- Flujo de trabajo tabular para AutoML integral
- Flujo de trabajo tabular para las previsiones
- Flujo de trabajo tabular de TabNet
- Flujo de trabajo tabular para datos extensos y detallados
- Profeta
- ARIMA+
Cuentas de servicio para el flujo de trabajo tabular de AutoML integral
Este flujo de trabajo usa las siguientes cuentas de servicio:
| Cuenta de servicio | Descripción | Entidad de seguridad predeterminada | Nombre predeterminado | Se puede anular |
|---|---|---|---|---|
| Cuenta de servicio de Vertex AI Pipelines | La cuenta de servicio que ejecuta la canalización | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Cuenta de servicio del trabajador de Dataflow | La cuenta de servicio que ejecuta los trabajadores de Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Agente de servicio de AI Platform | La cuenta de servicio que ejecuta los contenedores de entrenamiento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
No |
Puedes cambiar algunas de las cuentas de servicio por la cuenta que quieras. Consulta Entrenar un modelo con AutoML de extremo a extremo para obtener instrucciones específicas de la Google Cloud consola o la API.
Cuenta de servicio de Vertex AI Pipelines
Asigna los siguientes roles a la cuenta de servicio de Vertex AI Pipelines en el proyecto del flujo de procesamiento:
| Rol | Permisos |
|---|---|
| Usuario de Vertex AI |
aiplatform.metadataStores.get permite que la cuenta de servicio cree un trabajo de canalización. aiplatform.models.upload permite que la cuenta de servicio suba el modelo.
|
| Administrador de objetos de Storage | Los permisos storage.objects.get y storage.objects.create de administrador de objetos de Storage permiten que la cuenta de servicio acceda al segmento del directorio raíz del trabajo de la canalización. La cuenta de servicio necesita estos permisos aunque no uses una fuente de datos de Cloud Storage. |
| Desarrollador de Dataflow | dataflow.jobs.create permite que la cuenta de servicio cree tareas de Dataflow durante la evaluación. |
| Usuario de cuenta de servicio |
iam.serviceAccounts.actAs permite que la cuenta de servicio de Vertex AI Pipelines actúe como cuenta de servicio de trabajador de Dataflow durante la evaluación.
|
Cuenta de servicio del trabajador de Dataflow
Asigna los siguientes roles a la cuenta de servicio del trabajador de Dataflow en el proyecto de la canalización:
| Rol | Permisos |
|---|---|
| Trabajador de Dataflow | Este rol permite que la cuenta de servicio acceda a los recursos necesarios para ejecutar trabajos de Dataflow. |
| Administrador de objetos de Storage | Este rol permite que la cuenta de servicio acceda a los segmentos de Cloud Storage. La cuenta de servicio necesita estos permisos aunque no uses una fuente de datos de Cloud Storage. Este rol incluye todos los permisos que concede el rol Lector de objetos de Storage. |
Además, asigna los siguientes roles a la cuenta de servicio de trabajador de Dataflow en función del tipo de fuente de datos:
| Fuente de datos | Rol | Dónde conceder el rol |
|---|---|---|
| Tabla estándar de BigQuery | Editor de datos de BigQuery | Proyecto que ejecuta el flujo de procesamiento |
| Usuario de tareas de BigQuery | Proyecto que ejecuta el flujo de procesamiento | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla. | |
| Vista de BigQuery de una tabla de BigQuery estándar | Editor de datos de BigQuery | Proyecto que ejecuta el flujo de procesamiento |
| Usuario de tareas de BigQuery | Proyecto que ejecuta el flujo de procesamiento | |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla. | |
| Tabla externa de BigQuery que tiene un archivo de Cloud Storage de origen | Editor de datos de BigQuery | Proyecto que ejecuta el flujo de procesamiento |
| Usuario de tareas de BigQuery | Proyecto que ejecuta el flujo de procesamiento | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Lector de objetos de Storage | Proyecto al que pertenece el archivo de origen | |
| Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo de origen de Cloud Storage | Editor de datos de BigQuery | Proyecto que ejecuta el flujo de procesamiento |
| Usuario de tareas de BigQuery | Proyecto que ejecuta el flujo de procesamiento | |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Lector de objetos de Storage | Proyecto al que pertenece el archivo de origen | |
| Archivo de Cloud Storage | Lector de objetos de Storage | Proyecto al que pertenece el archivo |
En la siguiente tabla se explican estos roles:
| Rol | Permisos |
|---|---|
| Editor de datos de BigQuery | Los permisos bigquery.jobs.get y bigquery.jobs.create permiten que la cuenta de servicio use conjuntos de datos de BigQuery. bigquery.jobs.create permite que la cuenta de servicio cree conjuntos de datos temporales de BigQuery durante la generación de estadísticas y ejemplos. Este rol incluye todos los permisos que concede el rol Lector de datos de BigQuery. |
| Usuario de tareas de BigQuery | bigquery.jobs.create permite que la cuenta de servicio use un conjunto de datos de BigQuery. |
| Lector de datos de BigQuery | Este rol proporciona a la cuenta de servicio acceso al conjunto de datos de BigQuery. |
| Lector de objetos de Storage | storage.objects.get permite que la cuenta de servicio acceda a un archivo de Cloud Storage. |
Agente de servicio de AI Platform
Asegúrate de que el agente de servicio de AI Platform del proyecto de la canalización tenga el siguiente rol:
| Rol | Permisos |
|---|---|
| Agente de servicio de Vertex AI |
Este rol concede permisos a los agentes de servicio. Estos permisos incluyen el permiso storage.object.get y los derechos de acceso a las imágenes de contenedor del repositorio de Artifact Registry.
