- Tabellarischer Workflow für End-to-End-AutoML
- Tabellarischer Workflow für Prognosen
- Tabellarischer Workflow für TabNet
- Tabellarischer Workflow für Wide & Deep
- Prophet
- ARIMA+
Dienstkonten für tabellarische Workflows für End-to-End-AutoML
Dieser Workflow verwendet folgende Dienstkonten:
| Dienstkonto | Beschreibung | Standard-Hauptkonto | Standardname | Kann überschrieben werden |
|---|---|---|---|---|
| Dienstkonto für Vertex AI Pipelines | Das Dienstkonto, mit dem die Pipeline ausgeführt wird | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| Dienstkonto für Dataflow-Worker | Das Dienstkonto, auf dem die Dataflow-Worker ausgeführt werden | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| AI Platform-Dienst-Agent | Das Dienstkonto, mit dem die Trainingscontainer ausgeführt werden. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Nein |
Einige Dienstkonten können in ein Konto Ihrer Wahl geändert werden. Eine Anleitung für die Google Cloud Console oder die API finden Sie unter Modell mit End-to-End-AutoML trainieren.
Dienstkonto für Vertex AI Pipelines
Weisen Sie dem Dienstkonto für Vertex AI Pipelines im Pipeline-Projekt die folgenden Rollen zu:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Nutzer |
Mit aiplatform.metadataStores.get kann das Dienstkonto einen Pipelinejob erstellen. aiplatform.models.upload ermöglicht dem Dienstkonto, das Modell hochzuladen.
|
| Storage-Objekt-Administrator | Mit den Berechtigungen storage.objects.get und storage.objects.create von Storage Object Admin kann das Dienstkonto auf den Bucket für das Stammverzeichnis des Pipeline-Jobs zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn Sie keine Cloud Storage-Datenquelle verwenden. |
| Dataflow-Entwickler | dataflow.jobs.create ermöglicht dem Dienstkonto, Dataflow-Jobs während der Bewertung zu erstellen. |
| Dienstkontonutzer |
iam.serviceAccounts.actAs ermöglicht dem Vertex AI Pipelines-Dienstkonto, während der Auswertung als Dataflow-Worker-Dienstkonto zu fungieren.
|
Dienstkonto für Dataflow-Worker
Weisen Sie dem Dienstkonto für Dataflow-Worker im Pipeline-Projekt die folgenden Rollen zu:
| Rolle | Berechtigungen |
|---|---|
| Dataflow-Worker | Mit dieser Rolle kann das Dienstkonto auf die Ressourcen zugreifen, die zum Ausführen von Dataflow-Jobs erforderlich sind. |
| Storage-Objekt-Administrator | Mit dieser Rolle kann das Dienstkonto auf Cloud Storage-Buckets zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn Sie keine Cloud Storage-Datenquelle verwenden. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter. |
Weisen Sie dem Dataflow-Worker-Dienstkonto außerdem die folgenden Rollen basierend auf dem Typ der Datenquelle zu:
| Datenquelle | Rolle | Wo die Rolle zugewiesen werden kann |
|---|---|---|
| Standard-BigQuery-Tabelle | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Jobnutzer | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| BigQuery-Ansicht einer Standard-BigQuery-Tabelle | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Jobnutzer | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Jobnutzer | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Jobnutzer | Projekt, in dem die Pipeline ausgeführt wird | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| Cloud Storage-Datei | Storage-Objekt-Betrachter | Projekt, zu dem die Datei gehört |
In der folgenden Tabelle werden diese Rollen erläutert:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Dateneditor | Die Berechtigungen bigquery.jobs.get und bigquery.jobs.create ermöglichen dem Dienstkonto, BigQuery-Datasets zu verwenden. Mit bigquery.jobs.create kann das Dienstkonto temporäre BigQuery-Datasets während der Statistiken und der Beispielgenerierung erstellen. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto, ein BigQuery-Dataset zu verwenden. |
| BigQuery-Datenbetrachter | Diese Rolle gibt dem Dienstkonto Zugriff auf das BigQuery-Dataset. |
| Storage-Objekt-Betrachter | storage.objects.get ermöglicht dem Dienstkonto, auf eine Cloud Storage-Datei zuzugreifen. |
AI Platform-Dienst-Agent
Prüfen Sie, ob der AI Platform-Dienst-Agent im Pipeline-Projekt die folgende Rolle hat:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Dienst-Agent |
Mit dieser Rolle werden Berechtigungen für Dienst-Agents gewährt. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.
