Cette page explique les comptes de service pour les workflows tabulaires suivants :
- Workflow tabulaire pour AutoML de bout en bout
- Workflow tabulaire pour les prévisions
- Workflow tabulaire pour TabNet
- Workflow tabulaire pour wide et deep learning
- Prophet
- ARIMA+
Comptes de service pour le workflow tabulaire pour AutoML de bout en bout
Ce workflow utilise les comptes de service suivants :
| Compte de service | Description | Principal par défaut | Nom par défaut | Peut être ignoré |
|---|---|---|---|---|
| Compte de service pour Vertex AI Pipelines | Le compte de service qui exécute le pipeline | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Oui |
| Compte de service pour le nœud de calcul Dataflow | Compte de service qui exécute les nœuds de calcul Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Oui |
| Agent de service AI Platform | Compte de service qui exécute les conteneurs d'entraînement. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Non |
Vous pouvez remplacer certains des comptes de service par le compte de votre choix. Pour en savoir plus sur la console Google Cloud ou l'API, consultez la page Entraîner un modèle avec AutoML de bout en bout.
Compte de service pour Vertex AI Pipelines
Vous devez attribuer les rôles suivants au compte de service pour Vertex AI Pipelines dans le projet de pipeline :
| Rôle | Autorisations |
|---|---|
| Utilisateur Vertex AI |
aiplatform.metadataStores.get permet au compte de service de créer une tâche de pipeline. aiplatform.models.upload permet au compte de service d'importer le modèle.
|
| Administrateur des objets Storage | Les autorisations storage.objects.get et storage.objects.create de l'administrateur des objets de l'espace de stockage permettent au compte de service d'accéder au bucket pour le répertoire racine de la tâche de pipeline. Le compte de service a besoin de ces autorisations même si vous n'utilisez pas de source de données Cloud Storage. |
| Développeur Dataflow | dataflow.jobs.create permet au compte de service de créer des tâches Dataflow pendant l'évaluation. |
| Utilisateur du compte de service |
iam.serviceAccounts.actAs permet au compte de service Vertex AI Pipelines d'agir en tant que compte de service de nœud de calcul Dataflow lors de l'évaluation.
|
Compte de service pour le nœud de calcul Dataflow
Vous devez attribuer les rôles suivants au compte de service pour le nœud de calcul Dataflow dans le projet de pipeline :
| Rôle | Autorisations |
|---|---|
| Nœud de calcul Dataflow | Ce rôle permet au compte de service d'accéder aux ressources nécessaires pour exécuter des tâches Dataflow. |
| Administrateur des objets Storage | Ce rôle permet au compte de service d'accéder aux buckets Cloud Storage. Le compte de service a besoin de ces autorisations même si vous n'utilisez pas de source de données Cloud Storage. Ce rôle inclut toutes les autorisations accordées par le rôle Lecteur des objets de l'espace de stockage. |
Vous devez également attribuer les rôles suivants au compte de service de nœud de calcul Dataflow en fonction de votre type de source de données :
| Source de données | Rôle | Où attribuer le rôle |
|---|---|---|
| Table BigQuery standard | Éditeur de données BigQuery | Projet exécutant le pipeline |
| Utilisateur de tâche BigQuery | Projet exécutant le pipeline | |
| Lecteur de données BigQuery | Projet auquel la table appartient | |
| Vue BigQuery d'une table BigQuery standard | Éditeur de données BigQuery | Projet exécutant le pipeline |
| Utilisateur de tâche BigQuery | Projet exécutant le pipeline | |
| Lecteur de données BigQuery | Projet auquel la vue appartient | |
| Lecteur de données BigQuery | Projet auquel la table appartient | |
| Table externe BigQuery, qui comporte un fichier Cloud Storage source | Éditeur de données BigQuery | Projet exécutant le pipeline |
| Utilisateur de tâche BigQuery | Projet exécutant le pipeline | |
| Lecteur de données BigQuery | Projet auquel la table externe appartient | |
| Lecteur des objets Storage | Projet auquel appartient le fichier source | |
| Vue BigQuery d'une table externe BigQuery contenant un fichier Cloud Storage source | Éditeur de données BigQuery | Projet exécutant le pipeline |
| Utilisateur de tâche BigQuery | Projet exécutant le pipeline | |
| Lecteur de données BigQuery | Projet auquel la vue appartient | |
| Lecteur de données BigQuery | Projet auquel la table externe appartient | |
