Dienstkonten für tabellarische Workflows

Auf dieser Seite werden die Dienstkonten für die folgenden tabellarischen Workflows erläutert:

Dienstkonten für tabellarische Workflows für End-to-End-AutoML

Dieser Workflow verwendet folgende Dienstkonten:

Dienstkonto Beschreibung Standard-Hauptkonto Standardname Kann überschrieben werden
Dienstkonto für Vertex AI Pipelines Das Dienstkonto, mit dem die Pipeline ausgeführt wird PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account Ja
Dienstkonto für Dataflow-Worker Das Dienstkonto, auf dem die Dataflow-Worker ausgeführt werden PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account Ja
AI Platform-Dienst-Agent Das Dienstkonto, mit dem die Trainingscontainer ausgeführt werden. service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent Nein

Einige Dienstkonten können in ein Konto Ihrer Wahl geändert werden. Eine Anleitung für die Google Cloud Console oder die API finden Sie unter Modell mit End-to-End-AutoML trainieren.

Dienstkonto für Vertex AI Pipelines

Sie müssen dem Dienstkonto für Vertex AI Pipelines im Pipeline-Projekt die folgenden Rollen zuweisen:

Rolle Berechtigungen
Vertex AI-Nutzer aiplatform.metadataStores.get ermöglicht dem Dienstkonto, einen Pipelinejob zu erstellen. aiplatform.models.upload ermöglicht dem Dienstkonto, das Modell hochzuladen.
Storage-Objekt-Administrator Mit den Berechtigungen storage.objects.get und storage.objects.create des Storage-Objekt-Administrators kann das Dienstkonto auf den Bucket für das Stammverzeichnis des Pipelinejobs zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn Sie keine Cloud Storage-Datenquelle verwenden.
Dataflow-Entwickler dataflow.jobs.create ermöglicht dem Dienstkonto, Dataflow-Jobs während der Bewertung zu erstellen.
Dienstkontonutzer iam.serviceAccounts.actAs ermöglicht dem Vertex AI Pipelines-Dienstkonto, während der Bewertung als Dataflow-Worker-Dienstkonto zu fungieren.

Dienstkonto für Dataflow-Worker

Sie müssen dem Dienstkonto für den Dataflow-Worker im Pipelineprojekt die folgenden Rollen zuweisen:

Rolle Berechtigungen
Dataflow-Worker Mit dieser Rolle kann das Dienstkonto auf die Ressourcen zugreifen, die zum Ausführen von Dataflow-Jobs erforderlich sind.
Storage-Objekt-Administrator Mit dieser Rolle kann das Dienstkonto auf Cloud Storage-Buckets zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn Sie keine Cloud Storage-Datenquelle verwenden. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter.

Sie müssen dem Dataflow-Worker-Dienstkonto außerdem basierend auf Ihrem Datenquellentyp die folgenden Rollen zuweisen:

Datenquelle Rolle Rolle zuweisen
BigQuery-Standardtabelle BigQuery-Dateneditor Projekt, das die Pipeline ausführt
BigQuery-Jobnutzer Projekt, das die Pipeline ausführt
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
BigQuery-Ansicht einer BigQuery-Standardtabelle BigQuery-Dateneditor Projekt, das die Pipeline ausführt
BigQuery-Jobnutzer Projekt, das die Pipeline ausführt
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei BigQuery-Dateneditor Projekt, das die Pipeline ausführt
BigQuery-Jobnutzer Projekt, das die Pipeline ausführt
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört
BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei BigQuery-Dateneditor Projekt, das die Pipeline ausführt
BigQuery-Jobnutzer Projekt, das die Pipeline ausführt
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört
Cloud Storage-Datei Storage-Objekt-Betrachter Projekt, zu dem die Datei gehört

In der folgenden Tabelle werden diese Rollen erläutert:

Rolle Berechtigungen
BigQuery-Dateneditor Mit den Berechtigungen bigquery.jobs.get und bigquery.jobs.create kann das Dienstkonto BigQuery-Datasets verwenden. bigquery.jobs.create ermöglicht dem Dienstkonto, während der Statistik und der Beispielgenerierung temporäre BigQuery-Datasets zu erstellen. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter.
BigQuery-Jobnutzer bigquery.jobs.create ermöglicht dem Dienstkonto, ein BigQuery-Dataset zu verwenden.
BigQuery-Datenbetrachter Diese Rolle gibt dem Dienstkonto Zugriff auf das BigQuery-Dataset.
Storage-Objekt-Betrachter storage.objects.get ermöglicht dem Dienstkonto den Zugriff auf eine Cloud Storage-Datei.