|
Wenn Ihre Datenquelle ein BigQuery-Dataset aus einem anderen Projekt ist, weisen Sie dem AI Platform-Dienst-Agent im Dataset-Projekt die folgenden Rollen zu:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Datenbetrachter | bigquery.tables.get ermöglicht dem Dienstkonto, Informationen zum BigQuery-Dataset abzurufen, bevor ein Dataflow-Job gestartet wird. |
Wenn Ihre Datenquelle eine Cloud Storage-Datei aus einem anderen Projekt ist, weisen Sie dem AI Platform-Dienstkonto im Dateiprojekt die folgenden Rollen zu:
| Storage Object Viewer | storage.objects.list ermöglicht dem Dienstkonto, Informationen zur Cloud Storage-Datei abzurufen, bevor ein Dataflow-Job gestartet wird. |
Dienstkonten für den tabellarische Workflow für Prognosen
Dieser Workflow verwendet folgende Dienstkonten:
| Dienstkonto | Beschreibung | Standard-Hauptkonto | Standardname | Kann überschrieben werden |
|---|---|---|---|---|
| Dienstkonto für Vertex AI Pipelines | Das Dienstkonto, mit dem die Pipeline ausgeführt wird | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| Dienstkonto für Dataflow-Worker | Das Dienstkonto, auf dem die Dataflow-Worker ausgeführt werden | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| AI Platform-Dienst-Agent | Das Dienstkonto, mit dem die Trainingscontainer ausgeführt werden. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Nein |
Einige Dienstkonten können in ein Konto Ihrer Wahl geändert werden. Weitere Informationen finden Sie unter Modell mit dem tabellarischen Workflow für Prognosen trainieren.
Dienstkonto für Vertex AI Pipelines
Weisen Sie dem Dienstkonto für Vertex AI Pipelines im Pipeline-Projekt die folgenden Rollen zu:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Nutzer |
Mit aiplatform.metadataStores.get kann das Dienstkonto einen Pipelinejob erstellen. aiplatform.models.upload ermöglicht dem Dienstkonto, das Modell hochzuladen.
|
| BigQuery-Dateneditor | bigquery.tables.create ermöglicht dem Dienstkonto, temporäre Tabellen für Feature Transform Engine zu erstellen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto, BigQuery-Jobs für Feature Transform Engine auszuführen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist. |
| Dienstkontonutzer |
iam.serviceAccounts.actAs ermöglicht dem Vertex AI Pipelines-Dienstkonto, während der Auswertung als Dataflow-Worker-Dienstkonto zu fungieren.
|
| Dataflow-Entwickler | Diese Rolle bietet Zugriff auf Ressourcen, die zum Ausführen von Dataflow-Jobs erforderlich sind. |
Weisen Sie dem Vertex AI Pipelines-Dienstkonto außerdem die folgenden Rollen basierend auf Ihrem Datenquellentyp zu:
| Datenquelle | Rolle | Wo die Rolle zugewiesen werden kann |
|---|---|---|
| Cloud Storage-Datei | Storage-Administrator | Projekt, zu dem die Datei gehört |
| Standard-BigQuery-Tabelle | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| BigQuery-Ansicht einer Standard-BigQuery-Tabelle | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört |
In der folgenden Tabelle werden diese Rollen erläutert:
| BigQuery-Datenbetrachter | bigquery.tables.get gewährt dem Dienstkonto Zugriff auf das Dataset. Das Dienstkonto benötigt diesen Zugriff, bevor der Dataflow-Job im Schritt „Feature Transform Engine“ der Pipeline gestartet wird. |
| Storage-Objekt-Betrachter | storage.objects.get ermöglicht dem Dienstkonto, auf die Cloud Storage-Quelldatei zuzugreifen. |
| Storage-Objekt-Administrator | Die Berechtigungen storage.objects.get und storage.objects.create ermöglichen dem Dienstkonto, auf den Bucket für das Stammverzeichnis des Pipelinejobs zuzugreifen. Das Dienstkonto benötigt diese Berechtigungen im Pipelineprojekt, auch wenn Ihre Datenquelle keine Cloud Storage-Datei ist. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter. |
| Storage-Administrator | Mit Berechtigungen vom Typ storage.buckets.* kann das Dienstkonto den Cloud Storage-Bucket im Schritt „Feature Transform Engine“ der Pipeline validieren. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Administrator. |
Wenn Sie die Modellbewertung durchführen, müssen Sie ein BigQuery-Dataset als Ziel für die vorhergesagten Beispiele bereitstellen. Weisen Sie dem Vertex AI Pipelines-Dienstkonto im Projekt, das dieses Dataset enthält, die folgenden Rollen zu:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Datenbetrachter | Mit dieser Rolle kann das Dienstkonto BigQuery-Daten aufrufen. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto das Erstellen von BigQuery-Jobs. |