|
Si tu fuente de datos es un conjunto de datos de BigQuery de otro proyecto, asigna los siguientes roles al agente de servicio de AI Platform en el proyecto del conjunto de datos:
| Rol | Permisos |
|---|---|
| Lector de datos de BigQuery | bigquery.tables.get permite a la cuenta de servicio obtener información sobre el conjunto de datos de BigQuery antes de iniciar un trabajo de Dataflow. |
Si tu fuente de datos es un archivo de Cloud Storage de otro proyecto, asigna los siguientes roles al agente de servicio de AI Platform en el proyecto del archivo:
| Lector de objetos de Storage | storage.objects.list permite que la cuenta de servicio obtenga información sobre el archivo de Cloud Storage antes de iniciar una tarea de Dataflow. |
Cuentas de servicio para el flujo de trabajo tabular de previsión
Este flujo de trabajo usa las siguientes cuentas de servicio:
| Cuenta de servicio | Descripción | Entidad de seguridad predeterminada | Nombre predeterminado | Se puede anular |
|---|---|---|---|---|
| Cuenta de servicio de Vertex AI Pipelines | La cuenta de servicio que ejecuta la canalización | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Cuenta de servicio del trabajador de Dataflow | La cuenta de servicio que ejecuta los trabajadores de Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Agente de servicio de AI Platform | La cuenta de servicio que ejecuta los contenedores de entrenamiento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
No |
Puedes cambiar algunas de las cuentas de servicio por la cuenta que quieras. Para obtener más información, consulta Entrenar un modelo con el flujo de trabajo tabular para hacer previsiones.
Cuenta de servicio de Vertex AI Pipelines
Asigna los siguientes roles a la cuenta de servicio de Vertex AI Pipelines en el proyecto del flujo de procesamiento:
| Rol | Permisos |
|---|---|
| Usuario de Vertex AI |
aiplatform.metadataStores.get permite que la cuenta de servicio cree un trabajo de canalización. aiplatform.models.upload permite que la cuenta de servicio suba el modelo.
|
| Editor de datos de BigQuery | bigquery.tables.create permite que la cuenta de servicio cree tablas temporales para Feature Transform Engine antes de iniciar una tarea de Dataflow. La cuenta de servicio necesita este permiso aunque tu fuente de datos no sea un conjunto de datos de BigQuery. Este rol incluye todos los permisos que concede el rol Lector de datos de BigQuery. |
| Usuario de tareas de BigQuery | bigquery.jobs.create permite que la cuenta de servicio ejecute tareas de BigQuery para Feature Transform Engine antes de iniciar una tarea de Dataflow. La cuenta de servicio necesita este permiso aunque tu fuente de datos no sea un conjunto de datos de BigQuery. |
| Usuario de cuenta de servicio |
iam.serviceAccounts.actAs permite que la cuenta de servicio de Vertex AI Pipelines actúe como cuenta de servicio de trabajador de Dataflow durante la evaluación.
