Nesta página, explicamos as contas de serviço dos seguintes fluxos de trabalho tabulares:
- Fluxo de trabalho tabular para o AutoML de ponta a ponta
- Fluxo de trabalho tabular para previsão
- Fluxo de trabalho tabular para TabNet
- Fluxo de trabalho tabular para amplo e profundo
- Prophet
- ARIMA+
Contas de serviço do fluxo de trabalho tabular para o AutoML de ponta a ponta
Esse fluxo de trabalho usa as seguintes contas de serviço:
| Conta de serviço | Descrição | Principal padrão | Nome padrão | Pode ser modificada |
|---|---|---|---|---|
| Conta de serviço para Vertex AI Pipelines | A conta de serviço que executa o pipeline | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Conta de serviço para o worker do Dataflow | A conta de serviço que executa os workers do Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Agente de serviço do AI Platform | A conta de serviço que executa os contêineres de treinamento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Não |
Algumas das contas de serviço podem ser alteradas para uma conta de sua escolha. Consulte Treinar um modelo com o AutoML completo para receber instruções específicas do Console do Google Cloud ou da API.
Conta de serviço do Vertex AI Pipelines
É necessário conceder os seguintes papéis à conta de serviço do Vertex AI Pipelines no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Usuário da Vertex AI |
aiplatform.metadataStores.get permite que a conta de serviço crie um job de pipeline. aiplatform.models.upload permite que a conta de serviço faça o upload do modelo.
|
| Administrador de objetos do Storage | As permissões storage.objects.get e storage.objects.create do administrador de objetos do Storage permitem que a conta de serviço acesse o bucket do diretório raiz do job do pipeline. A conta de serviço precisa dessas permissões mesmo que você não esteja usando uma origem de dados do Cloud Storage. |
| Desenvolvedor do Dataflow | dataflow.jobs.create permite que a conta de serviço crie jobs do Dataflow durante a avaliação. |
| Usuário da conta de serviço |
iam.serviceAccounts.actAs permite que a conta de serviço do Vertex AI Pipelines atue como a conta de serviço do worker do Dataflow durante a avaliação.
|
Conta de serviço para o worker do Dataflow
É necessário conceder os seguintes papéis à conta de serviço do worker do Dataflow no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Worker do Dataflow | Com esse papel, a conta de serviço pode acessar os recursos necessários para executar jobs do Dataflow. |
| Administrador de objetos do Storage | Com esse papel, a conta de serviço pode acessar os buckets do Cloud Storage. A conta de serviço precisa dessas permissões mesmo que você não esteja usando uma origem de dados do Cloud Storage. Esse papel inclui todas as permissões concedidas pelo papel Leitor de objetos do Storage. |
Além disso, é necessário conceder os seguintes papéis à conta de serviço de worker do Dataflow com base no tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel: |
|---|---|---|
| Tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Usuário de jobs do BigQuery | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Visualização do BigQuery de uma tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Usuário de jobs do BigQuery | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Usuário de jobs do BigQuery | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Usuário de jobs do BigQuery | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Arquivo do Cloud Storage | Leitor de objetos do Storage | Projeto ao qual o arquivo pertence |
A tabela a seguir explica essas funções:
| Papel | Permissões |
|---|---|
| Editor de dados do BigQuery | As permissões bigquery.jobs.get e bigquery.jobs.create permitem que a conta de serviço use conjuntos de dados do BigQuery. bigquery.jobs.create permite que a conta de serviço crie conjuntos de dados temporários do BigQuery durante a geração de estatísticas e exemplos. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço use um conjunto de dados do BigQuery. |
| Visualizador de dados do BigQuery | Esse papel concede à conta de serviço acesso ao conjunto de dados do BigQuery. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse um arquivo do Cloud Storage. |
Agente de serviço do AI Platform
É necessário garantir que o seguinte papel seja concedido ao Agente de serviço do AI Platform no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Agente de serviço da Vertex AI |
Esse papel concede permissões para agentes de serviço. Essas permissões incluem a permissão storage.object.get e os direitos de acesso a imagens de contêiner no repositório do Artifact Registry.