Dienstkonto für Dataflow-Worker
Weisen Sie dem Dienstkonto für Dataflow-Worker im Pipeline-Projekt die folgenden Rollen zu:
| Rolle | Berechtigungen |
|---|---|
| Storage-Objekt-Administrator | Mit dieser Rolle kann das Dienstkonto auf Cloud Storage-Buckets zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn die Datenquelle keine Cloud Storage-Datei ist. |
| BigQuery-Jobnutzer | Mit bigquery.jobs.create kann das Dienstkonto den Schritt „Feature Transform Engine“ der Pipeline ausführen. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist. |
| Dataflow-Worker | Das Dienstkonto benötigt alle Berechtigungen, die durch diese Rolle gewährt werden. |
Weisen Sie dem Dataflow-Worker-Dienstkonto außerdem die folgenden Rollen basierend auf dem Typ der Datenquelle zu:
| Datenquelle | Rolle | Wo die Rolle zugewiesen werden kann |
|---|---|---|
| Standard-BigQuery-Tabelle | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| BigQuery-Ansicht einer Standard-BigQuery-Tabelle | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| Cloud Storage-Datei | BigQuery-Datenbetrachter | Projekt, in dem die Pipeline ausgeführt wird |
In der folgenden Tabelle werden diese Rollen erläutert:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Datenbetrachter | bigquery.tables.get bietet Zugriff auf das Dataset im Schritt „Feature Transform Engine“ der Pipeline. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist. |
| BigQuery-Dateneditor | Mit dieser Rolle kann das Dienstkonto die Tabelle abfragen und temporäre Tabellen während des Schritts „Feature Transform Engine“ der Pipeline erstellen. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| Storage-Objekt-Betrachter | Mit storage.objects.get kann das Dienstkonto auf eine Cloud Storage-Datei zugreifen. |
AI Platform-Dienst-Agent
Prüfen Sie, ob der AI Platform-Dienst-Agent im Pipeline-Projekt die folgende Rolle hat:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Dienst-Agent |
Mit dieser Rolle werden Berechtigungen für Dienst-Agents gewährt. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.
|
Wenn Sie die Modellbewertung durchführen, müssen Sie ein BigQuery-Dataset als Ziel für die vorhergesagten Beispiele bereitstellen. Weisen Sie dem Vertex AI Pipelines-Dienstkonto im Projekt, das dieses Dataset enthält, die folgenden Rollen zu:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Dateneditor | Mit dieser Rolle kann das Dienstkonto BigQuery-Daten bearbeiten. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto das Erstellen von BigQuery-Jobs. |
Dienstkonten für den tabellarischen Workflow für TabNet und tabellarische Workflows für Wide & Deep sowie Prophet
Für diese Workflows werden die folgenden Dienstkonten verwendet:
| Dienstkonto | Beschreibung | Standard-Hauptkonto | Standardname | Kann überschrieben werden |
|---|---|---|---|---|
| Dienstkonto für Vertex AI Pipelines | Das Dienstkonto, mit dem die Pipeline ausgeführt wird | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| Dienstkonto für Dataflow-Worker | Das Dienstkonto, auf dem die Dataflow-Worker ausgeführt werden | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| AI Platform-Dienst-Agent | Das Dienstkonto, mit dem die Trainingscontainer ausgeführt werden. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Nein |
Einige Dienstkonten können in ein Konto Ihrer Wahl geändert werden. Eine Anleitung für den tabellarischen Workflow für TabNet finden Sie unter Modell mit TabNet trainieren. Eine Anleitung für den tabellarischen Workflow für Wide & Deep finden Sie unter Modell mit Wide & Deep trainieren. Eine Prophet-Anleitung finden Sie unter Prognose mit Prophet.
Dienstkonto für Vertex AI Pipelines
Weisen Sie dem Dienstkonto für Vertex AI Pipelines im Pipeline-Projekt die folgenden Rollen zu:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Nutzer |
Mit aiplatform.metadataStores.get kann das Dienstkonto einen Pipelinejob erstellen. aiplatform.models.upload ermöglicht dem Dienstkonto, das Modell hochzuladen.
|
| BigQuery-Dateneditor | bigquery.tables.create ermöglicht dem Dienstkonto, temporäre Tabellen für Feature Transform Engine zu erstellen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto, BigQuery-Jobs für Feature Transform Engine auszuführen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist. |
| Dienstkontonutzer |
iam.serviceAccounts.actAs ermöglicht dem Vertex AI Pipelines-Dienstkonto, während der Auswertung als Dataflow-Worker-Dienstkonto zu fungieren.