| Lecteur des objets Storage | Projet auquel appartient le fichier source | |
| Fichier Cloud Storage | Lecteur des objets Storage | Projet auquel le fichier appartient |
Le tableau suivant explique ces rôles :
| Rôle | Autorisations |
|---|---|
| Éditeur de données BigQuery | Les autorisations bigquery.jobs.get et bigquery.jobs.create permettent au compte de service d'utiliser des ensembles de données BigQuery. bigquery.jobs.create permet au compte de service de créer des ensembles de données BigQuery temporaires lors de la génération de statistiques et d'exemples. Ce rôle inclut toutes les autorisations accordées par le rôle Lecteur de données BigQuery. |
| Utilisateur de tâche BigQuery | bigquery.jobs.create permet au compte de service d'utiliser un ensemble de données BigQuery. |
| Lecteur de données BigQuery | Ce rôle fournit au compte de service l'accès à l'ensemble de données BigQuery. |
| Lecteur des objets Storage | storage.objects.get permet au compte de service d'accéder à un fichier Cloud Storage. |
Agent de service AI Platform
Vous devez vous assurer que le rôle suivant a été attribué à l'agent de service AI Platform dans le projet de pipeline :
| Rôle | Autorisations |
|---|---|
| Agent de service Vertex AI |
Ce rôle accorde des autorisations aux agents de service. Ces autorisations incluent l'autorisation storage.object.get et les droits d'accès aux images de conteneurs dans le dépôt Artifact Registry.
|
Si votre source de données est un ensemble de données BigQuery d'un autre projet, vous devez attribuer les rôles suivants à l'agent de service AI Platform du projet de l'ensemble de données :
| Rôle | Autorisations |
|---|---|
| Lecteur de données BigQuery | bigquery.tables.get permet au compte de service d'obtenir des informations sur l'ensemble de données BigQuery avant de lancer une tâche Dataflow. |
Si votre source de données est un fichier Cloud Storage d'un autre projet, vous devez attribuer les rôles suivants à l'agent de service AI Platform du projet de fichier :
| Lecteur des objets Storage | storage.objects.list permet au compte de service d'obtenir des informations sur le fichier Cloud Storage avant de lancer une tâche Dataflow. |
Comptes de service pour le workflow tabulaire pour les prévisions
Ce workflow utilise les comptes de service suivants :
| Compte de service | Description | Principal par défaut | Nom par défaut | Peut être ignoré |
|---|---|---|---|---|
| Compte de service pour Vertex AI Pipelines | Le compte de service qui exécute le pipeline | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Oui |
| Compte de service pour le nœud de calcul Dataflow | Compte de service qui exécute les nœuds de calcul Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Oui |
| Agent de service AI Platform | Compte de service qui exécute les conteneurs d'entraînement. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Non |
Vous pouvez remplacer certains des comptes de service par le compte de votre choix. Pour savoir comment entraîner un modèle, consultez la section Entraîner un modèle avec Workflow tabulaire pour les prévisions.
Compte de service pour Vertex AI Pipelines
Vous devez attribuer les rôles suivants au compte de service pour Vertex AI Pipelines dans le projet de pipeline :
| Rôle | Autorisations |
|---|---|
| Utilisateur Vertex AI |
aiplatform.metadataStores.get permet au compte de service de créer une tâche de pipeline. aiplatform.models.upload permet au compte de service d'importer le modèle.
|
| Éditeur de données BigQuery | bigquery.tables.create permet au compte de service de créer des tables temporaires pour Feature Transform Engine avant de lancer une tâche Dataflow. Le compte de service nécessite cette autorisation même si votre source de données n'est pas un ensemble de données BigQuery. Ce rôle inclut toutes les autorisations accordées par le rôle Lecteur de données BigQuery. |
| Utilisateur de tâche BigQuery | bigquery.jobs.create permet au compte de service d'exécuter des tâches BigQuery pour Feature Transform Engine avant de lancer une tâche Dataflow. Le compte de service nécessite cette autorisation même si votre source de données n'est pas un ensemble de données BigQuery. |
| Utilisateur du compte de service |
iam.serviceAccounts.actAs permet au compte de service Vertex AI Pipelines d'agir en tant que compte de service de nœud de calcul Dataflow lors de l'évaluation.
