Cuentas de servicio para flujos de trabajo tabulares

En esta página, se explican las cuentas de servicio para los siguientes flujos de trabajo tabulares:

Cuentas de servicio para el flujo de trabajo tabular para AutoML de extremo a extremo

En este flujo de trabajo, se usan las siguientes cuentas de servicio:

Cuenta de servicio Descripción Principal predeterminada Nombre predeterminado Se puede anular
Cuenta de servicio para Vertex AI Pipelines La cuenta de servicio que ejecuta la canalización PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
Cuenta de servicio para el trabajador de Dataflow La cuenta de servicio que ejecuta los trabajadores de Dataflow PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
Agente de servicio de AI Platform La cuenta de servicio que ejecuta los contenedores de entrenamiento. service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent No

Algunas de las cuentas de servicio se pueden cambiar a una cuenta de tu elección. Consulta Entrena un modelo con AutoML de extremo a extremo para obtener instrucciones específicas de la consola de Google Cloud o la API.

Cuenta de servicio para Vertex AI Pipelines

Debes otorgar los siguientes roles a la cuenta de servicio para Vertex AI Pipelines en el proyecto de canalización:

Rol Permisos
Usuario de Vertex AI aiplatform.metadataStores.get permite que la cuenta de servicio cree un trabajo de canalización. aiplatform.models.upload permite que la cuenta de servicio suba el modelo.
Administrador de objetos de almacenamiento Los permisos storage.objects.get y storage.objects.create del administrador de objetos de almacenamiento permiten que la cuenta de servicio acceda al bucket para el directorio raíz del trabajo de canalización. La cuenta de servicio necesita estos permisos incluso si no usas una fuente de datos de Cloud Storage.
Desarrollador de Dataflow dataflow.jobs.create permite que la cuenta de servicio cree trabajos de Dataflow durante la evaluación.
Service Account User iam.serviceAccounts.actAs permite que la cuenta de servicio de Vertex AI Pipelines actúe como la cuenta de servicio de trabajador de Dataflow durante la evaluación.

Cuenta de servicio para el trabajador de Dataflow

Debes otorgar los siguientes roles a la cuenta de servicio del trabajador de Dataflow en el proyecto de canalización:

Rol Permisos
Trabajador de Dataflow Este rol permite que la cuenta de servicio acceda a los recursos necesarios para ejecutar trabajos de Dataflow.
Administrador de objetos de almacenamiento Este rol permite que la cuenta de servicio acceda a los buckets de Cloud Storage. La cuenta de servicio necesita estos permisos incluso si no usas una fuente de datos de Cloud Storage. Este rol incluye todos los permisos otorgados por el rol Visualizador de objetos de almacenamiento.

Además, debes otorgar los siguientes roles a la cuenta de servicio de trabajador de Dataflow según el tipo de fuente de datos:

Fuente de datos Rol Dónde otorgar el rol
Tabla estándar de BigQuery Editor de datos de BigQuery Proyecto que ejecuta la canalización
Usuario de trabajo de BigQuery Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la tabla
Vista de BigQuery de una tabla estándar de BigQuery Editor de datos de BigQuery Proyecto que ejecuta la canalización
Usuario de trabajo de BigQuery Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la vista
Lector de datos de BigQuery Proyecto al que pertenece la tabla
Tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage Editor de datos de BigQuery Proyecto que ejecuta la canalización
Usuario de trabajo de BigQuery Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la tabla externa
Visualizador de objetos de almacenamiento Proyecto al que pertenece el archivo fuente
Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage Editor de datos de BigQuery Proyecto que ejecuta la canalización
Usuario de trabajo de BigQuery Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la vista
Lector de datos de BigQuery Proyecto al que pertenece la tabla externa
Visualizador de objetos de almacenamiento Proyecto al que pertenece el archivo fuente
Archivo de Cloud Storage Visualizador de objetos de almacenamiento Proyecto al que pertenece el archivo

En la siguiente tabla, se proporciona una explicación de estos roles:

Rol Permisos
Editor de datos de BigQuery Los permisos bigquery.jobs.get y bigquery.jobs.create permiten que la cuenta de servicio use los conjuntos de datos de BigQuery. bigquery.jobs.create permite que la cuenta de servicio cree conjuntos de datos temporales de BigQuery durante la generación de ejemplos y estadísticas. Este rol incluye todos los permisos otorgados por el rol Visualizador de datos de BigQuery.
Usuario de trabajo de BigQuery bigquery.jobs.create permite que la cuenta de servicio use un conjunto de datos de BigQuery.
Lector de datos de BigQuery Este rol proporciona a la cuenta de servicio acceso al conjunto de datos de BigQuery.
Visualizador de objetos de almacenamiento storage.objects.get permite que la cuenta de servicio acceda a un archivo de Cloud Storage.