|
| Dataflow-Entwickler | Diese Rolle bietet Zugriff auf Ressourcen, die zum Ausführen von Dataflow-Jobs erforderlich sind. |
Weisen Sie dem Vertex AI Pipelines-Dienstkonto außerdem die folgenden Rollen basierend auf Ihrem Datenquellentyp zu:
| Datenquelle | Rolle | Wo die Rolle zugewiesen werden kann |
|---|---|---|
| Cloud Storage-Datei | Storage-Administrator | Projekt, zu dem die Datei gehört |
| Standard-BigQuery-Tabelle | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| BigQuery-Ansicht einer Standard-BigQuery-Tabelle | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört |
In der folgenden Tabelle werden diese Rollen erläutert:
| BigQuery-Datenbetrachter | bigquery.tables.get gewährt dem Dienstkonto Zugriff auf das Dataset. Das Dienstkonto benötigt diesen Zugriff, bevor der Dataflow-Job im Schritt „Feature Transform Engine“ der Pipeline gestartet wird. |
| Storage-Objekt-Betrachter | storage.objects.get ermöglicht dem Dienstkonto, auf die Cloud Storage-Quelldatei zuzugreifen. |
| Storage-Objekt-Administrator | Die Berechtigungen storage.objects.get und storage.objects.create ermöglichen dem Dienstkonto, auf den Bucket für das Stammverzeichnis des Pipelinejobs zuzugreifen. Das Dienstkonto benötigt diese Berechtigungen im Pipelineprojekt, auch wenn Ihre Datenquelle keine Cloud Storage-Datei ist. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter. |
| Storage-Administrator | Mit Berechtigungen vom Typ storage.buckets.* kann das Dienstkonto den Cloud Storage-Bucket im Schritt „Feature Transform Engine“ der Pipeline validieren. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Administrator. |
Dienstkonto für Dataflow-Worker
Weisen Sie dem Dienstkonto für Dataflow-Worker im Pipeline-Projekt die folgenden Rollen zu:
| Rolle | Berechtigungen |
|---|---|
| Storage-Objekt-Administrator | Mit dieser Rolle kann das Dienstkonto auf Cloud Storage-Buckets zugreifen. Das Dienstkonto benötigt diese Berechtigungen auch dann, wenn die Datenquelle keine Cloud Storage-Datei ist. |
| BigQuery-Jobnutzer | Mit bigquery.jobs.create kann das Dienstkonto den Schritt „Feature Transform Engine“ der Pipeline ausführen. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist. |
| Dataflow-Worker | Das Dienstkonto benötigt alle Berechtigungen, die durch diese Rolle gewährt werden. |
Weisen Sie dem Dataflow-Worker-Dienstkonto außerdem die folgenden Rollen basierend auf dem Typ der Datenquelle zu:
| Datenquelle | Rolle | Wo die Rolle zugewiesen werden kann |
|---|---|---|
| Standard-BigQuery-Tabelle | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| BigQuery-Ansicht einer Standard-BigQuery-Tabelle | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | BigQuery-Dateneditor | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| Cloud Storage-Datei | BigQuery-Datenbetrachter | Projekt, in dem die Pipeline ausgeführt wird |
In der folgenden Tabelle werden diese Rollen erläutert:
| Rolle | Berechtigungen |
|---|---|
| BigQuery-Datenbetrachter | bigquery.tables.get bietet Zugriff auf das Dataset im Schritt „Feature Transform Engine“ der Pipeline. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist. |
| BigQuery-Dateneditor | Mit dieser Rolle kann das Dienstkonto die Tabelle abfragen und temporäre Tabellen während des Schritts „Feature Transform Engine“ der Pipeline erstellen. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| Storage-Objekt-Betrachter | Mit storage.objects.get kann das Dienstkonto auf eine Cloud Storage-Datei zugreifen. |
AI Platform-Dienst-Agent
Prüfen Sie, ob der AI Platform-Dienst-Agent im Pipeline-Projekt die folgende Rolle hat:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Dienst-Agent |
Mit dieser Rolle werden Berechtigungen für Dienst-Agents gewährt. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.
|
Dienstkonten für ARIMA+
Dieser Workflow verwendet folgende Dienstkonten:
| Dienstkonto | Beschreibung | Standard-Hauptkonto | Standardname | Kann überschrieben werden |
|---|---|---|---|---|
| Dienstkonto für Vertex AI Pipelines | Das Dienstkonto, mit dem die Pipeline ausgeführt wird | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Ja |
| AI Platform-Dienst-Agent | Das Dienstkonto, mit dem die Trainingscontainer ausgeführt werden. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Nein |
Sie können das Vertex AI Pipelines-Dienstkonto in ein Konto Ihrer Wahl ändern. Weitere Informationen finden Sie unter Prognosen mit ARIMA+.