|
| Desarrollador de Dataflow | Este rol proporciona acceso a los recursos necesarios para ejecutar tareas de Dataflow. |
Además, asigna los siguientes roles a la cuenta de servicio de Vertex AI Pipelines en función del tipo de fuente de datos:
| Fuente de datos | Rol | Dónde conceder el rol |
|---|---|---|
| Archivo de Cloud Storage | Administrador de Storage | Proyecto al que pertenece el archivo |
| Tabla estándar de BigQuery | Administrador de objetos de Storage | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla. | |
| Vista de BigQuery de una tabla de BigQuery estándar | Administrador de objetos de Storage | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla. | |
| Tabla externa de BigQuery que tiene un archivo de Cloud Storage de origen | Administrador de objetos de Storage | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Lector de objetos de Storage | Proyecto al que pertenece el archivo de origen | |
| Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo de origen de Cloud Storage | Administrador de objetos de Storage | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Lector de objetos de Storage | Proyecto al que pertenece el archivo de origen |
En la siguiente tabla se explican estos roles:
| Lector de datos de BigQuery | bigquery.tables.get proporciona a la cuenta de servicio acceso al conjunto de datos. La cuenta de servicio necesita este acceso antes de iniciar el trabajo de Dataflow en el paso Feature Transform Engine de la canalización. |
| Lector de objetos de Storage | storage.objects.get permite que la cuenta de servicio acceda al archivo de origen de Cloud Storage. |
| Administrador de objetos de Storage | Los permisos storage.objects.get y storage.objects.create permiten que la cuenta de servicio acceda al segmento del directorio raíz del trabajo de la canalización. La cuenta de servicio necesita estos permisos en el proyecto de la canalización, aunque la fuente de datos no sea un archivo de Cloud Storage. Este rol incluye todos los permisos que concede el rol Lector de objetos de Storage. |
| Administrador de Storage | Los permisos de storage.buckets.* permiten que la cuenta de servicio valide el segmento de Cloud Storage en el paso Feature Transform Engine de la canalización. Este rol incluye todos los permisos que concede el rol Administrador de objetos de almacenamiento. |
Si evalúas un modelo, proporciona un conjunto de datos de BigQuery que sirva como destino de los ejemplos predichos. En el proyecto que contiene este conjunto de datos, asigna los siguientes roles a la cuenta de servicio de Vertex AI Pipelines:
| Rol | Permisos |
|---|---|
| Lector de datos de BigQuery | Este rol permite que la cuenta de servicio vea los datos de BigQuery. |
| Usuario de tareas de BigQuery | bigquery.jobs.create permite que la cuenta de servicio cree trabajos de BigQuery. |
Cuenta de servicio del trabajador de Dataflow
Asigna los siguientes roles a la cuenta de servicio del trabajador de Dataflow en el proyecto de la canalización:
| Rol | Permisos |
|---|---|
| Administrador de objetos de Storage | Este rol permite que la cuenta de servicio acceda a los segmentos de Cloud Storage. La cuenta de servicio necesita estos permisos aunque la fuente de datos no sea un archivo de Cloud Storage. |
| Usuario de tareas de BigQuery | bigquery.jobs.create permite que la cuenta de servicio realice el paso Feature Transform Engine de la canalización. La cuenta de servicio necesita este permiso aunque tu fuente de datos no sea un conjunto de datos de BigQuery. |
| Trabajador de Dataflow | La cuenta de servicio necesita todos los permisos que otorga este rol. |
Además, asigna los siguientes roles a la cuenta de servicio de trabajador de Dataflow en función del tipo de fuente de datos:
| Fuente de datos | Rol | Dónde conceder el rol |
|---|---|---|
| Tabla estándar de BigQuery | Editor de datos de BigQuery | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla. | |
| Vista de BigQuery de una tabla de BigQuery estándar | Editor de datos de BigQuery | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla. | |
| Tabla externa de BigQuery que tiene un archivo de Cloud Storage de origen | Editor de datos de BigQuery | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Lector de objetos de Storage | Proyecto al que pertenece el archivo de origen | |
| Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo de origen de Cloud Storage | Editor de datos de BigQuery | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Lector de objetos de Storage | Proyecto al que pertenece el archivo de origen | |
| Archivo de Cloud Storage | Lector de datos de BigQuery | Proyecto que ejecuta el flujo de procesamiento |
En la siguiente tabla se explican estos roles:
| Rol | Permisos |
|---|---|
| Lector de datos de BigQuery | bigquery.tables.get proporciona acceso al conjunto de datos en el paso Feature Transform Engine de la canalización. La cuenta de servicio necesita este permiso aunque tu fuente de datos no sea un conjunto de datos de BigQuery. |
| Editor de datos de BigQuery | Este rol permite que la cuenta de servicio consulte la tabla y cree tablas temporales durante el paso Feature Transform Engine de la canalización. Este rol incluye todos los permisos que concede el rol Lector de datos de BigQuery. |
| Lector de objetos de Storage | storage.objects.get permite que la cuenta de servicio acceda a un archivo de Cloud Storage. |
Agente de servicio de AI Platform
Asegúrate de que el agente de servicio de AI Platform del proyecto de la canalización tenga el siguiente rol:
| Rol | Permisos |
|---|---|
| Agente de servicio de Vertex AI |
Este rol concede permisos a los agentes de servicio. Estos permisos incluyen el permiso storage.object.get y los derechos de acceso a las imágenes de contenedor del repositorio de Artifact Registry.
