Auf dieser Seite werden die Dienstkonten für die folgenden tabellarischen Workflows erläutert:
- Tabellarischer Workflow für End-to-End-AutoML
- Tabellarischer Workflow für Prognosen
- Tabellarischer Workflow für TabNet
- Tabellarischer Workflow für Wide & Deep
- Prophet
- ARIMA+
Dienstkonten für tabellarische Workflows für End-to-End-AutoML
Dieser Workflow verwendet folgende Dienstkonten:
| Dienstkonto | Beschreibung | Standard-Hauptkonto | Standardname | Kann überschrieben werden |
|---|---|---|---|---|
| Dienstkonto für Vertex AI Pipelines | Das Dienstkonto, mit dem die Pipeline ausgeführt wird | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| Dienstkonto für Dataflow-Worker | Das Dienstkonto, auf dem die Dataflow-Worker ausgeführt werden | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| AI Platform-Dienst-Agent | Das Dienstkonto, mit dem die Trainingscontainer ausgeführt werden. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Nein |
Einige Dienstkonten können in ein Konto Ihrer Wahl geändert werden. Eine Anleitung für die Google Cloud Console oder die API finden Sie unter Modell mit End-to-End-AutoML trainieren.
Dienstkonto für Vertex AI Pipelines
Sie müssen dem Dienstkonto für Vertex AI Pipelines im Pipeline-Projekt die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Nutzer |
aiplatform.metadataStores.get ermöglicht dem Dienstkonto, einen Pipelinejob zu erstellen. aiplatform.models.upload ermöglicht dem Dienstkonto, das Modell hochzuladen.
|
| Storage-Objekt-Administrator | Mit den Berechtigungen storage.objects.get und storage.objects.create des Storage-Objekt-Administrators kann das Dienstkonto auf den Bucket für das Stammverzeichnis des Pipelinejobs zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn Sie keine Cloud Storage-Datenquelle verwenden. |
| Dataflow-Entwickler | dataflow.jobs.create ermöglicht dem Dienstkonto, Dataflow-Jobs während der Bewertung zu erstellen. |
| Dienstkontonutzer |
iam.serviceAccounts.actAs ermöglicht dem Vertex AI Pipelines-Dienstkonto, während der Bewertung als Dataflow-Worker-Dienstkonto zu fungieren.
|
Dienstkonto für Dataflow-Worker
Sie müssen dem Dienstkonto für den Dataflow-Worker im Pipelineprojekt die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Dataflow-Worker | Mit dieser Rolle kann das Dienstkonto auf die Ressourcen zugreifen, die zum Ausführen von Dataflow-Jobs erforderlich sind. |
| Storage-Objekt-Administrator | Mit dieser Rolle kann das Dienstkonto auf Cloud Storage-Buckets zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn Sie keine Cloud Storage-Datenquelle verwenden. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter. |
Sie müssen dem Dataflow-Worker-Dienstkonto außerdem basierend auf Ihrem Datenquellentyp die folgenden Rollen zuweisen:
| Datenquelle | Rolle | Rolle zuweisen |
|---|---|---|
| BigQuery-Standardtabelle | BigQuery-Dateneditor | Projekt, das die Pipeline ausführt |
| BigQuery-Jobnutzer | Projekt, das die Pipeline ausführt | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| BigQuery-Ansicht einer BigQuery-Standardtabelle | BigQuery-Dateneditor | Projekt, das die Pipeline ausführt |
| BigQuery-Jobnutzer | Projekt, das die Pipeline ausführt | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, das die Pipeline ausführt |
| BigQuery-Jobnutzer | Projekt, das die Pipeline ausführt | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, das die Pipeline ausführt |
| BigQuery-Jobnutzer | Projekt, das die Pipeline ausführt | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| Cloud Storage-Datei | Storage-Objekt-Betrachter | Projekt, zu dem die Datei gehört |
In der folgenden Tabelle werden diese Rollen erläutert:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Dateneditor | Mit den Berechtigungen bigquery.jobs.get und bigquery.jobs.create kann das Dienstkonto BigQuery-Datasets verwenden. bigquery.jobs.create ermöglicht dem Dienstkonto, während der Statistik und der Beispielgenerierung temporäre BigQuery-Datasets zu erstellen. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto, ein BigQuery-Dataset zu verwenden. |
| BigQuery-Datenbetrachter | Diese Rolle gibt dem Dienstkonto Zugriff auf das BigQuery-Dataset. |
| Storage-Objekt-Betrachter | storage.objects.get ermöglicht dem Dienstkonto den Zugriff auf eine Cloud Storage-Datei. |
AI Platform-Dienst-Agent
Sie müssen dem AI Platform-Dienst-Agent im Pipelineprojekt die folgende Rolle zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Dienst-Agent |
Diese Rolle gewährt Berechtigungen für Dienst-Agents. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.