|
Se a sua fonte de dados for um conjunto de dados do BigQuery de outro projeto, conceda os seguintes papéis ao agente de serviço do AI Platform no projeto do conjunto de dados:
| Papel | Permissões |
|---|---|
| Visualizador de dados do BigQuery | bigquery.tables.get permite que a conta de serviço receba informações sobre o conjunto de dados do BigQuery antes de iniciar um job do Dataflow. |
Se a fonte de dados for um arquivo do Cloud Storage de outro projeto, conceda os seguintes papéis ao agente de serviço do AI Platform no projeto do arquivo:
| Leitor de objetos do Storage | storage.objects.list permite que a conta de serviço receba informações sobre o arquivo do Cloud Storage antes de iniciar um job do Dataflow. |
Contas de serviço para o Fluxo de trabalho tabular para previsão
Esse fluxo de trabalho usa as seguintes contas de serviço:
| Conta de serviço | Descrição | Principal padrão | Nome padrão | Pode ser modificada |
|---|---|---|---|---|
| Conta de serviço para Vertex AI Pipelines | A conta de serviço que executa o pipeline | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Conta de serviço para o worker do Dataflow | A conta de serviço que executa os workers do Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Agente de serviço do AI Platform | A conta de serviço que executa os contêineres de treinamento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Não |
Algumas das contas de serviço podem ser alteradas para uma conta de sua escolha. Para saber mais, consulte Treinar um modelo com fluxo de trabalho tabular para previsão.
Conta de serviço do Vertex AI Pipelines
É necessário conceder os seguintes papéis à conta de serviço do Vertex AI Pipelines no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Usuário da Vertex AI |
aiplatform.metadataStores.get permite que a conta de serviço crie um job de pipeline. aiplatform.models.upload permite que a conta de serviço faça o upload do modelo.
|
| Editor de dados do BigQuery | bigquery.tables.create permite que a conta de serviço crie tabelas temporárias para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço execute jobs do BigQuery para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. |
| Usuário da conta de serviço |
iam.serviceAccounts.actAs permite que a conta de serviço do Vertex AI Pipelines atue como a conta de serviço do worker do Dataflow durante a avaliação.
|
| Desenvolvedor do Dataflow | Esse papel fornece acesso aos recursos necessários para executar jobs do Dataflow. |
Além disso, conceda os seguintes papéis à conta de serviço do Vertex AI Pipelines com base no tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel: | |
|---|---|---|---|
| Arquivo do Cloud Storage | Administrador do Storage | Projeto ao qual o arquivo pertence | |
| Tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | ||
| Visualização do BigQuery de uma tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | ||
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | ||
| Tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | ||
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | ||
| Visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | ||
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | ||
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence |
A tabela a seguir explica essas funções:
| Visualizador de dados do BigQuery | bigquery.tables.get concede à conta de serviço acesso ao conjunto de dados. A conta de serviço precisa desse acesso antes de iniciar o job do Dataflow na etapa do mecanismo de transformação de recursos do pipeline. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse o arquivo de origem do Cloud Storage. |
| Administrador de objetos do Storage | As permissões storage.objects.get e storage.objects.create permitem que a conta de serviço acesse o bucket do diretório raiz do job do pipeline. A conta de serviço precisa dessas permissões no projeto do pipeline, mesmo que a fonte de dados não seja um arquivo do Cloud Storage. Esse papel inclui todas as permissões concedidas pelo papel Leitor de objetos do Storage. |
| Administrador do Storage | As permissões storage.buckets.* permitem que a conta de serviço valide o bucket do Cloud Storage na etapa do mecanismo de transformação de recursos do pipeline. Esse papel inclui todas as permissões concedidas pelo papel Administrador de objetos do Storage. |
Se você estiver realizando uma avaliação de modelo, será necessário fornecer um conjunto de dados do BigQuery para servir como destino para os exemplos previstos. No projeto que contém esse conjunto de dados, conceda os seguintes papéis à conta de serviço do Vertex AI Pipelines:
| Papel | Permissões |
|---|---|
| Visualizador de dados do BigQuery | Esse papel permite que a conta de serviço visualize os dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço crie jobs do BigQuery. |
Conta de serviço para o worker do Dataflow
É necessário conceder os seguintes papéis à conta de serviço do worker do Dataflow no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Administrador de objetos do Storage | Com esse papel, a conta de serviço pode acessar os buckets do Cloud Storage. A conta de serviço precisa dessas permissões mesmo que a fonte de dados não seja um arquivo do Cloud Storage. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço execute a etapa do mecanismo de transformação de recursos do pipeline. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. |
| Worker do Dataflow | A conta de serviço precisa de todas as permissões concedidas por esse papel. |
Além disso, é necessário conceder os seguintes papéis à conta de serviço de worker do Dataflow com base no tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel: |
|---|---|---|
| Tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Visualização do BigQuery de uma tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Arquivo do Cloud Storage | Visualizador de dados do BigQuery | Projeto que executa o pipeline |
A tabela a seguir explica essas funções:
| Papel | Permissões |
|---|---|
| Visualizador de dados do BigQuery | bigquery.tables.get fornece acesso ao conjunto de dados na etapa Feature Transform Engine do pipeline. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. |
| Editor de dados do BigQuery | Esse papel permite que a conta de serviço consulte a tabela e crie tabelas temporárias durante a etapa do mecanismo de transformação de recursos do pipeline. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse um arquivo do Cloud Storage. |
Agente de serviço do AI Platform
É necessário garantir que o seguinte papel seja concedido ao Agente de serviço do AI Platform no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Agente de serviço da Vertex AI |
Esse papel concede permissões para agentes de serviço. Essas permissões incluem a permissão storage.object.get e os direitos de acesso a imagens de contêiner no repositório do Artifact Registry.