|
Si evalúas un modelo, proporciona un conjunto de datos de BigQuery que sirva como destino de los ejemplos predichos. En el proyecto que contiene este conjunto de datos, asigna los siguientes roles a la cuenta de servicio de Vertex AI Pipelines:
| Rol | Permisos |
|---|---|
| Editor de datos de BigQuery | Este rol permite que la cuenta de servicio edite datos de BigQuery. |
| Usuario de tareas de BigQuery | bigquery.jobs.create permite que la cuenta de servicio cree trabajos de BigQuery. |
Cuentas de servicio de Tabular Workflow para TabNet, Tabular Workflow para Wide & Deep y Prophet
Estos flujos de trabajo usan las siguientes cuentas de servicio:
| Cuenta de servicio | Descripción | Entidad de seguridad predeterminada | Nombre predeterminado | Se puede anular |
|---|---|---|---|---|
| Cuenta de servicio de Vertex AI Pipelines | La cuenta de servicio que ejecuta la canalización | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Cuenta de servicio del trabajador de Dataflow | La cuenta de servicio que ejecuta los trabajadores de Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Agente de servicio de AI Platform | La cuenta de servicio que ejecuta los contenedores de entrenamiento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
No |
Puedes cambiar algunas de las cuentas de servicio por la cuenta que quieras. Para ver las instrucciones del flujo de trabajo tabular de TabNet, consulta Entrenar un modelo con TabNet. Para obtener instrucciones sobre el flujo de trabajo tabular de Wide & Deep, consulta Entrenar un modelo con Wide & Deep. Para obtener instrucciones sobre Prophet, consulta Previsiones con Prophet.
Cuenta de servicio de Vertex AI Pipelines
Asigna los siguientes roles a la cuenta de servicio de Vertex AI Pipelines en el proyecto del flujo de procesamiento:
| Rol | Permisos |
|---|---|
| Usuario de Vertex AI |
aiplatform.metadataStores.get permite que la cuenta de servicio cree un trabajo de canalización. aiplatform.models.upload permite que la cuenta de servicio suba el modelo.
|
| Editor de datos de BigQuery | bigquery.tables.create permite que la cuenta de servicio cree tablas temporales para Feature Transform Engine antes de iniciar una tarea de Dataflow. La cuenta de servicio necesita este permiso aunque tu fuente de datos no sea un conjunto de datos de BigQuery. Este rol incluye todos los permisos que concede el rol Lector de datos de BigQuery. |
| Usuario de tareas de BigQuery | bigquery.jobs.create permite que la cuenta de servicio ejecute tareas de BigQuery para Feature Transform Engine antes de iniciar una tarea de Dataflow. La cuenta de servicio necesita este permiso aunque tu fuente de datos no sea un conjunto de datos de BigQuery. |
| Usuario de cuenta de servicio |
iam.serviceAccounts.actAs permite que la cuenta de servicio de Vertex AI Pipelines actúe como cuenta de servicio de trabajador de Dataflow durante la evaluación.
