Dienstkonten für tabellarische Workflows

Auf dieser Seite werden die Dienstkonten für die folgenden tabellarischen Workflows beschrieben:

Dienstkonten für tabellarische Workflows für End-to-End-AutoML

Dieser Workflow verwendet folgende Dienstkonten:

Dienstkonto Beschreibung Standard-Hauptkonto Standardname Kann überschrieben werden
Dienstkonto für Vertex AI Pipelines Das Dienstkonto, mit dem die Pipeline ausgeführt wird PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account Ja
Dienstkonto für Dataflow-Worker Das Dienstkonto, auf dem die Dataflow-Worker ausgeführt werden PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account Ja
AI Platform-Dienst-Agent Das Dienstkonto, mit dem die Trainingscontainer ausgeführt werden. service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent Nein

Einige der Dienstkonten können in ein Konto Ihrer Wahl geändert werden. Eine Anleitung für die Google Cloud Console oder die API finden Sie unter Modell mit End-to-End-AutoML trainieren.

Dienstkonto für Vertex AI Pipelines

Sie müssen dem Dienstkonto für Vertex AI Pipelines im Pipelineprojekt die folgenden Rollen zuweisen:

Rolle Berechtigungen
Vertex AI-Nutzer aiplatform.metadataStores.get ermöglicht dem Dienstkonto, einen Pipelinejob zu erstellen. aiplatform.models.upload ermöglicht es dem Dienstkonto, das Modell hochzuladen.
Storage-Objekt-Administrator Mit den Berechtigungen storage.objects.get und storage.objects.create von Storage Object Admin kann das Dienstkonto auf den Bucket für das Stammverzeichnis des Pipeline-Jobs zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn Sie keine Cloud Storage-Datenquelle verwenden.
Dataflow-Entwickler dataflow.jobs.create ermöglicht dem Dienstkonto, Dataflow-Jobs während der Bewertung zu erstellen.
Dienstkontonutzer iam.serviceAccounts.actAs ermöglicht es dem Vertex AI Pipelines-Dienstkonto, während der Bewertung als Dataflow-Worker-Dienstkonto zu fungieren.

Dienstkonto für Dataflow-Worker

Sie müssen dem Dienstkonto für den Dataflow-Worker im Pipelineprojekt die folgenden Rollen zuweisen:

Rolle Berechtigungen
Dataflow-Worker Mit dieser Rolle kann das Dienstkonto auf die Ressourcen zugreifen, die zum Ausführen von Dataflow-Jobs erforderlich sind.
Storage-Objekt-Administrator Mit dieser Rolle kann das Dienstkonto auf Cloud Storage-Buckets zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn Sie keine Cloud Storage-Datenquelle verwenden. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter.

Je nach Datenquellentyp müssen Sie dem Dataflow-Worker-Dienstkonto außerdem die folgenden Rollen zuweisen:

Datenquelle Rolle Wo die Rolle zugewiesen werden soll
Standard-BigQuery-Tabelle BigQuery-Dateneditor Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Jobnutzer Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
BigQuery-Ansicht einer Standard-BigQuery-Tabelle BigQuery-Dateneditor Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Jobnutzer Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei BigQuery-Dateneditor Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Jobnutzer Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört
BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei BigQuery-Dateneditor Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Jobnutzer Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört
Cloud Storage-Datei Storage-Objekt-Betrachter Projekt, zu dem die Datei gehört

In der folgenden Tabelle werden diese Rollen erläutert:

Rolle Berechtigungen
BigQuery-Dateneditor Die Berechtigungen bigquery.jobs.get und bigquery.jobs.create ermöglichen dem Dienstkonto, BigQuery-Datasets zu verwenden. Mit bigquery.jobs.create kann das Dienstkonto temporäre BigQuery-Datasets während der Statistiken und der Beispielgenerierung erstellen. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter.
BigQuery-Jobnutzer bigquery.jobs.create ermöglicht dem Dienstkonto, ein BigQuery-Dataset zu verwenden.
BigQuery-Datenbetrachter Diese Rolle gibt dem Dienstkonto Zugriff auf das BigQuery-Dataset.
Storage-Objekt-Betrachter storage.objects.get ermöglicht dem Dienstkonto, auf eine Cloud Storage-Datei zuzugreifen.

AI Platform-Dienst-Agent

Dem AI Platform-Dienst-Agent im Pipelineprojekt muss die folgende Rolle zugewiesen sein:

Rolle Berechtigungen
Vertex AI-Dienst-Agent Mit dieser Rolle werden Berechtigungen für Dienst-Agents gewährt. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.