|
| Développeur Dataflow | Ce rôle fournit un accès aux ressources nécessaires à l'exécution des tâches Dataflow. |
Vous devez également attribuer les rôles suivants au compte de service Vertex AI Pipelines en fonction de votre type de source de données :
| Source de données | Rôle | Où attribuer le rôle | |
|---|---|---|---|
| Fichier Cloud Storage | Administrateur Storage | Projet auquel le fichier appartient | |
| Table BigQuery standard | Administrateur des objets Storage | Projet exécutant le pipeline | |
| Lecteur de données BigQuery | Projet auquel la table appartient | ||
| Vue BigQuery d'une table BigQuery standard | Administrateur des objets Storage | Projet exécutant le pipeline | |
| Lecteur de données BigQuery | Projet auquel la vue appartient | ||
| Lecteur de données BigQuery | Projet auquel la table appartient | ||
| Table externe BigQuery, qui comporte un fichier Cloud Storage source | Administrateur des objets Storage | Projet exécutant le pipeline | |
| Lecteur de données BigQuery | Projet auquel la table externe appartient | ||
| Lecteur des objets Storage | Projet auquel appartient le fichier source | ||
| Vue BigQuery d'une table externe BigQuery contenant un fichier Cloud Storage source | Administrateur des objets Storage | Projet exécutant le pipeline | |
| Lecteur de données BigQuery | Projet auquel la vue appartient | ||
| Lecteur de données BigQuery | Projet auquel la table externe appartient | ||
| Lecteur des objets Storage | Projet auquel appartient le fichier source |
Le tableau suivant explique ces rôles :
| Lecteur de données BigQuery | bigquery.tables.get fournit au compte de service un accès à l'ensemble de données. Le compte de service a besoin de cet accès avant de lancer la tâche Dataflow à l'étape Feature Transform Engine du pipeline. |
| Lecteur des objets Storage | storage.objects.get permet au compte de service d'accéder au fichier Cloud Storage source. |
| Administrateur des objets Storage | Les autorisations storage.objects.get et storage.objects.create permettent au compte de service d'accéder au bucket pour le répertoire racine de la tâche de pipeline. Le compte de service a besoin de ces autorisations dans le projet de pipeline, même si votre source de données n'est pas un fichier Cloud Storage. Ce rôle inclut toutes les autorisations accordées par le rôle Lecteur des objets de l'espace de stockage. |
| Administrateur Storage | Les autorisations storage.buckets.* permettent au compte de service de valider le bucket Cloud Storage à l'étape Feature Transform Engine du pipeline. Ce rôle inclut toutes les autorisations accordées par le rôle Administrateur des objets de l'espace de stockage. |
Si vous effectuez une évaluation de modèle, vous devez fournir un ensemble de données BigQuery qui servira de destination pour les exemples prédits. Dans le projet contenant cet ensemble de données, vous devez attribuer les rôles suivants au compte de service Vertex AI Pipelines :
| Rôle | Autorisations |
|---|---|
| Lecteur de données BigQuery | Ce rôle permet au compte de service d'afficher les données BigQuery. |
| Utilisateur de tâche BigQuery | bigquery.jobs.create permet au compte de service de créer des jobs BigQuery. |
Compte de service pour le nœud de calcul Dataflow
Vous devez attribuer les rôles suivants au compte de service pour le nœud de calcul Dataflow dans le projet de pipeline :
| Rôle | Autorisations |
|---|---|
| Administrateur des objets Storage | Ce rôle permet au compte de service d'accéder aux buckets Cloud Storage. Le compte de service a besoin de ces autorisations même si votre source de données n'est pas un fichier Cloud Storage. |
| Utilisateur de tâche BigQuery | bigquery.jobs.create permet au compte de service d'effectuer l'étape Feature Transform Engine du pipeline. Le compte de service nécessite cette autorisation même si votre source de données n'est pas un ensemble de données BigQuery. |
| Nœud de calcul Dataflow | Le compte de service a besoin de toutes les autorisations accordées par ce rôle. |
Vous devez également attribuer les rôles suivants au compte de service de nœud de calcul Dataflow en fonction de votre type de source de données :