|
| Desarrollador de Dataflow | Este rol proporciona acceso a los recursos necesarios para ejecutar tareas de Dataflow. |
Además, asigna los siguientes roles a la cuenta de servicio de Vertex AI Pipelines en función del tipo de fuente de datos:
| Fuente de datos | Rol | Dónde conceder el rol |
|---|---|---|
| Archivo de Cloud Storage | Administrador de Storage | Proyecto al que pertenece el archivo |
| Tabla estándar de BigQuery | Administrador de objetos de Storage | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla. | |
| Vista de BigQuery de una tabla de BigQuery estándar | Administrador de objetos de Storage | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla. | |
| Tabla externa de BigQuery que tiene un archivo de Cloud Storage de origen | Administrador de objetos de Storage | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Lector de objetos de Storage | Proyecto al que pertenece el archivo de origen | |
| Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo de origen de Cloud Storage | Administrador de objetos de Storage | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Lector de objetos de Storage | Proyecto al que pertenece el archivo de origen |
En la siguiente tabla se explican estos roles:
| Lector de datos de BigQuery | bigquery.tables.get proporciona a la cuenta de servicio acceso al conjunto de datos. La cuenta de servicio necesita este acceso antes de iniciar el trabajo de Dataflow en el paso Feature Transform Engine de la canalización. |
| Lector de objetos de Storage | storage.objects.get permite que la cuenta de servicio acceda al archivo de origen de Cloud Storage. |
| Administrador de objetos de Storage | Los permisos storage.objects.get y storage.objects.create permiten que la cuenta de servicio acceda al segmento del directorio raíz del trabajo de la canalización. La cuenta de servicio necesita estos permisos en el proyecto de la canalización, aunque la fuente de datos no sea un archivo de Cloud Storage. Este rol incluye todos los permisos que concede el rol Lector de objetos de Storage. |
| Administrador de Storage | Los permisos de storage.buckets.* permiten que la cuenta de servicio valide el segmento de Cloud Storage en el paso Feature Transform Engine de la canalización. Este rol incluye todos los permisos que concede el rol Administrador de objetos de almacenamiento. |
Cuenta de servicio del trabajador de Dataflow
Asigna los siguientes roles a la cuenta de servicio del trabajador de Dataflow en el proyecto de la canalización:
| Rol | Permisos |
|---|---|
| Administrador de objetos de Storage | Este rol permite que la cuenta de servicio acceda a los segmentos de Cloud Storage. La cuenta de servicio necesita estos permisos aunque la fuente de datos no sea un archivo de Cloud Storage. |
| Usuario de tareas de BigQuery | bigquery.jobs.create permite que la cuenta de servicio realice el paso Feature Transform Engine de la canalización. La cuenta de servicio necesita este permiso aunque tu fuente de datos no sea un conjunto de datos de BigQuery. |
| Trabajador de Dataflow | La cuenta de servicio necesita todos los permisos que otorga este rol. |
Además, asigna los siguientes roles a la cuenta de servicio de trabajador de Dataflow en función del tipo de fuente de datos:
| Fuente de datos | Rol | Dónde conceder el rol |
|---|---|---|
| Tabla estándar de BigQuery | Editor de datos de BigQuery | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla. | |
| Vista de BigQuery de una tabla de BigQuery estándar | Editor de datos de BigQuery | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla. | |
| Tabla externa de BigQuery que tiene un archivo de Cloud Storage de origen | Editor de datos de BigQuery | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Lector de objetos de Storage | Proyecto al que pertenece el archivo de origen | |
| Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo de origen de Cloud Storage | Editor de datos de BigQuery | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Lector de objetos de Storage | Proyecto al que pertenece el archivo de origen | |
| Archivo de Cloud Storage | Lector de datos de BigQuery | Proyecto que ejecuta el flujo de procesamiento |
En la siguiente tabla se explican estos roles:
| Rol | Permisos |
|---|---|
| Lector de datos de BigQuery | bigquery.tables.get proporciona acceso al conjunto de datos en el paso Feature Transform Engine de la canalización. La cuenta de servicio necesita este permiso aunque tu fuente de datos no sea un conjunto de datos de BigQuery. |
| Editor de datos de BigQuery | Este rol permite que la cuenta de servicio consulte la tabla y cree tablas temporales durante el paso Feature Transform Engine de la canalización. Este rol incluye todos los permisos que concede el rol Lector de datos de BigQuery. |
| Lector de objetos de Storage | storage.objects.get permite que la cuenta de servicio acceda a un archivo de Cloud Storage. |
Agente de servicio de AI Platform
Asegúrate de que el agente de servicio de AI Platform del proyecto de la canalización tenga el siguiente rol:
| Rol | Permisos |
|---|---|
| Agente de servicio de Vertex AI |
Este rol concede permisos a los agentes de servicio. Estos permisos incluyen el permiso storage.object.get y los derechos de acceso a las imágenes de contenedor del repositorio de Artifact Registry.
|
Cuentas de servicio de ARIMA+
Este flujo de trabajo usa las siguientes cuentas de servicio:
| Cuenta de servicio | Descripción | Entidad de seguridad predeterminada | Nombre predeterminado | Se puede anular |
|---|---|---|---|---|
| Cuenta de servicio de Vertex AI Pipelines | La cuenta de servicio que ejecuta la canalización | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sí |
| Agente de servicio de AI Platform | La cuenta de servicio que ejecuta los contenedores de entrenamiento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
No |
Puedes cambiar la cuenta de servicio de Vertex AI Pipelines por la que quieras. Consulta más información en el artículo Previsiones con ARIMA+.
