En esta página, se explican las cuentas de servicio para los siguientes flujos de trabajo tabulares:
- Flujo de trabajo tabular para AutoML de extremo a extremo
- Flujo de trabajo tabular para la previsión
- Flujo de trabajo tabular para TabNet
- Flujo de trabajo tabular para el modelo amplio y profundo
- Prophet
- ARIMA+
Cuentas de servicio para el flujo de trabajo tabular para AutoML de extremo a extremo
En este flujo de trabajo, se usan las siguientes cuentas de servicio:
| Cuenta de servicio | Descripción | Principal predeterminada | Nombre predeterminado | Se puede anular |
|---|---|---|---|---|
| Cuenta de servicio para Vertex AI Pipelines | La cuenta de servicio que ejecuta la canalización | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Cuenta de servicio para el trabajador de Dataflow | La cuenta de servicio que ejecuta los trabajadores de Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Agente de servicio de AI Platform | La cuenta de servicio que ejecuta los contenedores de entrenamiento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
No |
Algunas de las cuentas de servicio se pueden cambiar a una cuenta de tu elección. Consulta Entrena un modelo con AutoML de extremo a extremo para obtener instrucciones específicas de la consola de Google Cloud o la API.
Cuenta de servicio para Vertex AI Pipelines
Debes otorgar los siguientes roles a la cuenta de servicio para Vertex AI Pipelines en el proyecto de canalización:
| Rol | Permisos |
|---|---|
| Usuario de Vertex AI |
aiplatform.metadataStores.get permite que la cuenta de servicio cree un trabajo de canalización. aiplatform.models.upload permite que la cuenta de servicio suba el modelo.
|
| Administrador de objetos de almacenamiento | Los permisos storage.objects.get y storage.objects.create del administrador de objetos de almacenamiento permiten que la cuenta de servicio acceda al bucket para el directorio raíz del trabajo de canalización. La cuenta de servicio necesita estos permisos incluso si no usas una fuente de datos de Cloud Storage. |
| Desarrollador de Dataflow | dataflow.jobs.create permite que la cuenta de servicio cree trabajos de Dataflow durante la evaluación. |
| Service Account User |
iam.serviceAccounts.actAs permite que la cuenta de servicio de Vertex AI Pipelines actúe como la cuenta de servicio de trabajador de Dataflow durante la evaluación.
|
Cuenta de servicio para el trabajador de Dataflow
Debes otorgar los siguientes roles a la cuenta de servicio del trabajador de Dataflow en el proyecto de canalización:
| Rol | Permisos |
|---|---|
| Trabajador de Dataflow | Este rol permite que la cuenta de servicio acceda a los recursos necesarios para ejecutar trabajos de Dataflow. |
| Administrador de objetos de almacenamiento | Este rol permite que la cuenta de servicio acceda a los buckets de Cloud Storage. La cuenta de servicio necesita estos permisos incluso si no usas una fuente de datos de Cloud Storage. Este rol incluye todos los permisos otorgados por el rol Visualizador de objetos de almacenamiento. |
Además, debes otorgar los siguientes roles a la cuenta de servicio de trabajador de Dataflow según el tipo de fuente de datos:
| Fuente de datos | Rol | Dónde otorgar el rol |
|---|---|---|
| Tabla estándar de BigQuery | Editor de datos de BigQuery | Proyecto que ejecuta la canalización |
| Usuario de trabajo de BigQuery | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla | |
| Vista de BigQuery de una tabla estándar de BigQuery | Editor de datos de BigQuery | Proyecto que ejecuta la canalización |
| Usuario de trabajo de BigQuery | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla | |
| Tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage | Editor de datos de BigQuery | Proyecto que ejecuta la canalización |
| Usuario de trabajo de BigQuery | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Visualizador de objetos de almacenamiento | Proyecto al que pertenece el archivo fuente | |
| Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage | Editor de datos de BigQuery | Proyecto que ejecuta la canalización |
| Usuario de trabajo de BigQuery | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Visualizador de objetos de almacenamiento | Proyecto al que pertenece el archivo fuente | |
| Archivo de Cloud Storage | Visualizador de objetos de almacenamiento | Proyecto al que pertenece el archivo |
En la siguiente tabla, se proporciona una explicación de estos roles:
| Rol | Permisos |
|---|---|
| Editor de datos de BigQuery | Los permisos bigquery.jobs.get y bigquery.jobs.create permiten que la cuenta de servicio use los conjuntos de datos de BigQuery. bigquery.jobs.create permite que la cuenta de servicio cree conjuntos de datos temporales de BigQuery durante la generación de ejemplos y estadísticas. Este rol incluye todos los permisos otorgados por el rol Visualizador de datos de BigQuery. |
| Usuario de trabajo de BigQuery | bigquery.jobs.create permite que la cuenta de servicio use un conjunto de datos de BigQuery. |
| Lector de datos de BigQuery | Este rol proporciona a la cuenta de servicio acceso al conjunto de datos de BigQuery. |
| Visualizador de objetos de almacenamiento | storage.objects.get permite que la cuenta de servicio acceda a un archivo de Cloud Storage. |
Agente de servicio de AI Platform
Debes asegurarte de que se otorgue el siguiente rol al agente de servicio de AI Platform en el proyecto de canalización:
| Rol | Permisos |
|---|---|
| Agente de servicio de Vertex AI |
Este rol otorga permisos a los agentes de servicio. Estos permisos incluyen el permiso storage.object.get y los derechos de acceso a las imágenes de contenedor en el repositorio de Artifact Registry.