| Source de données | Rôle | Où attribuer le rôle |
|---|---|---|
| Table BigQuery standard | Éditeur de données BigQuery | Projet exécutant le pipeline |
| Lecteur de données BigQuery | Projet auquel la table appartient | |
| Vue BigQuery d'une table BigQuery standard | Éditeur de données BigQuery | Projet exécutant le pipeline |
| Lecteur de données BigQuery | Projet auquel la vue appartient | |
| Lecteur de données BigQuery | Projet auquel la table appartient | |
| Table externe BigQuery, qui comporte un fichier Cloud Storage source | Éditeur de données BigQuery | Projet exécutant le pipeline |
| Lecteur de données BigQuery | Projet auquel la table externe appartient | |
| Lecteur des objets Storage | Projet auquel appartient le fichier source | |
| Vue BigQuery d'une table externe BigQuery contenant un fichier Cloud Storage source | Éditeur de données BigQuery | Projet exécutant le pipeline |
| Lecteur de données BigQuery | Projet auquel la vue appartient | |
| Lecteur de données BigQuery | Projet auquel la table externe appartient | |
| Lecteur des objets Storage | Projet auquel appartient le fichier source | |
| Fichier Cloud Storage | Lecteur de données BigQuery | Projet exécutant le pipeline |
Le tableau suivant explique ces rôles :
| Rôle | Autorisations |
|---|---|
| Lecteur de données BigQuery | bigquery.tables.get permet d'accéder à l'ensemble de données à l'étape Feature Transform Engine du pipeline. Le compte de service nécessite cette autorisation même si votre source de données n'est pas un ensemble de données BigQuery. |
| Éditeur de données BigQuery | Ce rôle permet au compte de service d'interroger la table et de créer des tables temporaires lors de l'étape Feature Transform Engine du pipeline. Ce rôle inclut toutes les autorisations accordées par le rôle Lecteur de données BigQuery. |
| Lecteur des objets Storage | storage.objects.get permet au compte de service d'accéder à un fichier Cloud Storage. |
Agent de service AI Platform
Vous devez vous assurer que le rôle suivant a été attribué à l'agent de service AI Platform dans le projet de pipeline :
| Rôle | Autorisations |
|---|---|
| Agent de service Vertex AI |
Ce rôle accorde des autorisations aux agents de service. Ces autorisations incluent l'autorisation storage.object.get et les droits d'accès aux images de conteneurs dans le dépôt Artifact Registry.
|
Si vous effectuez une évaluation de modèle, vous devez fournir un ensemble de données BigQuery qui servira de destination pour les exemples prédits. Dans le projet contenant cet ensemble de données, vous devez attribuer les rôles suivants au compte de service Vertex AI Pipelines :
| Rôle | Autorisations |
|---|---|
| Éditeur de données BigQuery | Ce rôle permet au compte de service de modifier les données BigQuery. |
| Utilisateur de tâche BigQuery | bigquery.jobs.create permet au compte de service de créer des jobs BigQuery. |
Comptes de service pour le workflow tabulaire pour TabNet, et le workflow tabulaire pour Large et profond, et Prophet
Ces workflows utilisent les comptes de service suivants :
| Compte de service | Description | Principal par défaut | Nom par défaut | Peut être ignoré |
|---|---|---|---|---|
| Compte de service pour Vertex AI Pipelines | Le compte de service qui exécute le pipeline | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Oui |
| Compte de service pour le nœud de calcul Dataflow | Compte de service qui exécute les nœuds de calcul Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Oui |
| Agent de service AI Platform | Compte de service qui exécute les conteneurs d'entraînement. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Non |
Vous pouvez remplacer certains des comptes de service par le compte de votre choix. Pour obtenir des instructions sur le workflow tabulaire pour TabNet, consultez la page Entraîner un modèle avec TabNet. Pour obtenir des instructions tabulaires pour Large et profond, consultez la page Entraîner un modèle avec Large et profond. Pour obtenir des instructions sur Prophet, consultez la section Effectuer des prévisions avec Prophet.