Cuenta de servicio de Vertex AI Pipelines
Asigna los siguientes roles a la cuenta de servicio de Vertex AI Pipelines en el proyecto del flujo de procesamiento:
| Rol | Permisos |
|---|---|
| Usuario de Vertex AI |
aiplatform.metadataStores.get permite que la cuenta de servicio cree un trabajo de canalización. aiplatform.models.upload permite que la cuenta de servicio suba el modelo.
|
| Editor de datos de BigQuery | bigquery.tables.create permite que la cuenta de servicio cree tablas temporales para Feature Transform Engine antes de iniciar una tarea de Dataflow. La cuenta de servicio necesita este permiso aunque tu fuente de datos no sea un conjunto de datos de BigQuery. Este rol incluye todos los permisos que concede el rol Lector de datos de BigQuery. |
| Usuario de tareas de BigQuery | bigquery.jobs.create permite que la cuenta de servicio ejecute tareas de BigQuery para Feature Transform Engine antes de iniciar una tarea de Dataflow. La cuenta de servicio necesita este permiso aunque tu fuente de datos no sea un conjunto de datos de BigQuery. |
| Usuario de cuenta de servicio |
iam.serviceAccounts.actAs permite que la cuenta de servicio de Vertex AI Pipelines actúe como cuenta de servicio de trabajador de Dataflow durante la evaluación.
|
| Desarrollador de Dataflow | Este rol proporciona acceso a los recursos necesarios para ejecutar tareas de Dataflow. |
Además, asigna los siguientes roles a la cuenta de servicio de Vertex AI Pipelines en función del tipo de fuente de datos:
| Fuente de datos | Rol | Dónde conceder el rol |
|---|---|---|
| Archivo de Cloud Storage | Administrador de Storage | Proyecto al que pertenece el archivo |
| Tabla estándar de BigQuery | Administrador de objetos de Storage | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla. | |
| Vista de BigQuery de una tabla de BigQuery estándar | Administrador de objetos de Storage | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla. | |
| Tabla externa de BigQuery que tiene un archivo de Cloud Storage de origen | Administrador de objetos de Storage | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Lector de objetos de Storage | Proyecto al que pertenece el archivo de origen | |
| Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo de origen de Cloud Storage | Administrador de objetos de Storage | Proyecto que ejecuta el flujo de procesamiento |
| Lector de datos de BigQuery | Proyecto al que pertenece la vista | |
| Lector de datos de BigQuery | Proyecto al que pertenece la tabla externa | |
| Lector de objetos de Storage | Proyecto al que pertenece el archivo de origen |
En la siguiente tabla se explican estos roles:
| Lector de datos de BigQuery | bigquery.tables.get proporciona a la cuenta de servicio acceso al conjunto de datos. La cuenta de servicio necesita este acceso antes de iniciar el trabajo de Dataflow en el paso Feature Transform Engine de la canalización. |
| Lector de objetos de Storage | storage.objects.get permite que la cuenta de servicio acceda al archivo de origen de Cloud Storage. |
| Administrador de objetos de Storage | Los permisos storage.objects.get y storage.objects.create permiten que la cuenta de servicio acceda al segmento del directorio raíz del trabajo de la canalización. La cuenta de servicio necesita estos permisos en el proyecto de la canalización, aunque la fuente de datos no sea un archivo de Cloud Storage. Este rol incluye todos los permisos que concede el rol Lector de objetos de Storage. |
| Administrador de Storage | Los permisos de storage.buckets.* permiten que la cuenta de servicio valide el segmento de Cloud Storage en el paso Feature Transform Engine de la canalización. Este rol incluye todos los permisos que concede el rol Administrador de objetos de almacenamiento. |
Agente de servicio de AI Platform
Asegúrate de que el agente de servicio de AI Platform del proyecto de la canalización tenga el siguiente rol:
| Rol | Permisos |
|---|---|
| Agente de servicio de Vertex AI |
Este rol concede permisos a los agentes de servicio. Estos permisos incluyen el permiso storage.object.get y los derechos de acceso a las imágenes de contenedor del repositorio de Artifact Registry.
|