Wenn Ihre Datenquelle ein BigQuery-Dataset aus einem anderen Projekt ist, müssen Sie dem AI Platform-Dienst-Agent im Dataset-Projekt die folgenden Rollen zuweisen:

Rolle Berechtigungen
BigQuery-Datenbetrachter bigquery.tables.get ermöglicht dem Dienstkonto, Informationen zum BigQuery-Dataset abzurufen, bevor ein Dataflow-Job gestartet wird.

Wenn Ihre Datenquelle eine Cloud Storage-Datei aus einem anderen Projekt ist, müssen Sie dem AI Platform-Dienstkonto im Dateiprojekt die folgenden Rollen zuweisen:

Storage-Objekt-Betrachter storage.objects.list ermöglicht dem Dienstkonto, Informationen zur Cloud Storage-Datei abzurufen, bevor ein Dataflow-Job gestartet wird.

Dienstkonten für den tabellarische Workflow für Prognosen

Dieser Workflow verwendet folgende Dienstkonten:

Dienstkonto Beschreibung Standard-Hauptkonto Standardname Kann überschrieben werden
Dienstkonto für Vertex AI Pipelines Das Dienstkonto, mit dem die Pipeline ausgeführt wird PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account Ja
Dienstkonto für Dataflow-Worker Das Dienstkonto, auf dem die Dataflow-Worker ausgeführt werden PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account Ja
AI Platform-Dienst-Agent Das Dienstkonto, mit dem die Trainingscontainer ausgeführt werden. service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent Nein

Einige der Dienstkonten können in ein Konto Ihrer Wahl geändert werden. Weitere Informationen finden Sie unter Modell mit dem tabellarischen Workflow für Prognosen trainieren.

Dienstkonto für Vertex AI Pipelines

Sie müssen dem Dienstkonto für Vertex AI Pipelines im Pipelineprojekt die folgenden Rollen zuweisen:

Rolle Berechtigungen
Vertex AI-Nutzer aiplatform.metadataStores.get ermöglicht dem Dienstkonto, einen Pipelinejob zu erstellen. aiplatform.models.upload ermöglicht es dem Dienstkonto, das Modell hochzuladen.
BigQuery-Dateneditor bigquery.tables.create ermöglicht dem Dienstkonto, temporäre Tabellen für Feature Transform Engine zu erstellen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter.
BigQuery-Jobnutzer bigquery.jobs.create ermöglicht dem Dienstkonto, BigQuery-Jobs für die Feature Transform Engine auszuführen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist.
Dienstkontonutzer iam.serviceAccounts.actAs ermöglicht es dem Vertex AI Pipelines-Dienstkonto, während der Bewertung als Dataflow-Worker-Dienstkonto zu fungieren.
Dataflow-Entwickler Diese Rolle gewährt Zugriff auf Ressourcen, die zum Ausführen von Dataflow-Jobs erforderlich sind.

Je nach Datenquellentyp müssen Sie dem Vertex AI Pipelines-Dienstkonto außerdem die folgenden Rollen zuweisen:

Datenquelle Rolle Wo die Rolle zugewiesen werden soll
Cloud Storage-Datei Storage-Administrator Projekt, zu dem die Datei gehört
Standard-BigQuery-Tabelle Storage-Objekt-Administrator Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
BigQuery-Ansicht einer Standard-BigQuery-Tabelle Storage-Objekt-Administrator Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei Storage-Objekt-Administrator Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört
BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei Storage-Objekt-Administrator Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört

In der folgenden Tabelle werden diese Rollen erläutert:

BigQuery-Datenbetrachter bigquery.tables.get gewährt dem Dienstkonto Zugriff auf das Dataset. Das Dienstkonto benötigt diesen Zugriff, bevor der Dataflow-Job im Schritt „Feature Transform Engine“ der Pipeline gestartet wird.
Storage-Objekt-Betrachter storage.objects.get ermöglicht dem Dienstkonto, auf die Cloud Storage-Quelldatei zuzugreifen.
Storage-Objekt-Administrator Die Berechtigungen storage.objects.get und storage.objects.create ermöglichen dem Dienstkonto, auf den Bucket für das Stammverzeichnis des Pipelinejobs zuzugreifen. Das Dienstkonto benötigt diese Berechtigungen im Pipelineprojekt, auch wenn Ihre Datenquelle keine Cloud Storage-Datei ist. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter.
Storage-Administrator Mit Berechtigungen vom Typ storage.buckets.* kann das Dienstkonto den Cloud Storage-Bucket im Schritt „Feature Transform Engine“ der Pipeline validieren. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Administrator.