Agente de servicio de AI Platform

Debes asegurarte de que se otorgue el siguiente rol al agente de servicio de AI Platform en el proyecto de canalización:

Rol Permisos
Agente de servicio de Vertex AI Este rol otorga permisos a los agentes de servicio. Estos permisos incluyen el permiso storage.object.get y los derechos de acceso a las imágenes de contenedor en el repositorio de Artifact Registry.

Si tu fuente de datos es un conjunto de datos de BigQuery de otro proyecto, debes otorgar los siguientes roles al agente de servicio de AI Platform en el proyecto de conjunto de datos:

Rol Permisos
Lector de datos de BigQuery bigquery.tables.get permite que la cuenta de servicio obtenga información sobre el conjunto de datos de BigQuery antes de iniciar un trabajo de Dataflow.

Si la fuente de datos es un archivo de Cloud Storage de otro proyecto, debes otorgar los siguientes roles al agente de servicio de AI Platform en el proyecto de archivo:

Visualizador de objetos de almacenamiento storage.objects.list permite que la cuenta de servicio obtenga información sobre el archivo de Cloud Storage antes de iniciar un trabajo de Dataflow.

Cuentas de servicio para el flujo de trabajo tabular para previsión

En este flujo de trabajo, se usan las siguientes cuentas de servicio:

Cuenta de servicio Descripción Principal predeterminada Nombre predeterminado Se puede anular
Cuenta de servicio para Vertex AI Pipelines La cuenta de servicio que ejecuta la canalización PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
Cuenta de servicio para el trabajador de Dataflow La cuenta de servicio que ejecuta los trabajadores de Dataflow PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
Agente de servicio de AI Platform La cuenta de servicio que ejecuta los contenedores de entrenamiento. service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent No

Algunas de las cuentas de servicio se pueden cambiar a una cuenta de tu elección. Si deseas obtener más información, consulta Entrena un modelo con el flujo de trabajo tabular para previsión.

Cuenta de servicio para Vertex AI Pipelines

Debes otorgar los siguientes roles a la cuenta de servicio para Vertex AI Pipelines en el proyecto de canalización:

Rol Permisos
Usuario de Vertex AI aiplatform.metadataStores.get permite que la cuenta de servicio cree un trabajo de canalización. aiplatform.models.upload permite que la cuenta de servicio suba el modelo.
Editor de datos de BigQuery bigquery.tables.create permite que la cuenta de servicio cree tablas temporales para Feature Transform Engine antes de iniciar un trabajo de Dataflow. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery. Este rol incluye todos los permisos otorgados por el rol Visualizador de datos de BigQuery.
Usuario de trabajo de BigQuery bigquery.jobs.create permite que la cuenta de servicio ejecute trabajos de BigQuery para Feature Transform Engine antes de iniciar un trabajo de Dataflow. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery.
Service Account User iam.serviceAccounts.actAs permite que la cuenta de servicio de Vertex AI Pipelines actúe como la cuenta de servicio de trabajador de Dataflow durante la evaluación.
Desarrollador de Dataflow Este rol proporciona acceso a los recursos necesarios para ejecutar trabajos de Dataflow.

Además, debes otorgar los siguientes roles a la cuenta de servicio de Vertex AI Pipelines según el tipo de fuente de datos:

Fuente de datos Rol Dónde otorgar el rol
Archivo de Cloud Storage Administrador de almacenamiento Proyecto al que pertenece el archivo
Tabla estándar de BigQuery Administrador de objetos de almacenamiento Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la tabla
Vista de BigQuery de una tabla estándar de BigQuery Administrador de objetos de almacenamiento Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la vista
Lector de datos de BigQuery Proyecto al que pertenece la tabla
Tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage Administrador de objetos de almacenamiento Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la tabla externa
Visualizador de objetos de almacenamiento Proyecto al que pertenece el archivo fuente
Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage Administrador de objetos de almacenamiento Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la vista
Lector de datos de BigQuery Proyecto al que pertenece la tabla externa
Visualizador de objetos de almacenamiento Proyecto al que pertenece el archivo fuente