Dienstkonto für Vertex AI Pipelines
Weisen Sie dem Dienstkonto für Vertex AI Pipelines im Pipeline-Projekt die folgenden Rollen zu:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Nutzer |
Mit aiplatform.metadataStores.get kann das Dienstkonto einen Pipelinejob erstellen. aiplatform.models.upload ermöglicht dem Dienstkonto, das Modell hochzuladen.
|
| BigQuery-Dateneditor | bigquery.tables.create ermöglicht dem Dienstkonto, temporäre Tabellen für Feature Transform Engine zu erstellen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist. Diese Rolle enthält alle Berechtigungen der Rolle BigQuery-Datenbetrachter. |
| BigQuery-Jobnutzer | bigquery.jobs.create ermöglicht dem Dienstkonto, BigQuery-Jobs für Feature Transform Engine auszuführen, bevor ein Dataflow-Job gestartet wird. Das Dienstkonto benötigt diese Berechtigung auch dann, wenn die Datenquelle kein BigQuery-Dataset ist. |
| Dienstkontonutzer |
iam.serviceAccounts.actAs ermöglicht dem Vertex AI Pipelines-Dienstkonto, während der Auswertung als Dataflow-Worker-Dienstkonto zu fungieren.
|
| Dataflow-Entwickler | Diese Rolle bietet Zugriff auf Ressourcen, die zum Ausführen von Dataflow-Jobs erforderlich sind. |
Weisen Sie dem Vertex AI Pipelines-Dienstkonto außerdem die folgenden Rollen basierend auf Ihrem Datenquellentyp zu:
| Datenquelle | Rolle | Wo die Rolle zugewiesen werden kann |
|---|---|---|
| Cloud Storage-Datei | Storage-Administrator | Projekt, zu dem die Datei gehört |
| Standard-BigQuery-Tabelle | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| BigQuery-Ansicht einer Standard-BigQuery-Tabelle | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die Tabelle gehört | |
| Externe BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört | |
| BigQuery-Ansicht einer externen BigQuery-Tabelle mit einer Cloud Storage-Quelldatei | Storage-Objekt-Administrator | Projekt, in dem die Pipeline ausgeführt wird |
| BigQuery-Datenbetrachter | Projekt, zu dem die Ansicht gehört | |
| BigQuery-Datenbetrachter | Projekt, zu dem die externe Tabelle gehört | |
| Storage-Objekt-Betrachter | Projekt, zu dem die Quelldatei gehört |
In der folgenden Tabelle werden diese Rollen erläutert:
| BigQuery-Datenbetrachter | bigquery.tables.get gewährt dem Dienstkonto Zugriff auf das Dataset. Das Dienstkonto benötigt diesen Zugriff, bevor der Dataflow-Job im Schritt „Feature Transform Engine“ der Pipeline gestartet wird. |
| Storage-Objekt-Betrachter | storage.objects.get ermöglicht dem Dienstkonto, auf die Cloud Storage-Quelldatei zuzugreifen. |
| Storage-Objekt-Administrator | Die Berechtigungen storage.objects.get und storage.objects.create ermöglichen dem Dienstkonto, auf den Bucket für das Stammverzeichnis des Pipelinejobs zuzugreifen. Das Dienstkonto benötigt diese Berechtigungen im Pipelineprojekt, auch wenn Ihre Datenquelle keine Cloud Storage-Datei ist. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Betrachter. |
| Storage-Administrator | Mit Berechtigungen vom Typ storage.buckets.* kann das Dienstkonto den Cloud Storage-Bucket im Schritt „Feature Transform Engine“ der Pipeline validieren. Diese Rolle enthält alle Berechtigungen der Rolle Storage-Objekt-Administrator. |
AI Platform-Dienst-Agent
Prüfen Sie, ob der AI Platform-Dienst-Agent im Pipeline-Projekt die folgende Rolle hat:
| Rolle | Berechtigungen |
|---|---|
| Vertex AI-Dienst-Agent |
Mit dieser Rolle werden Berechtigungen für Dienst-Agents gewährt. Diese Berechtigungen umfassen die Berechtigung storage.object.get und die Zugriffsrechte auf Container-Images im Artifact Registry-Repository.
|