Compte de service pour Vertex AI Pipelines
Vous devez attribuer les rôles suivants au compte de service pour Vertex AI Pipelines dans le projet de pipeline :
| Rôle | Autorisations |
|---|---|
| Utilisateur Vertex AI |
aiplatform.metadataStores.get permet au compte de service de créer une tâche de pipeline. aiplatform.models.upload permet au compte de service d'importer le modèle.
|
| Éditeur de données BigQuery | bigquery.tables.create permet au compte de service de créer des tables temporaires pour Feature Transform Engine avant de lancer une tâche Dataflow. Le compte de service nécessite cette autorisation même si votre source de données n'est pas un ensemble de données BigQuery. Ce rôle inclut toutes les autorisations accordées par le rôle Lecteur de données BigQuery. |
| Utilisateur de tâche BigQuery | bigquery.jobs.create permet au compte de service d'exécuter des tâches BigQuery pour Feature Transform Engine avant de lancer une tâche Dataflow. Le compte de service nécessite cette autorisation même si votre source de données n'est pas un ensemble de données BigQuery. |
| Utilisateur du compte de service |
iam.serviceAccounts.actAs permet au compte de service Vertex AI Pipelines d'agir en tant que compte de service de nœud de calcul Dataflow lors de l'évaluation.
|
| Développeur Dataflow | Ce rôle fournit un accès aux ressources nécessaires à l'exécution des tâches Dataflow. |
Vous devez également attribuer les rôles suivants au compte de service Vertex AI Pipelines en fonction de votre type de source de données :
| Source de données | Rôle | Où attribuer le rôle | |
|---|---|---|---|
| Fichier Cloud Storage | Administrateur Storage | Projet auquel le fichier appartient | |
| Table BigQuery standard | Administrateur des objets Storage | Projet exécutant le pipeline | |
| Lecteur de données BigQuery | Projet auquel la table appartient | ||
| Vue BigQuery d'une table BigQuery standard | Administrateur des objets Storage | Projet exécutant le pipeline | |
| Lecteur de données BigQuery | Projet auquel la vue appartient | ||
| Lecteur de données BigQuery | Projet auquel la table appartient | ||
| Table externe BigQuery, qui comporte un fichier Cloud Storage source | Administrateur des objets Storage | Projet exécutant le pipeline | |
| Lecteur de données BigQuery | Projet auquel la table externe appartient | ||
| Lecteur des objets Storage | Projet auquel appartient le fichier source | ||
| Vue BigQuery d'une table externe BigQuery contenant un fichier Cloud Storage source | Administrateur des objets Storage | Projet exécutant le pipeline | |
| Lecteur de données BigQuery | Projet auquel la vue appartient | ||
| Lecteur de données BigQuery | Projet auquel la table externe appartient | ||
| Lecteur des objets Storage | Projet auquel appartient le fichier source |
Le tableau suivant explique ces rôles :
| Lecteur de données BigQuery | bigquery.tables.get fournit au compte de service un accès à l'ensemble de données. Le compte de service a besoin de cet accès avant de lancer la tâche Dataflow à l'étape Feature Transform Engine du pipeline. |
| Lecteur des objets Storage | storage.objects.get permet au compte de service d'accéder au fichier Cloud Storage source. |
| Administrateur des objets Storage | Les autorisations storage.objects.get et storage.objects.create permettent au compte de service d'accéder au bucket pour le répertoire racine de la tâche de pipeline. Le compte de service a besoin de ces autorisations dans le projet de pipeline, même si votre source de données n'est pas un fichier Cloud Storage. Ce rôle inclut toutes les autorisations accordées par le rôle Lecteur des objets de l'espace de stockage. |
| Administrateur Storage | Les autorisations storage.buckets.* permettent au compte de service de valider le bucket Cloud Storage à l'étape Feature Transform Engine du pipeline. Ce rôle inclut toutes les autorisations accordées par le rôle Administrateur des objets de l'espace de stockage. |