Wenn Sie die Modellbewertung durchführen, müssen Sie ein BigQuery-Dataset als Ziel für die vorhergesagten Beispiele bereitstellen. In dem Projekt, das dieses Dataset enthält, müssen Sie dem Vertex AI Pipelines-Dienstkonto die folgenden Rollen zuweisen:

Rolle Berechtigungen
BigQuery-Datenbetrachter Mit dieser Rolle kann das Dienstkonto BigQuery-Daten aufrufen.
BigQuery-Jobnutzer bigquery.jobs.create ermöglicht dem Dienstkonto das Erstellen von BigQuery-Jobs.

Dienstkonto für Dataflow-Worker

Sie müssen dem Dienstkonto für den Dataflow-Worker im Pipelineprojekt die folgenden Rollen zuweisen:

Rolle Berechtigungen
Storage-Objekt-Administrator Mit dieser Rolle kann das Dienstkonto auf Cloud Storage-Buckets zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn die Datenquelle keine Cloud Storage-Datei ist.
BigQuery-Jobnutzer Mit bigquery.jobs.create kann das Dienstkonto den Schritt „Feature Transform Engine“ der Pipeline ausführen. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist.
Dataflow-Worker Das Dienstkonto benötigt alle Berechtigungen, die durch diese Rolle gewährt werden.

Je nach Datenquellentyp müssen Sie dem Dataflow-Worker-Dienstkonto außerdem die folgenden Rollen zuweisen:

Datenquelle Rolle Wo die Rolle zugewiesen werden soll
Standard-BigQuery-Tabelle BigQuery-Dateneditor Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
BigQuery-Ansicht einer Standard-BigQuery-Tabelle BigQuery-Dateneditor Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei BigQuery-Dateneditor Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört
BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei BigQuery-Dateneditor Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört
Cloud Storage-Datei BigQuery-Datenbetrachter Projekt, in dem die Pipeline ausgeführt wird

In der folgenden Tabelle werden diese Rollen erläutert:

Rolle Berechtigungen
BigQuery-Datenbetrachter bigquery.tables.get bietet Zugriff auf das Dataset im Schritt „Feature Transform Engine“ der Pipeline. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist.
BigQuery-Dateneditor Mit dieser Rolle kann das Dienstkonto die Tabelle abfragen und temporäre Tabellen während des Schritts „Feature Transform Engine“ der Pipeline erstellen. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter.
Storage-Objekt-Betrachter Mit storage.objects.get kann das Dienstkonto auf eine Cloud Storage-Datei zugreifen.

AI Platform-Dienst-Agent

Dem AI Platform-Dienst-Agent im Pipelineprojekt muss die folgende Rolle zugewiesen sein:

Rolle Berechtigungen
Vertex AI-Dienst-Agent Mit dieser Rolle werden Berechtigungen für Dienst-Agents gewährt. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.

Wenn Sie die Modellbewertung durchführen, müssen Sie ein BigQuery-Dataset als Ziel für die vorhergesagten Beispiele bereitstellen. In dem Projekt, das dieses Dataset enthält, müssen Sie dem Vertex AI Pipelines-Dienstkonto die folgenden Rollen zuweisen:

Rolle Berechtigungen
BigQuery-Dateneditor Mit dieser Rolle kann das Dienstkonto BigQuery-Daten bearbeiten.
BigQuery-Jobnutzer bigquery.jobs.create ermöglicht dem Dienstkonto das Erstellen von BigQuery-Jobs.

Dienstkonten für den tabellarischen Workflow für TabNet und tabellarische Workflows für Wide & Deep sowie Prophet

Für diese Workflows werden die folgenden Dienstkonten verwendet:

Dienstkonto Beschreibung Standard-Hauptkonto Standardname Kann überschrieben werden
Dienstkonto für Vertex AI Pipelines Das Dienstkonto, mit dem die Pipeline ausgeführt wird PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account Ja
Dienstkonto für Dataflow-Worker Das Dienstkonto, auf dem die Dataflow-Worker ausgeführt werden PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account Ja
AI Platform-Dienst-Agent Das Dienstkonto, mit dem die Trainingscontainer ausgeführt werden. service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent Nein

Einige der Dienstkonten können in ein Konto Ihrer Wahl geändert werden. Eine Anleitung für den tabellarischen Workflow für TabNet finden Sie unter Modell mit TabNet trainieren. Eine Anleitung für den tabellarischen Workflow für Wide & Deep finden Sie unter Modell mit Wide & Deep trainieren. Eine Prophet-Anleitung finden Sie unter Prognose mit Prophet.