|
Wenn Ihre Datenquelle ein BigQuery-Dataset aus einem anderen Projekt ist, müssen Sie dem AI Platform-Dienst-Agent die folgenden Rollen im Dataset-Projekt zuweisen:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Datenbetrachter | bigquery.tables.get ermöglicht dem Dienstkonto, Informationen zum BigQuery-Dataset abzurufen, bevor ein Dataflow-Job gestartet wird. |
Wenn Ihre Datenquelle eine Cloud Storage-Datei aus einem anderen Projekt ist, müssen Sie dem AI Platform-Dienst-Agent die folgenden Rollen im Dateiprojekt zuweisen:
| Storage-Objekt-Betrachter | storage.objects.list ermöglicht dem Dienstkonto, Informationen zur Cloud Storage-Datei abzurufen, bevor ein Dataflow-Job gestartet wird. |
Dienstkonten für den tabellarische Workflow für Prognosen
Dieser Workflow verwendet folgende Dienstkonten:
| Dienstkonto | Beschreibung | Standard-Hauptkonto | Standardname | Kann überschrieben werden |
|---|---|---|---|---|
| Dienstkonto für Vertex AI Pipelines | Das Dienstkonto, mit dem die Pipeline ausgeführt wird | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| Dienstkonto für Dataflow-Worker | Das Dienstkonto, auf dem die Dataflow-Worker ausgeführt werden | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| AI Platform-Dienst-Agent | Das Dienstkonto, mit dem die Trainingscontainer ausgeführt werden. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Nein |
Einige Dienstkonten können in ein Konto Ihrer Wahl geändert werden. Weitere Informationen finden Sie unter Modell mit dem tabellarischen Workflow für Prognosen trainieren.
Dienstkonto für Vertex AI Pipelines
Sie müssen dem Dienstkonto für Vertex AI Pipelines im Pipeline-Projekt die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Nutzer |
aiplatform.metadataStores.get ermöglicht dem Dienstkonto, einen Pipelinejob zu erstellen. aiplatform.models.upload ermöglicht dem Dienstkonto, das Modell hochzuladen.
|
| BigQuery-Dateneditor | bigquery.tables.create ermöglicht dem Dienstkonto, temporäre Tabellen für Feature Transform Engine zu erstellen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch, wenn Ihre Datenquelle kein BigQuery-Dataset ist. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto, BigQuery-Jobs für Feature Transform Engine auszuführen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch, wenn Ihre Datenquelle kein BigQuery-Dataset ist. |
| Dienstkontonutzer |
iam.serviceAccounts.actAs ermöglicht dem Vertex AI Pipelines-Dienstkonto, während der Bewertung als Dataflow-Worker-Dienstkonto zu fungieren.