Compte de service pour le nœud de calcul Dataflow
Vous devez attribuer les rôles suivants au compte de service pour le nœud de calcul Dataflow dans le projet de pipeline :
| Rôle | Autorisations |
|---|---|
| Administrateur des objets Storage | Ce rôle permet au compte de service d'accéder aux buckets Cloud Storage. Le compte de service a besoin de ces autorisations même si votre source de données n'est pas un fichier Cloud Storage. |
| Utilisateur de tâche BigQuery | bigquery.jobs.create permet au compte de service d'effectuer l'étape Feature Transform Engine du pipeline. Le compte de service nécessite cette autorisation même si votre source de données n'est pas un ensemble de données BigQuery. |
| Nœud de calcul Dataflow | Le compte de service a besoin de toutes les autorisations accordées par ce rôle. |
Vous devez également attribuer les rôles suivants au compte de service de nœud de calcul Dataflow en fonction de votre type de source de données :
| Source de données | Rôle | Où attribuer le rôle |
|---|---|---|
| Table BigQuery standard | Éditeur de données BigQuery | Projet exécutant le pipeline |
| Lecteur de données BigQuery | Projet auquel la table appartient | |
| Vue BigQuery d'une table BigQuery standard | Éditeur de données BigQuery | Projet exécutant le pipeline |
| Lecteur de données BigQuery | Projet auquel la vue appartient | |
| Lecteur de données BigQuery | Projet auquel la table appartient | |
| Table externe BigQuery, qui comporte un fichier Cloud Storage source | Éditeur de données BigQuery | Projet exécutant le pipeline |
| Lecteur de données BigQuery | Projet auquel la table externe appartient | |
| Lecteur des objets Storage | Projet auquel appartient le fichier source | |
| Vue BigQuery d'une table externe BigQuery contenant un fichier Cloud Storage source | Éditeur de données BigQuery | Projet exécutant le pipeline |
| Lecteur de données BigQuery | Projet auquel la vue appartient | |
| Lecteur de données BigQuery | Projet auquel la table externe appartient | |
| Lecteur des objets Storage | Projet auquel appartient le fichier source | |
| Fichier Cloud Storage | Lecteur de données BigQuery | Projet exécutant le pipeline |
Le tableau suivant explique ces rôles :
| Rôle | Autorisations |
|---|---|
| Lecteur de données BigQuery | bigquery.tables.get permet d'accéder à l'ensemble de données à l'étape Feature Transform Engine du pipeline. Le compte de service nécessite cette autorisation même si votre source de données n'est pas un ensemble de données BigQuery. |
| Éditeur de données BigQuery | Ce rôle permet au compte de service d'interroger la table et de créer des tables temporaires lors de l'étape Feature Transform Engine du pipeline. Ce rôle inclut toutes les autorisations accordées par le rôle Lecteur de données BigQuery. |
| Lecteur des objets Storage | storage.objects.get permet au compte de service d'accéder à un fichier Cloud Storage. |
Agent de service AI Platform
Vous devez vous assurer que le rôle suivant a été attribué à l'agent de service AI Platform dans le projet de pipeline :
| Rôle | Autorisations |
|---|---|
| Agent de service Vertex AI |
Ce rôle accorde des autorisations aux agents de service. Ces autorisations incluent l'autorisation storage.object.get et les droits d'accès aux images de conteneurs dans le dépôt Artifact Registry.
|
Comptes de service pour ARIMA+
Ce workflow utilise les comptes de service suivants :
| Compte de service | Description | Principal par défaut | Nom par défaut | Peut être ignoré |
|---|---|---|---|---|
| Compte de service pour Vertex AI Pipelines | Le compte de service qui exécute le pipeline | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Oui |
| Agent de service AI Platform | Compte de service qui exécute les conteneurs d'entraînement. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Non |
Vous pouvez remplacer le compte de service Vertex AI Pipelines par le compte de votre choix. Pour en savoir plus, consultez la page Effectuer des prévisions avec ARIMA+.