Dienstkonto für Vertex AI Pipelines

Sie müssen dem Dienstkonto für Vertex AI Pipelines im Pipelineprojekt die folgenden Rollen zuweisen:

Rolle Berechtigungen
Vertex AI-Nutzer aiplatform.metadataStores.get ermöglicht dem Dienstkonto, einen Pipelinejob zu erstellen. aiplatform.models.upload ermöglicht es dem Dienstkonto, das Modell hochzuladen.
BigQuery-Dateneditor bigquery.tables.create ermöglicht dem Dienstkonto, temporäre Tabellen für Feature Transform Engine zu erstellen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter.
BigQuery-Jobnutzer bigquery.jobs.create ermöglicht dem Dienstkonto, BigQuery-Jobs für die Feature Transform Engine auszuführen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist.
Dienstkontonutzer iam.serviceAccounts.actAs ermöglicht es dem Vertex AI Pipelines-Dienstkonto, während der Bewertung als Dataflow-Worker-Dienstkonto zu fungieren.
Dataflow-Entwickler Diese Rolle gewährt Zugriff auf Ressourcen, die zum Ausführen von Dataflow-Jobs erforderlich sind.

Je nach Datenquellentyp müssen Sie dem Vertex AI Pipelines-Dienstkonto außerdem die folgenden Rollen zuweisen:

Datenquelle Rolle Wo die Rolle zugewiesen werden soll
Cloud Storage-Datei Storage-Administrator Projekt, zu dem die Datei gehört
Standard-BigQuery-Tabelle Storage-Objekt-Administrator Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
BigQuery-Ansicht einer Standard-BigQuery-Tabelle Storage-Objekt-Administrator Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei Storage-Objekt-Administrator Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört
BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei Storage-Objekt-Administrator Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört

In der folgenden Tabelle werden diese Rollen erläutert:

BigQuery-Datenbetrachter bigquery.tables.get gewährt dem Dienstkonto Zugriff auf das Dataset. Das Dienstkonto benötigt diesen Zugriff, bevor der Dataflow-Job im Schritt „Feature Transform Engine“ der Pipeline gestartet wird.
Storage-Objekt-Betrachter storage.objects.get ermöglicht dem Dienstkonto, auf die Cloud Storage-Quelldatei zuzugreifen.
Storage-Objekt-Administrator Die Berechtigungen storage.objects.get und storage.objects.create ermöglichen dem Dienstkonto, auf den Bucket für das Stammverzeichnis des Pipelinejobs zuzugreifen. Das Dienstkonto benötigt diese Berechtigungen im Pipelineprojekt, auch wenn Ihre Datenquelle keine Cloud Storage-Datei ist. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter.
Storage-Administrator Mit Berechtigungen vom Typ storage.buckets.* kann das Dienstkonto den Cloud Storage-Bucket im Schritt „Feature Transform Engine“ der Pipeline validieren. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Administrator.

Dienstkonto für Dataflow-Worker

Sie müssen dem Dienstkonto für den Dataflow-Worker im Pipelineprojekt die folgenden Rollen zuweisen:

Rolle Berechtigungen
Storage-Objekt-Administrator Mit dieser Rolle kann das Dienstkonto auf Cloud Storage-Buckets zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn die Datenquelle keine Cloud Storage-Datei ist.
BigQuery-Jobnutzer Mit bigquery.jobs.create kann das Dienstkonto den Schritt „Feature Transform Engine“ der Pipeline ausführen. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist.
Dataflow-Worker Das Dienstkonto benötigt alle Berechtigungen, die durch diese Rolle gewährt werden.

Je nach Datenquellentyp müssen Sie dem Dataflow-Worker-Dienstkonto außerdem die folgenden Rollen zuweisen:

Datenquelle Rolle Wo die Rolle zugewiesen werden soll
Standard-BigQuery-Tabelle BigQuery-Dateneditor Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
BigQuery-Ansicht einer Standard-BigQuery-Tabelle BigQuery-Dateneditor Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei BigQuery-Dateneditor Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört
BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei BigQuery-Dateneditor Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört
Cloud Storage-Datei BigQuery-Datenbetrachter Projekt, in dem die Pipeline ausgeführt wird

In der folgenden Tabelle werden diese Rollen erläutert:

Rolle Berechtigungen
BigQuery-Datenbetrachter bigquery.tables.get bietet Zugriff auf das Dataset im Schritt „Feature Transform Engine“ der Pipeline. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist.
BigQuery-Dateneditor Mit dieser Rolle kann das Dienstkonto die Tabelle abfragen und temporäre Tabellen während des Schritts „Feature Transform Engine“ der Pipeline erstellen. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter.
Storage-Objekt-Betrachter Mit storage.objects.get kann das Dienstkonto auf eine Cloud Storage-Datei zugreifen.