|
| Dataflow-Entwickler | Diese Rolle bietet Zugriff auf Ressourcen, die zum Ausführen von Dataflow-Jobs erforderlich sind. |
Außerdem müssen Sie dem Vertex AI Pipelines-Dienstkonto basierend auf Ihrem Datenquellentyp die folgenden Rollen zuweisen:
| Datenquelle | Rolle | Rolle zuweisen | |
|---|---|---|---|
| Cloud Storage-Datei | Storage-Administrator | Projekt, zu dem die Datei gehört | |
| BigQuery-Standardtabelle | Storage-Objekt-Administrator | Projekt, das die Pipeline ausführt | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | ||
| BigQuery-Ansicht einer BigQuery-Standardtabelle | Storage-Objekt-Administrator | Projekt, das die Pipeline ausführt | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | ||
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | ||
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, das die Pipeline ausführt | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | ||
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | ||
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, das die Pipeline ausführt | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | ||
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | ||
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört |
In der folgenden Tabelle werden diese Rollen erläutert:
| BigQuery-Datenbetrachter | bigquery.tables.get gewährt dem Dienstkonto Zugriff auf das Dataset. Das Dienstkonto benötigt diesen Zugriff, bevor der Dataflow-Job im Schritt „Feature Transform Engine“ der Pipeline gestartet wird. |
| Storage-Objekt-Betrachter | storage.objects.get ermöglicht dem Dienstkonto, auf die Cloud Storage-Quelldatei zuzugreifen. |
| Storage-Objekt-Administrator | Mit den Berechtigungen storage.objects.get und storage.objects.create kann das Dienstkonto auf den Bucket für das Stammverzeichnis des Pipelinejobs zugreifen. Das Dienstkonto benötigt diese Berechtigungen im Pipelineprojekt, auch wenn Ihre Datenquelle keine Cloud Storage-Datei ist. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter. |
| Storage-Administrator | Mit Berechtigungen vom Typ storage.buckets.* kann das Dienstkonto den Cloud Storage-Bucket im Schritt „Feature Transform Engine“ der Pipeline validieren. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Administrator. |
Wenn Sie die Modellbewertung durchführen, müssen Sie ein BigQuery-Dataset als Ziel für die vorhergesagten Beispiele bereitstellen. In dem Projekt, das dieses Dataset enthält, müssen Sie dem Vertex AI Pipelines-Dienstkonto die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Datenbetrachter | Mit dieser Rolle kann das Dienstkonto BigQuery-Daten aufrufen. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto das Erstellen von BigQuery-Jobs. |
Dienstkonto für Dataflow-Worker
Sie müssen dem Dienstkonto für den Dataflow-Worker im Pipelineprojekt die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Storage-Objekt-Administrator | Mit dieser Rolle kann das Dienstkonto auf Cloud Storage-Buckets zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn Ihre Datenquelle keine Cloud Storage-Datei ist. |
| BigQuery-Jobnutzer | Mit bigquery.jobs.create kann das Dienstkonto den Feature Transform Engine-Schritt der Pipeline ausführen. Das Dienstkonto benötigt diese Berechtigung auch, wenn Ihre Datenquelle kein BigQuery-Dataset ist. |
| Dataflow-Worker | Das Dienstkonto benötigt alle Berechtigungen, die von dieser Rolle gewährt werden. |
Sie müssen dem Dataflow-Worker-Dienstkonto außerdem basierend auf Ihrem Datenquellentyp die folgenden Rollen zuweisen:
| Datenquelle | Rolle | Rolle zuweisen |
|---|---|---|
| BigQuery-Standardtabelle | BigQuery-Dateneditor | Projekt, das die Pipeline ausführt |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| BigQuery-Ansicht einer BigQuery-Standardtabelle | BigQuery-Dateneditor | Projekt, das die Pipeline ausführt |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, das die Pipeline ausführt |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, das die Pipeline ausführt |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| Cloud Storage-Datei | BigQuery-Datenbetrachter | Projekt, das die Pipeline ausführt |
In der folgenden Tabelle werden diese Rollen erläutert:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Datenbetrachter | bigquery.tables.get bietet Zugriff auf das Dataset im Schritt „Feature Transform Engine“ der Pipeline. Das Dienstkonto benötigt diese Berechtigung auch, wenn Ihre Datenquelle kein BigQuery-Dataset ist. |
| BigQuery-Dateneditor | Mit dieser Rolle kann das Dienstkonto die Tabelle abfragen und temporäre Tabellen während des Schritts „Feature Transform Engine“ der Pipeline erstellen. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| Storage-Objekt-Betrachter | storage.objects.get ermöglicht dem Dienstkonto, auf eine Cloud Storage-Datei zuzugreifen. |
AI Platform-Dienst-Agent
Sie müssen dem AI Platform-Dienst-Agent im Pipelineprojekt die folgende Rolle zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Dienst-Agent |
Diese Rolle gewährt Berechtigungen für Dienst-Agents. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.