En la siguiente tabla, se proporciona una explicación de estos roles:

Lector de datos de BigQuery bigquery.tables.get proporciona a la cuenta de servicio acceso al conjunto de datos. La cuenta de servicio necesita este acceso antes del lanzamiento del trabajo de Dataflow en el paso de Feature Transform Engine de la canalización.
Visualizador de objetos de almacenamiento storage.objects.get permite que la cuenta de servicio acceda al archivo de origen de Cloud Storage.
Administrador de objetos de almacenamiento Los permisos storage.objects.get y storage.objects.create permiten que la cuenta de servicio acceda al bucket para el directorio raíz del trabajo de canalización. La cuenta de servicio necesita estos permisos en el proyecto de canalización, incluso si tu fuente de datos no es un archivo de Cloud Storage. Este rol incluye todos los permisos otorgados por el rol Visualizador de objetos de almacenamiento.
Administrador de almacenamiento Los permisos storage.buckets.* permiten que la cuenta de servicio valide el bucket de Cloud Storage en el paso de Feature Transform Engine de la canalización. Este rol incluye todos los permisos otorgados por el rol Administrador de objetos de almacenamiento.

Si realizas una evaluación de modelos, debes proporcionar un conjunto de datos de BigQuery que funcione como destino para los ejemplos previstos. En el proyecto que contiene este conjunto de datos, debes otorgar los siguientes roles a la cuenta de servicio de Vertex AI Pipelines:

Rol Permisos
Lector de datos de BigQuery Este rol permite que la cuenta de servicio vea los datos de BigQuery.
Usuario de trabajo de BigQuery bigquery.jobs.create permite que la cuenta de servicio cree trabajos de BigQuery.

Cuenta de servicio para el trabajador de Dataflow

Debes otorgar los siguientes roles a la cuenta de servicio del trabajador de Dataflow en el proyecto de canalización:

Rol Permisos
Administrador de objetos de almacenamiento Este rol permite que la cuenta de servicio acceda a los buckets de Cloud Storage. La cuenta de servicio necesita estos permisos incluso si la fuente de datos no es un archivo de Cloud Storage.
Usuario de trabajo de BigQuery bigquery.jobs.create permite que la cuenta de servicio realice el paso de Feature Transform Engine de la canalización. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery.
Trabajador de Dataflow La cuenta de servicio necesita todos los permisos que otorga este rol.

Además, debes otorgar los siguientes roles a la cuenta de servicio de trabajador de Dataflow según el tipo de fuente de datos:

Fuente de datos Rol Dónde otorgar el rol
Tabla estándar de BigQuery Editor de datos de BigQuery Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la tabla
Vista de BigQuery de una tabla estándar de BigQuery Editor de datos de BigQuery Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la vista
Lector de datos de BigQuery Proyecto al que pertenece la tabla
Tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage Editor de datos de BigQuery Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la tabla externa
Visualizador de objetos de almacenamiento Proyecto al que pertenece el archivo fuente
Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage Editor de datos de BigQuery Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la vista
Lector de datos de BigQuery Proyecto al que pertenece la tabla externa
Visualizador de objetos de almacenamiento Proyecto al que pertenece el archivo fuente
Archivo de Cloud Storage Lector de datos de BigQuery Proyecto que ejecuta la canalización

En la siguiente tabla, se proporciona una explicación de estos roles:

Rol Permisos
Lector de datos de BigQuery bigquery.tables.get proporciona acceso al conjunto de datos en el paso de Feature Transform Engine de la canalización. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery.
Editor de datos de BigQuery Este rol permite que la cuenta de servicio consulte la tabla y cree tablas temporales durante el paso de Feature Transform Engine de la canalización. Este rol incluye todos los permisos otorgados por el rol Visualizador de datos de BigQuery.
Visualizador de objetos de almacenamiento storage.objects.get permite que la cuenta de servicio acceda a un archivo de Cloud Storage.

Agente de servicio de AI Platform

Debes asegurarte de que se otorgue el siguiente rol al agente de servicio de AI Platform en el proyecto de canalización:

Rol Permisos
Agente de servicio de Vertex AI Este rol otorga permisos a los agentes de servicio. Estos permisos incluyen el permiso storage.object.get y los derechos de acceso a las imágenes de contenedor en el repositorio de Artifact Registry.