|
Si tu fuente de datos es un conjunto de datos de BigQuery de otro proyecto, debes otorgar los siguientes roles al agente de servicio de AI Platform en el proyecto de conjunto de datos:
| Rol | Permisos |
|---|---|
| Lector de datos de BigQuery | bigquery.tables.get permite que la cuenta de servicio obtenga información sobre el conjunto de datos de BigQuery antes de iniciar un trabajo de Dataflow. |
Si la fuente de datos es un archivo de Cloud Storage de otro proyecto, debes otorgar los siguientes roles al agente de servicio de AI Platform en el proyecto de archivo:
| Visualizador de objetos de almacenamiento | storage.objects.list permite que la cuenta de servicio obtenga información sobre el archivo de Cloud Storage antes de iniciar un trabajo de Dataflow. |
Cuentas de servicio para el flujo de trabajo tabular para previsión
En este flujo de trabajo, se usan las siguientes cuentas de servicio:
| Cuenta de servicio | Descripción | Principal predeterminada | Nombre predeterminado | Se puede anular |
|---|---|---|---|---|
| Cuenta de servicio para Vertex AI Pipelines | La cuenta de servicio que ejecuta la canalización | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Cuenta de servicio para el trabajador de Dataflow | La cuenta de servicio que ejecuta los trabajadores de Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Agente de servicio de AI Platform | La cuenta de servicio que ejecuta los contenedores de entrenamiento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
No |
Algunas de las cuentas de servicio se pueden cambiar a una cuenta de tu elección. Si deseas obtener más información, consulta Entrena un modelo con el flujo de trabajo tabular para previsión.
Cuenta de servicio para Vertex AI Pipelines
Debes otorgar los siguientes roles a la cuenta de servicio para Vertex AI Pipelines en el proyecto de canalización:
| Rol | Permisos |
|---|---|
| Usuario de Vertex AI |
aiplatform.metadataStores.get permite que la cuenta de servicio cree un trabajo de canalización. aiplatform.models.upload permite que la cuenta de servicio suba el modelo.
|
| Editor de datos de BigQuery | bigquery.tables.create permite que la cuenta de servicio cree tablas temporales para Feature Transform Engine antes de iniciar un trabajo de Dataflow. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery. Este rol incluye todos los permisos otorgados por el rol Visualizador de datos de BigQuery. |
| Usuario de trabajo de BigQuery | bigquery.jobs.create permite que la cuenta de servicio ejecute trabajos de BigQuery para Feature Transform Engine antes de iniciar un trabajo de Dataflow. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery. |
| Service Account User |
iam.serviceAccounts.actAs permite que la cuenta de servicio de Vertex AI Pipelines actúe como la cuenta de servicio de trabajador de Dataflow durante la evaluación.