|
Wenn Sie die Modellbewertung durchführen, müssen Sie ein BigQuery-Dataset als Ziel für die vorhergesagten Beispiele bereitstellen. In dem Projekt, das dieses Dataset enthält, müssen Sie dem Vertex AI Pipelines-Dienstkonto die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Dateneditor | Mit dieser Rolle kann das Dienstkonto BigQuery-Daten bearbeiten. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto das Erstellen von BigQuery-Jobs. |
Dienstkonten für den tabellarischen Workflow für TabNet und tabellarische Workflows für Wide & Deep sowie Prophet
Diese Workflows verwenden die folgenden Dienstkonten:
| Dienstkonto | Beschreibung | Standard-Hauptkonto | Standardname | Kann überschrieben werden |
|---|---|---|---|---|
| Dienstkonto für Vertex AI Pipelines | Das Dienstkonto, mit dem die Pipeline ausgeführt wird | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| Dienstkonto für Dataflow-Worker | Das Dienstkonto, auf dem die Dataflow-Worker ausgeführt werden | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| AI Platform-Dienst-Agent | Das Dienstkonto, mit dem die Trainingscontainer ausgeführt werden. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Nein |
Einige Dienstkonten können in ein Konto Ihrer Wahl geändert werden. Eine Anleitung zum tabellarischen Workflow für TabNet finden Sie unter Modell mit TabNet trainieren. Eine Anleitung zum tabellarischen Workflow für Wide & Deep finden Sie unter Modell mit Wide & Deep trainieren. Eine Prophet-Anleitung finden Sie unter Prognose mit Prophet.
Dienstkonto für Vertex AI Pipelines
Sie müssen dem Dienstkonto für Vertex AI Pipelines im Pipeline-Projekt die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Nutzer |
aiplatform.metadataStores.get ermöglicht dem Dienstkonto, einen Pipelinejob zu erstellen. aiplatform.models.upload ermöglicht dem Dienstkonto, das Modell hochzuladen.
|
| BigQuery-Dateneditor | bigquery.tables.create ermöglicht dem Dienstkonto, temporäre Tabellen für Feature Transform Engine zu erstellen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch, wenn Ihre Datenquelle kein BigQuery-Dataset ist. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto, BigQuery-Jobs für Feature Transform Engine auszuführen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch, wenn Ihre Datenquelle kein BigQuery-Dataset ist. |
| Dienstkontonutzer |
iam.serviceAccounts.actAs ermöglicht dem Vertex AI Pipelines-Dienstkonto, während der Bewertung als Dataflow-Worker-Dienstkonto zu fungieren.
