En esta página, se explican las cuentas de servicio para los siguientes flujos de trabajo tabulares:
- Flujo de trabajo tabular para AutoML de extremo a extremo
- Flujo de trabajo tabular para la previsión
- Flujo de trabajo tabular para TabNet
- Flujo de trabajo tabular para el modelo amplio y profundo
- Prophet
- ARIMA+
Cuentas de servicio para el flujo de trabajo tabular para AutoML de extremo a extremo
En este flujo de trabajo, se usan las siguientes cuentas de servicio:
| Cuenta de servicio | Descripción | Principal predeterminada | Nombre predeterminado | Se puede anular |
|---|---|---|---|---|
| Cuenta de servicio para Vertex AI Pipelines | La cuenta de servicio que ejecuta la canalización | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Cuenta de servicio para el trabajador de Dataflow | La cuenta de servicio que ejecuta los trabajadores de Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Agente de servicio de AI Platform | La cuenta de servicio que ejecuta los contenedores de entrenamiento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
No |
Algunas de las cuentas de servicio se pueden cambiar a una cuenta de tu elección. Consulta Entrena un modelo con AutoML de extremo a extremo para obtener instrucciones específicas de la consola de Google Cloud o la API.
Cuenta de servicio para Vertex AI Pipelines
Debes otorgar los siguientes roles a la cuenta de servicio de Vertex AI Pipelines en el proyecto de canalización:
| Rol | Permisos |
|---|---|
| Usuario de Vertex AI |
aiplatform.metadataStores.get permite que la cuenta de servicio cree un trabajo de canalización. aiplatform.models.upload permite que la cuenta de servicio suba el modelo.
|
| Administrador de objetos de almacenamiento | Los permisos storage.objects.get y storage.objects.create del administrador de objetos de almacenamiento permiten que la cuenta de servicio acceda al bucket para el directorio raíz del trabajo de canalización. La cuenta de servicio necesita estos permisos incluso si no usas una fuente de datos de Cloud Storage. |
| Desarrollador de Dataflow | dataflow.jobs.create permite que la cuenta de servicio cree trabajos de Dataflow durante la evaluación. |
| Service Account User |
iam.serviceAccounts.actAs permite que la cuenta de servicio de Vertex AI Pipelines actúe como la cuenta de servicio de trabajador de Dataflow durante la evaluación.
|
Cuenta de servicio para el trabajador de Dataflow
Debes otorgar los siguientes roles a la cuenta de servicio del trabajador de Dataflow en el proyecto de canalización:
| Rol | Permisos |
|---|---|
| Trabajador de Dataflow | Este rol permite que la cuenta de servicio acceda a los recursos necesarios para ejecutar trabajos de Dataflow. |
| Administrador de objetos de almacenamiento | Este rol permite que la cuenta de servicio acceda a los buckets de Cloud Storage. La cuenta de servicio necesita estos permisos incluso si no usas una fuente de datos de Cloud Storage. Este rol incluye todos los permisos otorgados por el rol Visualizador de objetos de almacenamiento. |
Además, debes otorgar los siguientes roles a la cuenta de servicio de trabajador de Dataflow según el tipo de fuente de datos:
| Fuente de datos | Rol | Dónde otorgar el rol |
|---|---|---|
| Tabla de BigQuery estándar | Editor de datos de BigQuery | Proyecto que ejecuta la canalización |
| Usuario de trabajo de BigQuery | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla | |
| Vista de BigQuery de una tabla de BigQuery estándar | Editor de datos de BigQuery | Proyecto que ejecuta la canalización |
| Usuario de trabajo de BigQuery | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla | |
| Tabla externa de BigQuery que tiene un archivo de Cloud Storage de origen | Editor de datos de BigQuery | Proyecto que ejecuta la canalización |
| Usuario de trabajo de BigQuery | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Visualizador de objetos de almacenamiento | Proyecto al que pertenece el archivo de origen | |
| Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo de origen de Cloud Storage | Editor de datos de BigQuery | Proyecto que ejecuta la canalización |
| Usuario de trabajo de BigQuery | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Visualizador de objetos de almacenamiento | Proyecto al que pertenece el archivo de origen | |
| Archivo de Cloud Storage | Visualizador de objetos de almacenamiento | Proyecto al que pertenece el archivo |
En la siguiente tabla, se proporciona una explicación de estos roles:
| Rol | Permisos |
|---|---|
| Editor de datos de BigQuery | Los permisos bigquery.jobs.get y bigquery.jobs.create permiten que la cuenta de servicio use los conjuntos de datos de BigQuery. bigquery.jobs.create permite que la cuenta de servicio cree conjuntos de datos temporales de BigQuery durante la generación de ejemplos y estadísticas. Este rol incluye todos los permisos otorgados por el rol Visualizador de datos de BigQuery. |
| Usuario de trabajo de BigQuery | bigquery.jobs.create permite que la cuenta de servicio use un conjunto de datos de BigQuery. |
| Lector de datos de BigQuery | Este rol proporciona a la cuenta de servicio acceso al conjunto de datos de BigQuery. |
| Visualizador de objetos de almacenamiento | storage.objects.get permite que la cuenta de servicio acceda a un archivo de Cloud Storage. |
Agente de servicio de AI Platform
Debes asegurarte de que se otorgue el siguiente rol al agente de servicio de AI Platform en el proyecto de canalización:
| Rol | Permisos |
|---|---|
| Agente de servicio de Vertex AI |
Este rol otorga permisos a los agentes de servicio. Estos permisos incluyen el permiso storage.object.get y los derechos de acceso a las imágenes de contenedor en el repositorio de Artifact Registry.