|
| Desarrollador de Dataflow | Este rol proporciona acceso a los recursos necesarios para ejecutar trabajos de Dataflow. |
Además, debes otorgar los siguientes roles a la cuenta de servicio de Vertex AI Pipelines según el tipo de fuente de datos:
| Fuente de datos | Rol | Dónde otorgar el rol | |
|---|---|---|---|
| Archivo de Cloud Storage | Administrador de almacenamiento | Proyecto al que pertenece el archivo | |
| Tabla estándar de BigQuery | Administrador de objetos de almacenamiento | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla | ||
| Vista de BigQuery de una tabla estándar de BigQuery | Administrador de objetos de almacenamiento | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | ||
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla | ||
| Tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage | Administrador de objetos de almacenamiento | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | ||
| Visualizador de objetos de almacenamiento | Proyecto al que pertenece el archivo fuente | ||
| Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage | Administrador de objetos de almacenamiento | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | ||
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | ||
| Visualizador de objetos de almacenamiento | Proyecto al que pertenece el archivo fuente |
En la siguiente tabla, se proporciona una explicación de estos roles:
| Lector de datos de BigQuery | bigquery.tables.get proporciona a la cuenta de servicio acceso al conjunto de datos. La cuenta de servicio necesita este acceso antes del lanzamiento del trabajo de Dataflow en el paso de Feature Transform Engine de la canalización. |
| Visualizador de objetos de almacenamiento | storage.objects.get permite que la cuenta de servicio acceda al archivo de origen de Cloud Storage. |
| Administrador de objetos de almacenamiento | Los permisos storage.objects.get y storage.objects.create permiten que la cuenta de servicio acceda al bucket para el directorio raíz del trabajo de canalización. La cuenta de servicio necesita estos permisos en el proyecto de canalización, incluso si tu fuente de datos no es un archivo de Cloud Storage. Este rol incluye todos los permisos otorgados por el rol Visualizador de objetos de almacenamiento. |
| Administrador de almacenamiento | Los permisos storage.buckets.* permiten que la cuenta de servicio valide el bucket de Cloud Storage en el paso de Feature Transform Engine de la canalización. Este rol incluye todos los permisos otorgados por el rol Administrador de objetos de almacenamiento. |
Si realizas una evaluación de modelos, debes proporcionar un conjunto de datos de BigQuery que funcione como destino para los ejemplos previstos. En el proyecto que contiene este conjunto de datos, debes otorgar los siguientes roles a la cuenta de servicio de Vertex AI Pipelines:
| Rol | Permisos |
|---|---|
| Lector de datos de BigQuery | Este rol permite que la cuenta de servicio vea los datos de BigQuery. |
| Usuario de trabajo de BigQuery | bigquery.jobs.create permite que la cuenta de servicio cree trabajos de BigQuery. |
Cuenta de servicio para el trabajador de Dataflow
Debes otorgar los siguientes roles a la cuenta de servicio del trabajador de Dataflow en el proyecto de canalización:
| Rol | Permisos |
|---|---|
| Administrador de objetos de almacenamiento | Este rol permite que la cuenta de servicio acceda a los buckets de Cloud Storage. La cuenta de servicio necesita estos permisos incluso si la fuente de datos no es un archivo de Cloud Storage. |
| Usuario de trabajo de BigQuery | bigquery.jobs.create permite que la cuenta de servicio realice el paso de Feature Transform Engine de la canalización. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery. |
| Trabajador de Dataflow | La cuenta de servicio necesita todos los permisos que otorga este rol. |
Además, debes otorgar los siguientes roles a la cuenta de servicio de trabajador de Dataflow según el tipo de fuente de datos:
| Fuente de datos | Rol | Dónde otorgar el rol |
|---|---|---|
| Tabla estándar de BigQuery | Editor de datos de BigQuery | Proyecto que ejecuta la canalización |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla | |
| Vista de BigQuery de una tabla estándar de BigQuery | Editor de datos de BigQuery | Proyecto que ejecuta la canalización |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla | |
| Tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage | Editor de datos de BigQuery | Proyecto que ejecuta la canalización |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Visualizador de objetos de almacenamiento | Proyecto al que pertenece el archivo fuente | |
| Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage | Editor de datos de BigQuery | Proyecto que ejecuta la canalización |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Visualizador de objetos de almacenamiento | Proyecto al que pertenece el archivo fuente | |
| Archivo de Cloud Storage | Lector de datos de BigQuery | Proyecto que ejecuta la canalización |
En la siguiente tabla, se proporciona una explicación de estos roles:
| Rol | Permisos |
|---|---|
| Lector de datos de BigQuery | bigquery.tables.get proporciona acceso al conjunto de datos en el paso de Feature Transform Engine de la canalización. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery. |
| Editor de datos de BigQuery | Este rol permite que la cuenta de servicio consulte la tabla y cree tablas temporales durante el paso de Feature Transform Engine de la canalización. Este rol incluye todos los permisos otorgados por el rol Visualizador de datos de BigQuery. |
| Visualizador de objetos de almacenamiento | storage.objects.get permite que la cuenta de servicio acceda a un archivo de Cloud Storage. |
Agente de servicio de AI Platform
Debes asegurarte de que se otorgue el siguiente rol al agente de servicio de AI Platform en el proyecto de canalización:
| Rol | Permisos |
|---|---|
| Agente de servicio de Vertex AI |
Este rol otorga permisos a los agentes de servicio. Estos permisos incluyen el permiso storage.object.get y los derechos de acceso a las imágenes de contenedor en el repositorio de Artifact Registry.