AI Platform-Dienst-Agent

Dem AI Platform-Dienst-Agent im Pipelineprojekt muss die folgende Rolle zugewiesen sein:

Rolle Berechtigungen
Vertex AI-Dienst-Agent Mit dieser Rolle werden Berechtigungen für Dienst-Agents gewährt. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.

Dienstkonten für ARIMA+

Dieser Workflow verwendet folgende Dienstkonten:

Dienstkonto Beschreibung Standard-Hauptkonto Standardname Kann überschrieben werden
Dienstkonto für Vertex AI Pipelines Das Dienstkonto, mit dem die Pipeline ausgeführt wird PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account Ja
AI Platform-Dienst-Agent Das Dienstkonto, mit dem die Trainingscontainer ausgeführt werden. service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent Nein

Das Vertex AI Pipelines-Dienstkonto kann in ein Konto Ihrer Wahl geändert werden. Weitere Informationen finden Sie unter Prognosen mit ARIMA+.

Dienstkonto für Vertex AI Pipelines

Sie müssen dem Dienstkonto für Vertex AI Pipelines im Pipelineprojekt die folgenden Rollen zuweisen:

Rolle Berechtigungen
Vertex AI-Nutzer aiplatform.metadataStores.get ermöglicht dem Dienstkonto, einen Pipelinejob zu erstellen. aiplatform.models.upload ermöglicht es dem Dienstkonto, das Modell hochzuladen.
BigQuery-Dateneditor bigquery.tables.create ermöglicht dem Dienstkonto, temporäre Tabellen für Feature Transform Engine zu erstellen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter.
BigQuery-Jobnutzer bigquery.jobs.create ermöglicht dem Dienstkonto, BigQuery-Jobs für die Feature Transform Engine auszuführen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist.
Dienstkontonutzer iam.serviceAccounts.actAs ermöglicht es dem Vertex AI Pipelines-Dienstkonto, während der Bewertung als Dataflow-Worker-Dienstkonto zu fungieren.
Dataflow-Entwickler Diese Rolle gewährt Zugriff auf Ressourcen, die zum Ausführen von Dataflow-Jobs erforderlich sind.

Je nach Datenquellentyp müssen Sie dem Vertex AI Pipelines-Dienstkonto außerdem die folgenden Rollen zuweisen:

Datenquelle Rolle Wo die Rolle zugewiesen werden soll
Cloud Storage-Datei Storage-Administrator Projekt, zu dem die Datei gehört
Standard-BigQuery-Tabelle Storage-Objekt-Administrator Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
BigQuery-Ansicht einer Standard-BigQuery-Tabelle Storage-Objekt-Administrator Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die Tabelle gehört
Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei Storage-Objekt-Administrator Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört
BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei Storage-Objekt-Administrator Projekt, in dem die Pipeline ausgeführt wird
BigQuery-Datenbetrachter Projekt, zu dem die Ansicht gehört
BigQuery-Datenbetrachter Projekt, zu dem die externe Tabelle gehört
Storage-Objekt-Betrachter Projekt, zu dem die Quelldatei gehört

In der folgenden Tabelle werden diese Rollen erläutert:

BigQuery-Datenbetrachter bigquery.tables.get gewährt dem Dienstkonto Zugriff auf das Dataset. Das Dienstkonto benötigt diesen Zugriff, bevor der Dataflow-Job im Schritt „Feature Transform Engine“ der Pipeline gestartet wird.
Storage-Objekt-Betrachter storage.objects.get ermöglicht dem Dienstkonto, auf die Cloud Storage-Quelldatei zuzugreifen.
Storage-Objekt-Administrator Die Berechtigungen storage.objects.get und storage.objects.create ermöglichen dem Dienstkonto, auf den Bucket für das Stammverzeichnis des Pipelinejobs zuzugreifen. Das Dienstkonto benötigt diese Berechtigungen im Pipelineprojekt, auch wenn Ihre Datenquelle keine Cloud Storage-Datei ist. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter.
Storage-Administrator Mit Berechtigungen vom Typ storage.buckets.* kann das Dienstkonto den Cloud Storage-Bucket im Schritt „Feature Transform Engine“ der Pipeline validieren. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Administrator.

AI Platform-Dienst-Agent

Dem AI Platform-Dienst-Agent im Pipelineprojekt muss die folgende Rolle zugewiesen sein:

Rolle Berechtigungen
Vertex AI-Dienst-Agent Mit dieser Rolle werden Berechtigungen für Dienst-Agents gewährt. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.