的项目
标准 BigQuery 表BigQuery 视图 Storage Object Admin 运行流水线的项目
BigQuery Data Viewer 视图所属的项目
BigQuery Data Viewer 表所属的项目
包含源 Cloud Storage 文件的 BigQuery 外部表 Storage Object Admin 运行流水线的项目
BigQuery Data Viewer 外部表所属的项目
Storage Object Viewer 源文件所属的项目
包含源 Cloud Storage 文件的 BigQuery 外部表BigQuery 视图 Storage Object Admin 运行流水线的项目
BigQuery Data Viewer 视图所属的项目
BigQuery Data Viewer 外部表所属的项目
Storage Object Viewer 源文件所属的项目

下表介绍了这些角色:

BigQuery Data Viewer bigquery.tables.get 为服务账号提供对数据集的访问权限。在流水线的 Feature Transform Engine 步骤中启动 Dataflow 作业之前,服务账号需要此访问权限。
Storage Object Viewer storage.objects.get 允许服务账号访问源 Cloud Storage 文件。
Storage Object Admin storage.objects.getstorage.objects.create 权限允许服务账号访问流水线作业根目录的存储桶。即使您的数据源不是 Cloud Storage 文件,服务账号也需要在流水线项目中拥有这些权限。此角色包含 Storage Object Viewer 角色授予的所有权限。
Storage Admin storage.buckets.* 权限允许服务账号在流水线的 Feature Transform Engine 步骤中验证 Cloud Storage 存储桶。此角色包含 Storage Object Admin 角色授予的所有权限。

AI Platform Service Agent

您必须确保在流水线项目中向 AI Platform Service Agent 授予以下角色:

角色 权限
Vertex AI Service Agent 此角色可为服务代理授予权限。这些权限包括 storage.object.get 权限以及对 Artifact Registry 制品库中容器映像的访问权限。