AI Platform-Dienst-Agent

Sie müssen dem AI Platform-Dienst-Agent im Pipelineprojekt die folgende Rolle zuweisen:

Rolle Berechtigungen
Vertex AI-Dienst-Agent Diese Rolle gewährt Berechtigungen für Dienst-Agents. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.

Wenn Ihre Datenquelle ein BigQuery-Dataset aus einem anderen Projekt ist, müssen Sie dem AI Platform-Dienst-Agent die folgenden Rollen im Dataset-Projekt zuweisen:

Rolle Berechtigungen
BigQuery-Datenbetrachter bigquery.tables.get ermöglicht dem Dienstkonto, Informationen zum BigQuery-Dataset abzurufen, bevor ein Dataflow-Job gestartet wird.

Wenn Ihre Datenquelle eine Cloud Storage-Datei aus einem anderen Projekt ist, müssen Sie dem AI Platform-Dienst-Agent die folgenden Rollen im Dateiprojekt zuweisen:

Storage-Objekt-Betrachter storage.objects.list ermöglicht dem Dienstkonto, Informationen zur Cloud Storage-Datei abzurufen, bevor ein Dataflow-Job gestartet wird.

Dienstkonten für den tabellarische Workflow für Prognosen

Dieser Workflow verwendet folgende Dienstkonten:

Dienstkonto Beschreibung Standard-Hauptkonto Standardname Kann überschrieben werden
Dienstkonto für Vertex AI Pipelines Das Dienstkonto, mit dem die Pipeline ausgeführt wird PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account Ja
Dienstkonto für Dataflow-Worker Das Dienstkonto, auf dem die Dataflow-Worker ausgeführt werden PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account Ja
AI Platform-Dienst-Agent Das Dienstkonto, mit dem die Trainingscontainer ausgeführt werden. service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent Nein

Einige Dienstkonten können in ein Konto Ihrer Wahl geändert werden. Weitere Informationen finden Sie unter Modell mit dem tabellarischen Workflow für Prognosen trainieren.

Dienstkonto für Vertex AI Pipelines

Sie müssen dem Dienstkonto für Vertex AI Pipelines im Pipeline-Projekt die folgenden Rollen zuweisen:

Rolle Berechtigungen
Vertex AI-Nutzer aiplatform.metadataStores.get ermöglicht dem Dienstkonto, einen Pipelinejob zu erstellen. aiplatform.models.upload ermöglicht dem Dienstkonto, das Modell hochzuladen.
BigQuery-Dateneditor bigquery.tables.create ermöglicht dem Dienstkonto, temporäre Tabellen für Feature Transform Engine zu erstellen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch, wenn Ihre Datenquelle kein BigQuery-Dataset ist. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter.
BigQuery-Jobnutzer bigquery.jobs.create ermöglicht dem Dienstkonto, BigQuery-Jobs für Feature Transform Engine auszuführen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch, wenn Ihre Datenquelle kein BigQuery-Dataset ist.
Dienstkontonutzer iam.serviceAccounts.actAs ermöglicht dem Vertex AI Pipelines-Dienstkonto, während der Bewertung als Dataflow-Worker-Dienstkonto zu fungieren.
Dataflow-Entwickler Diese Rolle bietet Zugriff auf Ressourcen, die zum Ausführen von Dataflow-Jobs erforderlich sind.