|
Se você estiver realizando uma avaliação de modelo, será necessário fornecer um conjunto de dados do BigQuery para servir como destino para os exemplos previstos. No projeto que contém esse conjunto de dados, conceda os seguintes papéis à conta de serviço do Vertex AI Pipelines:
| Papel | Permissões |
|---|---|
| Editor de dados do BigQuery | Esse papel permite que a conta de serviço edite dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço crie jobs do BigQuery. |
Contas de serviço do fluxo de trabalho tabular para TabNet e para fluxo de trabalho tabular para Wide & Deep e Prophet
Esses fluxos de trabalho usam as seguintes contas de serviço:
| Conta de serviço | Descrição | Principal padrão | Nome padrão | Pode ser modificada |
|---|---|---|---|---|
| Conta de serviço para Vertex AI Pipelines | A conta de serviço que executa o pipeline | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Conta de serviço para o worker do Dataflow | A conta de serviço que executa os workers do Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Agente de serviço do AI Platform | A conta de serviço que executa os contêineres de treinamento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Não |
Algumas das contas de serviço podem ser alteradas para uma conta de sua escolha. Para instruções sobre o fluxo de trabalho tabular para o TabNet, consulte Treinar um modelo com o TabNet. Para instruções sobre o fluxo de trabalho tabular para largura e profundidade, consulte Treinar um modelo com largura e profundidade. Para instruções do Prophet, consulte Previsão com Prophet.
Conta de serviço do Vertex AI Pipelines
É necessário conceder os seguintes papéis à conta de serviço do Vertex AI Pipelines no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Usuário da Vertex AI |
aiplatform.metadataStores.get permite que a conta de serviço crie um job de pipeline. aiplatform.models.upload permite que a conta de serviço faça o upload do modelo.
|
| Editor de dados do BigQuery | bigquery.tables.create permite que a conta de serviço crie tabelas temporárias para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço execute jobs do BigQuery para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. |
| Usuário da conta de serviço |
iam.serviceAccounts.actAs permite que a conta de serviço do Vertex AI Pipelines atue como a conta de serviço do worker do Dataflow durante a avaliação.
|
| Desenvolvedor do Dataflow | Esse papel fornece acesso aos recursos necessários para executar jobs do Dataflow. |
Além disso, conceda os seguintes papéis à conta de serviço do Vertex AI Pipelines com base no tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel: | |
|---|---|---|---|
| Arquivo do Cloud Storage | Administrador do Storage | Projeto ao qual o arquivo pertence | |
| Tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | ||
| Visualização do BigQuery de uma tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | ||
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | ||
| Tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | ||
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | ||
| Visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | ||
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | ||
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence |
A tabela a seguir explica essas funções:
| Visualizador de dados do BigQuery | bigquery.tables.get concede à conta de serviço acesso ao conjunto de dados. A conta de serviço precisa desse acesso antes de iniciar o job do Dataflow na etapa do mecanismo de transformação de recursos do pipeline. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse o arquivo de origem do Cloud Storage. |
| Administrador de objetos do Storage | As permissões storage.objects.get e storage.objects.create permitem que a conta de serviço acesse o bucket do diretório raiz do job do pipeline. A conta de serviço precisa dessas permissões no projeto do pipeline, mesmo que a fonte de dados não seja um arquivo do Cloud Storage. Esse papel inclui todas as permissões concedidas pelo papel Leitor de objetos do Storage. |
| Administrador do Storage | As permissões storage.buckets.* permitem que a conta de serviço valide o bucket do Cloud Storage na etapa do mecanismo de transformação de recursos do pipeline. Esse papel inclui todas as permissões concedidas pelo papel Administrador de objetos do Storage. |
Conta de serviço para o worker do Dataflow
É necessário conceder os seguintes papéis à conta de serviço do worker do Dataflow no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Administrador de objetos do Storage | Com esse papel, a conta de serviço pode acessar os buckets do Cloud Storage. A conta de serviço precisa dessas permissões mesmo que a fonte de dados não seja um arquivo do Cloud Storage. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço execute a etapa do mecanismo de transformação de recursos do pipeline. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. |
| Worker do Dataflow | A conta de serviço precisa de todas as permissões concedidas por esse papel. |
Além disso, é necessário conceder os seguintes papéis à conta de serviço de worker do Dataflow com base no tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel: |