|
Si tu fuente de datos es un conjunto de datos de BigQuery de otro proyecto, debes otorgar los siguientes roles al agente de servicio de AI Platform en el proyecto de conjunto de datos:
| Rol | Permisos |
|---|---|
| Lector de datos de BigQuery | bigquery.tables.get permite que la cuenta de servicio obtenga información sobre el conjunto de datos de BigQuery antes de iniciar un trabajo de Dataflow. |
Si la fuente de datos es un archivo de Cloud Storage de otro proyecto, debes otorgar los siguientes roles al agente de servicio de AI Platform en el proyecto de archivo:
| Visualizador de objetos de almacenamiento | storage.objects.list permite que la cuenta de servicio obtenga información sobre el archivo de Cloud Storage antes de iniciar un trabajo de Dataflow. |
Cuentas de servicio para el flujo de trabajo tabular para la previsión
En este flujo de trabajo, se usan las siguientes cuentas de servicio:
| Cuenta de servicio | Descripción | Principal predeterminada | Nombre predeterminado | Se puede anular |
|---|---|---|---|---|
| Cuenta de servicio para Vertex AI Pipelines | La cuenta de servicio que ejecuta la canalización | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Cuenta de servicio para el trabajador de Dataflow | La cuenta de servicio que ejecuta los trabajadores de Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Agente de servicio de AI Platform | La cuenta de servicio que ejecuta los contenedores de entrenamiento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
No |
Algunas de las cuentas de servicio se pueden cambiar a una cuenta de tu elección. Si deseas obtener más información, consulta Entrena un modelo con el flujo de trabajo tabular para la previsión.
Cuenta de servicio para Vertex AI Pipelines
Debes otorgar los siguientes roles a la cuenta de servicio de Vertex AI Pipelines en el proyecto de canalización:
| Rol | Permisos |
|---|---|
| Usuario de Vertex AI |
aiplatform.metadataStores.get permite que la cuenta de servicio cree un trabajo de canalización. aiplatform.models.upload permite que la cuenta de servicio suba el modelo.
|
| Editor de datos de BigQuery | bigquery.tables.create permite que la cuenta de servicio cree tablas temporales para Feature Transform Engine antes de iniciar un trabajo de Dataflow. La cuenta de servicio necesita este permiso incluso si tu fuente de datos no es un conjunto de datos de BigQuery. Este rol incluye todos los permisos otorgados por el rol Visualizador de datos de BigQuery. |
| Usuario de trabajo de BigQuery | bigquery.jobs.create permite que la cuenta de servicio ejecute trabajos de BigQuery para Feature Transform Engine antes de iniciar un trabajo de Dataflow. La cuenta de servicio necesita este permiso incluso si tu fuente de datos no es un conjunto de datos de BigQuery. |
| Service Account User |
iam.serviceAccounts.actAs permite que la cuenta de servicio de Vertex AI Pipelines actúe como la cuenta de servicio de trabajador de Dataflow durante la evaluación.
|
| Desarrollador de Dataflow | Este rol proporciona acceso a los recursos necesarios para ejecutar trabajos de Dataflow. |
Además, debes otorgar los siguientes roles a la cuenta de servicio de Vertex AI Pipelines según el tipo de fuente de datos:
| Fuente de datos | Rol | Dónde otorgar el rol | |
|---|---|---|---|
| Archivo de Cloud Storage | Administrador de almacenamiento | Proyecto al que pertenece el archivo | |
| Tabla de BigQuery estándar | Administrador de objetos de almacenamiento | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla | ||
| Vista de BigQuery de una tabla de BigQuery estándar |