|
Si realizas una evaluación de modelos, debes proporcionar un conjunto de datos de BigQuery que funcione como destino para los ejemplos previstos. En el proyecto que contiene este conjunto de datos, debes otorgar los siguientes roles a la cuenta de servicio de Vertex AI Pipelines:
| Rol | Permisos |
|---|---|
| Editor de datos de BigQuery | Esta función permite que la cuenta de servicio edite los datos de BigQuery. |
| Usuario de trabajo de BigQuery | bigquery.jobs.create permite que la cuenta de servicio cree trabajos de BigQuery. |
Cuentas de servicio para el flujo de trabajo tabular para TabNet y el flujo de trabajo tabular para el algoritmo de amplitud y profundidad, y Prophet
Estos flujos de trabajo usan las siguientes cuentas de servicio:
| Cuenta de servicio | Descripción | Principal predeterminada | Nombre predeterminado | Se puede anular |
|---|---|---|---|---|
| Cuenta de servicio para Vertex AI Pipelines | La cuenta de servicio que ejecuta la canalización | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Cuenta de servicio para el trabajador de Dataflow | La cuenta de servicio que ejecuta los trabajadores de Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Agente de servicio de AI Platform | La cuenta de servicio que ejecuta los contenedores de entrenamiento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
No |
Algunas de las cuentas de servicio se pueden cambiar a una cuenta de tu elección. Para obtener información sobre el flujo de trabajo tabular para instrucciones de TabNet, consulta Entrena un modelo con TabNet. En el caso de un flujo de trabajo tabular para obtener instrucciones amplias y profundas, consulta Entrena un modelo con algoritmo de amplitud y profundidad. Para obtener instrucciones de Prophet, consulta Previsión con Prophet.
Cuenta de servicio para Vertex AI Pipelines
Debes otorgar los siguientes roles a la cuenta de servicio para Vertex AI Pipelines en el proyecto de canalización:
| Rol | Permisos |
|---|---|
| Usuario de Vertex AI |
aiplatform.metadataStores.get permite que la cuenta de servicio cree un trabajo de canalización. aiplatform.models.upload permite que la cuenta de servicio suba el modelo.
|
| Editor de datos de BigQuery | bigquery.tables.create permite que la cuenta de servicio cree tablas temporales para Feature Transform Engine antes de iniciar un trabajo de Dataflow. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery. Este rol incluye todos los permisos otorgados por el rol Visualizador de datos de BigQuery. |
| Usuario de trabajo de BigQuery | bigquery.jobs.create permite que la cuenta de servicio ejecute trabajos de BigQuery para Feature Transform Engine antes de iniciar un trabajo de Dataflow. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery. |
| Service Account User |
iam.serviceAccounts.actAs permite que la cuenta de servicio de Vertex AI Pipelines actúe como la cuenta de servicio de trabajador de Dataflow durante la evaluación.