Compte de service pour Vertex AI Pipelines
Vous devez attribuer les rôles suivants au compte de service pour Vertex AI Pipelines dans le projet de pipeline :
| Rôle | Autorisations |
|---|---|
| Utilisateur Vertex AI |
aiplatform.metadataStores.get permet au compte de service de créer une tâche de pipeline. aiplatform.models.upload permet au compte de service d'importer le modèle.
|
| Éditeur de données BigQuery | bigquery.tables.create permet au compte de service de créer des tables temporaires pour Feature Transform Engine avant de lancer une tâche Dataflow. Le compte de service nécessite cette autorisation même si votre source de données n'est pas un ensemble de données BigQuery. Ce rôle inclut toutes les autorisations accordées par le rôle Lecteur de données BigQuery. |
| Utilisateur de tâche BigQuery | bigquery.jobs.create permet au compte de service d'exécuter des tâches BigQuery pour Feature Transform Engine avant de lancer une tâche Dataflow. Le compte de service nécessite cette autorisation même si votre source de données n'est pas un ensemble de données BigQuery. |
| Utilisateur du compte de service |
iam.serviceAccounts.actAs permet au compte de service Vertex AI Pipelines d'agir en tant que compte de service de nœud de calcul Dataflow lors de l'évaluation.
|
| Développeur Dataflow | Ce rôle fournit un accès aux ressources nécessaires à l'exécution des tâches Dataflow. |
Vous devez également attribuer les rôles suivants au compte de service Vertex AI Pipelines en fonction de votre type de source de données :
| Source de données | Rôle | Où attribuer le rôle | |
|---|---|---|---|
| Fichier Cloud Storage | Administrateur Storage | Projet auquel le fichier appartient | |
| Table BigQuery standard | Administrateur des objets Storage | Projet exécutant le pipeline | |
| Lecteur de données BigQuery | Projet auquel la table appartient | ||
| Vue BigQuery d'une table BigQuery standard | Administrateur des objets Storage | Projet exécutant le pipeline | |
| Lecteur de données BigQuery | Projet auquel la vue appartient | ||
| Lecteur de données BigQuery | Projet auquel la table appartient | ||
| Table externe BigQuery, qui comporte un fichier Cloud Storage source | Administrateur des objets Storage | Projet exécutant le pipeline | |
| Lecteur de données BigQuery | Projet auquel la table externe appartient | ||
| Lecteur des objets Storage | Projet auquel appartient le fichier source | ||
| Vue BigQuery d'une table externe BigQuery contenant un fichier Cloud Storage source | Administrateur des objets Storage | Projet exécutant le pipeline | |
| Lecteur de données BigQuery | Projet auquel la vue appartient | ||
| Lecteur de données BigQuery | Projet auquel la table externe appartient | ||
| Lecteur des objets Storage | Projet auquel appartient le fichier source |
Le tableau suivant explique ces rôles :
| Lecteur de données BigQuery | bigquery.tables.get fournit au compte de service un accès à l'ensemble de données. Le compte de service a besoin de cet accès avant de lancer la tâche Dataflow à l'étape Feature Transform Engine du pipeline. |
| Lecteur des objets Storage | storage.objects.get permet au compte de service d'accéder au fichier Cloud Storage source. |
| Administrateur des objets Storage | Les autorisations storage.objects.get et storage.objects.create permettent au compte de service d'accéder au bucket pour le répertoire racine de la tâche de pipeline. Le compte de service a besoin de ces autorisations dans le projet de pipeline, même si votre source de données n'est pas un fichier Cloud Storage. Ce rôle inclut toutes les autorisations accordées par le rôle Lecteur des objets de l'espace de stockage. |
| Administrateur Storage | Les autorisations storage.buckets.* permettent au compte de service de valider le bucket Cloud Storage à l'étape Feature Transform Engine du pipeline. Ce rôle inclut toutes les autorisations accordées par le rôle Administrateur des objets de l'espace de stockage. |
Agent de service AI Platform
Vous devez vous assurer que le rôle suivant a été attribué à l'agent de service AI Platform dans le projet de pipeline :
| Rôle | Autorisations |
|---|---|
| Agent de service Vertex AI |
Ce rôle accorde des autorisations aux agents de service. Ces autorisations incluent l'autorisation storage.object.get et les droits d'accès aux images de conteneurs dans le dépôt Artifact Registry.
|