|---|---|---|
| Tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Visualização do BigQuery de uma tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Arquivo do Cloud Storage | Visualizador de dados do BigQuery | Projeto que executa o pipeline |
A tabela a seguir explica essas funções:
| Papel | Permissões |
|---|---|
| Visualizador de dados do BigQuery | bigquery.tables.get fornece acesso ao conjunto de dados na etapa do mecanismo de transformação de elementos do pipeline. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. |
| Editor de dados do BigQuery | Esse papel permite que a conta de serviço consulte a tabela e crie tabelas temporárias durante a etapa do mecanismo de transformação de recursos do pipeline. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse um arquivo do Cloud Storage. |
Agente de serviço do AI Platform
É necessário garantir que o seguinte papel seja concedido ao Agente de serviço do AI Platform no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Agente de serviço da Vertex AI |
Esse papel concede permissões para agentes de serviço. Essas permissões incluem a permissão storage.object.get e os direitos de acesso a imagens de contêiner no repositório do Artifact Registry.
|
Contas de serviço para ARIMA+
Esse fluxo de trabalho usa as seguintes contas de serviço:
| Conta de serviço | Descrição | Principal padrão | Nome padrão | Pode ser modificada |
|---|---|---|---|---|
| Conta de serviço para Vertex AI Pipelines | A conta de serviço que executa o pipeline | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Agente de serviço do AI Platform | A conta de serviço que executa os contêineres de treinamento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Não |
A conta de serviço do Vertex AI Pipelines pode ser alterada para uma conta de sua preferência. Consulte Previsão com ARIMA+ para mais informações.
Conta de serviço do Vertex AI Pipelines
É necessário conceder os seguintes papéis à conta de serviço do Vertex AI Pipelines no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Usuário da Vertex AI |
aiplatform.metadataStores.get permite que a conta de serviço crie um job de pipeline. aiplatform.models.upload permite que a conta de serviço faça o upload do modelo.
|
| Editor de dados do BigQuery | bigquery.tables.create permite que a conta de serviço crie tabelas temporárias para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço execute jobs do BigQuery para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. |
| Usuário da conta de serviço |
iam.serviceAccounts.actAs permite que a conta de serviço do Vertex AI Pipelines atue como a conta de serviço do worker do Dataflow durante a avaliação.
|
| Desenvolvedor do Dataflow | Esse papel fornece acesso aos recursos necessários para executar jobs do Dataflow. |
Além disso, conceda os seguintes papéis à conta de serviço do Vertex AI Pipelines com base no tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel: | |
|---|---|---|---|
| Arquivo do Cloud Storage | Administrador do Storage | Projeto ao qual o arquivo pertence | |
| Tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | ||
| Visualização do BigQuery de uma tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | ||
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | ||
| Tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | ||
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | ||
| Visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | ||
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | ||
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence |
A tabela a seguir explica essas funções:
| Visualizador de dados do BigQuery | bigquery.tables.get concede à conta de serviço acesso ao conjunto de dados. A conta de serviço precisa desse acesso antes de iniciar o job do Dataflow na etapa do mecanismo de transformação de recursos do pipeline. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse o arquivo de origem do Cloud Storage. |
| Administrador de objetos do Storage | As permissões storage.objects.get e storage.objects.create permitem que a conta de serviço acesse o bucket do diretório raiz do job do pipeline. A conta de serviço precisa dessas permissões no projeto do pipeline, mesmo que a fonte de dados não seja um arquivo do Cloud Storage. Esse papel inclui todas as permissões concedidas pelo papel Leitor de objetos do Storage. |
| Administrador do Storage | As permissões storage.buckets.* permitem que a conta de serviço valide o bucket do Cloud Storage na etapa do mecanismo de transformação de recursos do pipeline. Esse papel inclui todas as permissões concedidas pelo papel Administrador de objetos do Storage. |
Agente de serviço do AI Platform
É necessário garantir que o seguinte papel seja concedido ao Agente de serviço do AI Platform no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Agente de serviço da Vertex AI |
Esse papel concede permissões para agentes de serviço. Essas permissões incluem a permissão storage.object.get e os direitos de acesso a imagens de contêiner no repositório do Artifact Registry.
|