|
| Dataflow-Entwickler | Diese Rolle bietet Zugriff auf Ressourcen, die zum Ausführen von Dataflow-Jobs erforderlich sind. |
Außerdem müssen Sie dem Vertex AI Pipelines-Dienstkonto basierend auf Ihrem Datenquellentyp die folgenden Rollen zuweisen:
| Datenquelle | Rolle | Rolle zuweisen | |
|---|---|---|---|
| Cloud Storage-Datei | Storage-Administrator | Projekt, zu dem die Datei gehört | |
| BigQuery-Standardtabelle | Storage-Objekt-Administrator | Projekt, das die Pipeline ausführt | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | ||
| BigQuery-Ansicht einer BigQuery-Standardtabelle | Storage-Objekt-Administrator | Projekt, das die Pipeline ausführt | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | ||
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | ||
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, das die Pipeline ausführt | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | ||
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | ||
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, das die Pipeline ausführt | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | ||
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | ||
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört |
In der folgenden Tabelle werden diese Rollen erläutert:
| BigQuery-Datenbetrachter | bigquery.tables.get gewährt dem Dienstkonto Zugriff auf das Dataset. Das Dienstkonto benötigt diesen Zugriff, bevor der Dataflow-Job im Schritt „Feature Transform Engine“ der Pipeline gestartet wird. |
| Storage-Objekt-Betrachter | storage.objects.get ermöglicht dem Dienstkonto, auf die Cloud Storage-Quelldatei zuzugreifen. |
| Storage-Objekt-Administrator | Mit den Berechtigungen storage.objects.get und storage.objects.create kann das Dienstkonto auf den Bucket für das Stammverzeichnis des Pipelinejobs zugreifen. Das Dienstkonto benötigt diese Berechtigungen im Pipelineprojekt, auch wenn Ihre Datenquelle keine Cloud Storage-Datei ist. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter. |
| Storage-Administrator | Mit Berechtigungen vom Typ storage.buckets.* kann das Dienstkonto den Cloud Storage-Bucket im Schritt „Feature Transform Engine“ der Pipeline validieren. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Administrator. |
Dienstkonto für Dataflow-Worker
Sie müssen dem Dienstkonto für den Dataflow-Worker im Pipelineprojekt die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Storage-Objekt-Administrator | Mit dieser Rolle kann das Dienstkonto auf Cloud Storage-Buckets zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn Ihre Datenquelle keine Cloud Storage-Datei ist. |
| BigQuery-Jobnutzer | Mit bigquery.jobs.create kann das Dienstkonto den Feature Transform Engine-Schritt der Pipeline ausführen. Das Dienstkonto benötigt diese Berechtigung auch, wenn Ihre Datenquelle kein BigQuery-Dataset ist. |
| Dataflow-Worker | Das Dienstkonto benötigt alle Berechtigungen, die von dieser Rolle gewährt werden. |
Sie müssen dem Dataflow-Worker-Dienstkonto außerdem basierend auf Ihrem Datenquellentyp die folgenden Rollen zuweisen:
| Datenquelle | Rolle | Rolle zuweisen |
|---|---|---|
| BigQuery-Standardtabelle | BigQuery-Dateneditor | Projekt, das die Pipeline ausführt |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| BigQuery-Ansicht einer BigQuery-Standardtabelle | BigQuery-Dateneditor | Projekt, das die Pipeline ausführt |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, das die Pipeline ausführt |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, das die Pipeline ausführt |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| Cloud Storage-Datei | BigQuery-Datenbetrachter | Projekt, das die Pipeline ausführt |
In der folgenden Tabelle werden diese Rollen erläutert:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Datenbetrachter | bigquery.tables.get bietet Zugriff auf das Dataset im Schritt „Feature Transform Engine“ der Pipeline. Das Dienstkonto benötigt diese Berechtigung auch, wenn Ihre Datenquelle kein BigQuery-Dataset ist. |
| BigQuery-Dateneditor | Mit dieser Rolle kann das Dienstkonto die Tabelle abfragen und temporäre Tabellen während des Schritts „Feature Transform Engine“ der Pipeline erstellen. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| Storage-Objekt-Betrachter | storage.objects.get ermöglicht dem Dienstkonto, auf eine Cloud Storage-Datei zuzugreifen. |
AI Platform-Dienst-Agent
Sie müssen dem AI Platform-Dienst-Agent im Pipelineprojekt die folgende Rolle zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Dienst-Agent |
Diese Rolle gewährt Berechtigungen für Dienst-Agents. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.
|
Dienstkonten für ARIMA+
Dieser Workflow verwendet folgende Dienstkonten:
| Dienstkonto | Beschreibung | Standard-Hauptkonto | Standardname | Kann überschrieben werden |
|---|---|---|---|---|
| Dienstkonto für Vertex AI Pipelines | Das Dienstkonto, mit dem die Pipeline ausgeführt wird | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| AI Platform-Dienst-Agent | Das Dienstkonto, mit dem die Trainingscontainer ausgeführt werden. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Nein |
Das Vertex AI Pipelines-Dienstkonto kann in ein Konto Ihrer Wahl geändert werden. Weitere Informationen finden Sie unter Prognosen mit ARIMA+.