|
| Desarrollador de Dataflow | Este rol proporciona acceso a los recursos necesarios para ejecutar trabajos de Dataflow. |
Además, debes otorgar los siguientes roles a la cuenta de servicio de Vertex AI Pipelines según el tipo de fuente de datos:
| Fuente de datos | Rol | Dónde otorgar el rol | |
|---|---|---|---|
| Archivo de Cloud Storage | Administrador de almacenamiento | Proyecto al que pertenece el archivo | |
| Tabla estándar de BigQuery | Administrador de objetos de almacenamiento | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla | ||
| Vista de BigQuery de una tabla estándar de BigQuery | Administrador de objetos de almacenamiento | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | ||
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla | ||
| Tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage | Administrador de objetos de almacenamiento | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | ||
| Visualizador de objetos de almacenamiento | Proyecto al que pertenece el archivo fuente | ||
| Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage | Administrador de objetos de almacenamiento | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | ||
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | ||
| Visualizador de objetos de almacenamiento | Proyecto al que pertenece el archivo fuente |
En la siguiente tabla, se proporciona una explicación de estos roles:
| Lector de datos de BigQuery | bigquery.tables.get proporciona a la cuenta de servicio acceso al conjunto de datos. La cuenta de servicio necesita este acceso antes del lanzamiento del trabajo de Dataflow en el paso de Feature Transform Engine de la canalización. |
| Visualizador de objetos de almacenamiento | storage.objects.get permite que la cuenta de servicio acceda al archivo de origen de Cloud Storage. |
| Administrador de objetos de almacenamiento | Los permisos storage.objects.get y storage.objects.create permiten que la cuenta de servicio acceda al bucket para el directorio raíz del trabajo de canalización. La cuenta de servicio necesita estos permisos en el proyecto de canalización, incluso si tu fuente de datos no es un archivo de Cloud Storage. Este rol incluye todos los permisos otorgados por el rol Visualizador de objetos de almacenamiento. |
| Administrador de almacenamiento | Los permisos storage.buckets.* permiten que la cuenta de servicio valide el bucket de Cloud Storage en el paso de Feature Transform Engine de la canalización. Este rol incluye todos los permisos otorgados por el rol Administrador de objetos de almacenamiento. |
Cuenta de servicio para el trabajador de Dataflow
Debes otorgar los siguientes roles a la cuenta de servicio del trabajador de Dataflow en el proyecto de canalización:
| Rol | Permisos |
|---|---|
| Administrador de objetos de almacenamiento | Este rol permite que la cuenta de servicio acceda a los buckets de Cloud Storage. La cuenta de servicio necesita estos permisos incluso si la fuente de datos no es un archivo de Cloud Storage. |
| Usuario de trabajo de BigQuery | bigquery.jobs.create permite que la cuenta de servicio realice el paso de Feature Transform Engine de la canalización. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery. |
| Trabajador de Dataflow | La cuenta de servicio necesita todos los permisos que otorga este rol. |
Además, debes otorgar los siguientes roles a la cuenta de servicio de trabajador de Dataflow según el tipo de fuente de datos:
| Fuente de datos | Rol | Dónde otorgar el rol |
|---|---|---|
| Tabla estándar de BigQuery | Editor de datos de BigQuery | Proyecto que ejecuta la canalización |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla | |
| Vista de BigQuery de una tabla estándar de BigQuery | Editor de datos de BigQuery | Proyecto que ejecuta la canalización |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla | |
| Tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage | Editor de datos de BigQuery | Proyecto que ejecuta la canalización |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Visualizador de objetos de almacenamiento | Proyecto al que pertenece el archivo fuente | |
| Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage | Editor de datos de BigQuery | Proyecto que ejecuta la canalización |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Visualizador de objetos de almacenamiento | Proyecto al que pertenece el archivo fuente | |
| Archivo de Cloud Storage | Lector de datos de BigQuery | Proyecto que ejecuta la canalización |
En la siguiente tabla, se proporciona una explicación de estos roles:
| Rol | Permisos |
|---|---|
| Lector de datos de BigQuery | bigquery.tables.get proporciona acceso al conjunto de datos en el paso de Feature Transform Engine de la canalización. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery. |
| Editor de datos de BigQuery | Este rol permite que la cuenta de servicio consulte la tabla y cree tablas temporales durante el paso de Feature Transform Engine de la canalización. Este rol incluye todos los permisos otorgados por el rol Visualizador de datos de BigQuery. |
| Visualizador de objetos de almacenamiento | storage.objects.get permite que la cuenta de servicio acceda a un archivo de Cloud Storage. |
Agente de servicio de AI Platform
Debes asegurarte de que se otorgue el siguiente rol al agente de servicio de AI Platform en el proyecto de canalización:
| Rol | Permisos |
|---|---|
| Agente de servicio de Vertex AI |
Este rol otorga permisos a los agentes de servicio. Estos permisos incluyen el permiso storage.object.get y los derechos de acceso a las imágenes de contenedor en el repositorio de Artifact Registry.
|
Cuentas de servicio para ARIMA+
En este flujo de trabajo, se usan las siguientes cuentas de servicio:
| Cuenta de servicio | Descripción | Principal predeterminada | Nombre predeterminado | Se puede anular |
|---|---|---|---|---|
| Cuenta de servicio para Vertex AI Pipelines | La cuenta de servicio que ejecuta la canalización | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Agente de servicio de AI Platform | La cuenta de servicio que ejecuta los contenedores de entrenamiento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
No |
La cuenta de servicio de Vertex AI Pipelines se puede cambiar a una cuenta de tu elección. Consulta Previsión con ARIMA+ para obtener más información.