Außerdem müssen Sie dem Vertex AI Pipelines-Dienstkonto basierend auf Ihrem Datenquellentyp die folgenden Rollen zuweisen:

Datenquelle Rolle Rolle zuweisen
Cloud Storage-Datei Storage-Administrator Projekt, zu dem die Datei gehört
BigQuery-Standardtabelle Storage-Objekt-Administrator Projekt, das die Pipeline ausführt
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
BigQuery-Ansicht einer BigQuery-Standardtabelle Storage-Objekt-Administrator Projekt, das die Pipeline ausführt
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei Storage-Objekt-Administrator Projekt, das die Pipeline ausführt
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört
BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei Storage-Objekt-Administrator Projekt, das die Pipeline ausführt
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört

In der folgenden Tabelle werden diese Rollen erläutert:

BigQuery-Datenbetrachter bigquery.tables.get gewährt dem Dienstkonto Zugriff auf das Dataset. Das Dienstkonto benötigt diesen Zugriff, bevor der Dataflow-Job im Schritt „Feature Transform Engine“ der Pipeline gestartet wird.
Storage-Objekt-Betrachter storage.objects.get ermöglicht dem Dienstkonto, auf die Cloud Storage-Quelldatei zuzugreifen.
Storage-Objekt-Administrator Mit den Berechtigungen storage.objects.get und storage.objects.create kann das Dienstkonto auf den Bucket für das Stammverzeichnis des Pipelinejobs zugreifen. Das Dienstkonto benötigt diese Berechtigungen im Pipelineprojekt, auch wenn Ihre Datenquelle keine Cloud Storage-Datei ist. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter.
Storage-Administrator Mit Berechtigungen vom Typ storage.buckets.* kann das Dienstkonto den Cloud Storage-Bucket im Schritt „Feature Transform Engine“ der Pipeline validieren. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Administrator.

Wenn Sie die Modellbewertung durchführen, müssen Sie ein BigQuery-Dataset als Ziel für die vorhergesagten Beispiele bereitstellen. In dem Projekt, das dieses Dataset enthält, müssen Sie dem Vertex AI Pipelines-Dienstkonto die folgenden Rollen zuweisen:

Rolle Berechtigungen
BigQuery-Datenbetrachter Mit dieser Rolle kann das Dienstkonto BigQuery-Daten aufrufen.
BigQuery-Jobnutzer bigquery.jobs.create ermöglicht dem Dienstkonto das Erstellen von BigQuery-Jobs.

Dienstkonto für Dataflow-Worker

Sie müssen dem Dienstkonto für den Dataflow-Worker im Pipelineprojekt die folgenden Rollen zuweisen:

Rolle Berechtigungen
Storage-Objekt-Administrator Mit dieser Rolle kann das Dienstkonto auf Cloud Storage-Buckets zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn Ihre Datenquelle keine Cloud Storage-Datei ist.
BigQuery-Jobnutzer Mit bigquery.jobs.create kann das Dienstkonto den Feature Transform Engine-Schritt der Pipeline ausführen. Das Dienstkonto benötigt diese Berechtigung auch, wenn Ihre Datenquelle kein BigQuery-Dataset ist.
Dataflow-Worker Das Dienstkonto benötigt alle Berechtigungen, die von dieser Rolle gewährt werden.

Sie müssen dem Dataflow-Worker-Dienstkonto außerdem basierend auf Ihrem Datenquellentyp die folgenden Rollen zuweisen:

Datenquelle Rolle Rolle zuweisen
BigQuery-Standardtabelle BigQuery-Dateneditor Projekt, das die Pipeline ausführt
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
BigQuery-Ansicht einer BigQuery-Standardtabelle BigQuery-Dateneditor Projekt, das die Pipeline ausführt
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei BigQuery-Dateneditor Projekt, das die Pipeline ausführt
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört
BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei BigQuery-Dateneditor Projekt, das die Pipeline ausführt
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört
Cloud Storage-Datei BigQuery-Datenbetrachter Projekt, das die Pipeline ausführt

In der folgenden Tabelle werden diese Rollen erläutert:

Rolle Berechtigungen
BigQuery-Datenbetrachter bigquery.tables.get bietet Zugriff auf das Dataset im Schritt „Feature Transform Engine“ der Pipeline. Das Dienstkonto benötigt diese Berechtigung auch, wenn Ihre Datenquelle kein BigQuery-Dataset ist.
BigQuery-Dateneditor Mit dieser Rolle kann das Dienstkonto die Tabelle abfragen und temporäre Tabellen w