Dienstkonto für Vertex AI Pipelines
Sie müssen dem Dienstkonto für Vertex AI Pipelines im Pipeline-Projekt die folgenden Rollen zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Nutzer |
aiplatform.metadataStores.get ermöglicht dem Dienstkonto, einen Pipelinejob zu erstellen. aiplatform.models.upload ermöglicht dem Dienstkonto, das Modell hochzuladen.
|
| BigQuery-Dateneditor | bigquery.tables.create ermöglicht dem Dienstkonto, temporäre Tabellen für Feature Transform Engine zu erstellen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch, wenn Ihre Datenquelle kein BigQuery-Dataset ist. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto, BigQuery-Jobs für Feature Transform Engine auszuführen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch, wenn Ihre Datenquelle kein BigQuery-Dataset ist. |
| Dienstkontonutzer |
iam.serviceAccounts.actAs ermöglicht dem Vertex AI Pipelines-Dienstkonto, während der Bewertung als Dataflow-Worker-Dienstkonto zu fungieren.
|
| Dataflow-Entwickler | Diese Rolle bietet Zugriff auf Ressourcen, die zum Ausführen von Dataflow-Jobs erforderlich sind. |
Außerdem müssen Sie dem Vertex AI Pipelines-Dienstkonto basierend auf Ihrem Datenquellentyp die folgenden Rollen zuweisen:
| Datenquelle | Rolle | Rolle zuweisen | |
|---|---|---|---|
| Cloud Storage-Datei | Storage-Administrator | Projekt, zu dem die Datei gehört | |
| BigQuery-Standardtabelle | Storage-Objekt-Administrator | Projekt, das die Pipeline ausführt | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | ||
| BigQuery-Ansicht einer BigQuery-Standardtabelle | Storage-Objekt-Administrator | Projekt, das die Pipeline ausführt | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | ||
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | ||
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, das die Pipeline ausführt | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | ||
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | ||
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, das die Pipeline ausführt | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | ||
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | ||
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört |
In der folgenden Tabelle werden diese Rollen erläutert:
| BigQuery-Datenbetrachter | bigquery.tables.get gewährt dem Dienstkonto Zugriff auf das Dataset. Das Dienstkonto benötigt diesen Zugriff, bevor der Dataflow-Job im Schritt „Feature Transform Engine“ der Pipeline gestartet wird. |
| Storage-Objekt-Betrachter | storage.objects.get ermöglicht dem Dienstkonto, auf die Cloud Storage-Quelldatei zuzugreifen. |
| Storage-Objekt-Administrator | Mit den Berechtigungen storage.objects.get und storage.objects.create kann das Dienstkonto auf den Bucket für das Stammverzeichnis des Pipelinejobs zugreifen. Das Dienstkonto benötigt diese Berechtigungen im Pipelineprojekt, auch wenn Ihre Datenquelle keine Cloud Storage-Datei ist. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter. |
| Storage-Administrator | Mit Berechtigungen vom Typ storage.buckets.* kann das Dienstkonto den Cloud Storage-Bucket im Schritt „Feature Transform Engine“ der Pipeline validieren. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Administrator. |
AI Platform-Dienst-Agent
Sie müssen dem AI Platform-Dienst-Agent im Pipelineprojekt die folgende Rolle zuweisen:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Dienst-Agent |
Diese Rolle gewährt Berechtigungen für Dienst-Agents. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.
|