Cuenta de servicio para Vertex AI Pipelines
Debes otorgar los siguientes roles a la cuenta de servicio para Vertex AI Pipelines en el proyecto de canalización:
| Rol | Permisos |
|---|---|
| Usuario de Vertex AI |
aiplatform.metadataStores.get permite que la cuenta de servicio cree un trabajo de canalización. aiplatform.models.upload permite que la cuenta de servicio suba el modelo.
|
| Editor de datos de BigQuery | bigquery.tables.create permite que la cuenta de servicio cree tablas temporales para Feature Transform Engine antes de iniciar un trabajo de Dataflow. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery. Este rol incluye todos los permisos otorgados por el rol Visualizador de datos de BigQuery. |
| Usuario de trabajo de BigQuery | bigquery.jobs.create permite que la cuenta de servicio ejecute trabajos de BigQuery para Feature Transform Engine antes de iniciar un trabajo de Dataflow. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery. |
| Service Account User |
iam.serviceAccounts.actAs permite que la cuenta de servicio de Vertex AI Pipelines actúe como la cuenta de servicio de trabajador de Dataflow durante la evaluación.
|
| Desarrollador de Dataflow | Este rol proporciona acceso a los recursos necesarios para ejecutar trabajos de Dataflow. |
Además, debes otorgar los siguientes roles a la cuenta de servicio de Vertex AI Pipelines según el tipo de fuente de datos:
| Fuente de datos | Rol | Dónde otorgar el rol | |
|---|---|---|---|
| Archivo de Cloud Storage | Administrador de almacenamiento | Proyecto al que pertenece el archivo | |
| Tabla estándar de BigQuery | Administrador de objetos de almacenamiento | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla | ||
| Vista de BigQuery de una tabla estándar de BigQuery | Administrador de objetos de almacenamiento | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | ||
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla | ||
| Tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage | Administrador de objetos de almacenamiento | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | ||
| Visualizador de objetos de almacenamiento | Proyecto al que pertenece el archivo fuente | ||
| Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage | Administrador de objetos de almacenamiento | Proyecto que ejecuta la canalización | |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | ||
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | ||
| Visualizador de objetos de almacenamiento | Proyecto al que pertenece el archivo fuente |
En la siguiente tabla, se proporciona una explicación de estos roles:
| Lector de datos de BigQuery | bigquery.tables.get proporciona a la cuenta de servicio acceso al conjunto de datos. La cuenta de servicio necesita este acceso antes del lanzamiento del trabajo de Dataflow en el paso de Feature Transform Engine de la canalización. |
| Visualizador de objetos de almacenamiento | storage.objects.get permite que la cuenta de servicio acceda al archivo de origen de Cloud Storage. |
| Administrador de objetos de almacenamiento | Los permisos storage.objects.get y storage.objects.create permiten que la cuenta de servicio acceda al bucket para el directorio raíz del trabajo de canalización. La cuenta de servicio necesita estos permisos en el proyecto de canalización, incluso si tu fuente de datos no es un archivo de Cloud Storage. Este rol incluye todos los permisos otorgados por el rol Visualizador de objetos de almacenamiento. |
| Administrador de almacenamiento | Los permisos storage.buckets.* permiten que la cuenta de servicio valide el bucket de Cloud Storage en el paso de Feature Transform Engine de la canalización. Este rol incluye todos los permisos otorgados por el rol Administrador de objetos de almacenamiento. |
Agente de servicio de AI Platform
Debes asegurarte de que se otorgue el siguiente rol al agente de servicio de AI Platform en el proyecto de canalización:
| Rol | Permisos |
|---|---|
| Agente de servicio de Vertex AI |
Este rol otorga permisos a los agentes de servicio. Estos permisos incluyen el permiso storage.object.get y los derechos de acceso a las imágenes de contenedor en el repositorio de Artifact Registry.
|