Si realizas una evaluación de modelos, debes proporcionar un conjunto de datos de BigQuery que funcione como destino para los ejemplos previstos. En el proyecto que contiene este conjunto de datos, debes otorgar los siguientes roles a la cuenta de servicio de Vertex AI Pipelines:

Rol Permisos
Editor de datos de BigQuery Esta función permite que la cuenta de servicio edite los datos de BigQuery.
Usuario de trabajo de BigQuery bigquery.jobs.create permite que la cuenta de servicio cree trabajos de BigQuery.

Cuentas de servicio para el flujo de trabajo tabular para TabNet y el flujo de trabajo tabular para el algoritmo de amplitud y profundidad, y Prophet

Estos flujos de trabajo usan las siguientes cuentas de servicio:

Cuenta de servicio Descripción Principal predeterminada Nombre predeterminado Se puede anular
Cuenta de servicio para Vertex AI Pipelines La cuenta de servicio que ejecuta la canalización PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
Cuenta de servicio para el trabajador de Dataflow La cuenta de servicio que ejecuta los trabajadores de Dataflow PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
Agente de servicio de AI Platform La cuenta de servicio que ejecuta los contenedores de entrenamiento. service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent No

Algunas de las cuentas de servicio se pueden cambiar a una cuenta de tu elección. Para obtener información sobre el flujo de trabajo tabular para instrucciones de TabNet, consulta Entrena un modelo con TabNet. En el caso de un flujo de trabajo tabular para obtener instrucciones amplias y profundas, consulta Entrena un modelo con algoritmo de amplitud y profundidad. Para obtener instrucciones de Prophet, consulta Previsión con Prophet.

Cuenta de servicio para Vertex AI Pipelines

Debes otorgar los siguientes roles a la cuenta de servicio para Vertex AI Pipelines en el proyecto de canalización:

Rol Permisos
Usuario de Vertex AI aiplatform.metadataStores.get permite que la cuenta de servicio cree un trabajo de canalización. aiplatform.models.upload permite que la cuenta de servicio suba el modelo.
Editor de datos de BigQuery bigquery.tables.create permite que la cuenta de servicio cree tablas temporales para Feature Transform Engine antes de iniciar un trabajo de Dataflow. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery. Este rol incluye todos los permisos otorgados por el rol Visualizador de datos de BigQuery.
Usuario de trabajo de BigQuery bigquery.jobs.create permite que la cuenta de servicio ejecute trabajos de BigQuery para Feature Transform Engine antes de iniciar un trabajo de Dataflow. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery.
Service Account User iam.serviceAccounts.actAs permite que la cuenta de servicio de Vertex AI Pipelines actúe como la cuenta de servicio de trabajador de Dataflow durante la evaluación.
Desarrollador de Dataflow Este rol proporciona acceso a los recursos necesarios para ejecutar trabajos de Dataflow.

Además, debes otorgar los siguientes roles a la cuenta de servicio de Vertex AI Pipelines según el tipo de fuente de datos:

Fuente de datos Rol Dónde otorgar el rol
Archivo de Cloud Storage Administrador de almacenamiento Proyecto al que pertenece el archivo
Tabla estándar de BigQuery Administrador de objetos de almacenamiento Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la tabla
Vista de BigQuery de una tabla estándar de BigQuery Administrador de objetos de almacenamiento Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la vista
Lector de datos de BigQuery Proyecto al que pertenece la tabla
Tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage Administrador de objetos de almacenamiento Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la tabla externa
Visualizador de objetos de almacenamiento Proyecto al que pertenece el archivo fuente
Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage Administrador de objetos de almacenamiento Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la vista
Lector de datos de BigQuery Proyecto al que pertenece la tabla externa
Visualizador de objetos de almacenamiento Proyecto al que pertenece el archivo fuente

En la siguiente tabla, se proporciona una explicación de estos roles:

Lector de datos de BigQuery bigquery.tables.get proporciona a la cuenta de servicio acceso al conjunto de datos. La cuenta de servicio necesita este acceso antes del lanzamiento del trabajo de Dataflow en el paso de Feature Transform Engine de la canalización.
Visualizador de objetos de almacenamiento storage.objects.get permite que la cuenta de servicio acceda al archivo de origen de Cloud Storage.
Administrador de objetos de almacenamiento Los permisos storage.objects.get y storage.objects.create permiten que la cuenta de servicio acceda al bucket para el directorio raíz del trabajo de canalización. La cuenta de servicio necesita estos permisos en el proyecto de canalización, incluso si tu fuente de datos no es un archivo de Cloud Storage. Este rol incluye todos los permisos otorgados por el rol Visualizador de objetos de almacenamiento.
Administrador de almacenamiento Los permisos storage.buckets.* permiten que la cuenta de servicio valide el bucket de Cloud Storage en el paso de Feature Transform Engine de la canalización. Este rol incluye todos los permisos otorgados por el rol Administrador de objetos de almacenamiento.

Cuenta de servicio para el trabajador de Dataflow

Debes otorgar los siguientes roles a la cuenta de servicio del trabajador de Dataflow en el proyecto de canalización:

Rol Permisos
Administrador de objetos de almacenamiento Este rol permite que la cuenta de servicio acceda a los buckets de Cloud Storage. La cuenta de servicio necesita estos permisos incluso si la fuente de datos no es un archivo de Cloud Storage.
Usuario de trabajo de BigQuery bigquery.jobs.create permite que la cuenta de servicio realice el paso de Feature Transform Engine de la canalización. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery.
Trabajador de Dataflow La cuenta de servicio necesita todos los permisos que otorga este rol.

Además, debes otorgar los siguientes roles a la cuenta de servicio de trabajador de Dataflow según el tipo de fuente de datos:

Fuente de datos Rol Dónde otorgar el rol
Tabla estándar de BigQuery Editor de datos de BigQuery Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la tabla
Vista de BigQuery de una tabla estándar de BigQuery Editor de datos de BigQuery Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la vista
Lector de datos de BigQuery Proyecto al que pertenece la tabla
Tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage Editor de datos de BigQuery Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la tabla externa
Visualizador de objetos de almacenamiento Proyecto al que pertenece el archivo fuente
Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage Editor de datos de BigQuery Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la vista
Lector de datos de BigQuery Proyecto al que pertenece la tabla externa
Visualizador de objetos de almacenamiento Proyecto al que pertenece el archivo fuente
Archivo de Cloud Storage Lector de datos de BigQuery Proyecto que ejecuta la canalización

En la siguiente tabla, se proporciona una explicación de estos roles:

Rol Permisos
Lector de datos de BigQuery bigquery.tables.get proporciona acceso al conjunto de datos en el paso de Feature Transform Engine de la canalización. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery.
Editor de datos de BigQuery Este rol permite que la cuenta de servicio consulte la tabla y cree tablas temporales durante el paso de Feature Transform Engine de la canalización. Este rol incluye todos los permisos otorgados por el rol Visualizador de datos de BigQuery.
Visualizador de objetos de almacenamiento storage.objects.get permite que la cuenta de servicio acceda a un archivo de Cloud Storage.

Agente de servicio de AI Platform

Debes asegurarte de que se otorgue el siguiente rol al agente de servicio de AI Platform en el proyecto de canalización:

Rol Permisos
Agente de servicio de Vertex AI Este rol otorga permisos a los agentes de servicio. Estos permisos incluyen el permiso storage.object.get y los derechos de acceso a las imágenes de contenedor en el repositorio de Artifact Registry.

Cuentas de servicio para ARIMA+

En este flujo de trabajo, se usan las siguientes cuentas de servicio:

Cuenta de servicio Descripción Principal predeterminada Nombre predeterminado Se puede anular
Cuenta de servicio para Vertex AI Pipelines La cuenta de servicio que ejecuta la canalización PROJECT_NUMBER-compute@developer.gserviceaccount.com Compute Engine default service account
Agente de servicio de AI Platform La cuenta de servicio que ejecuta los contenedores de entrenamiento. service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com AI Platform Service Agent No

La cuenta de servicio de Vertex AI Pipelines se puede cambiar a una cuenta de tu elección. Consulta Previsión con ARIMA+ para obtener más información.

Cuenta de servicio para Vertex AI Pipelines

Debes otorgar los siguientes roles a la cuenta de servicio para Vertex AI Pipelines en el proyecto de canalización:

Rol Permisos
Usuario de Vertex AI aiplatform.metadataStores.get permite que la cuenta de servicio cree un trabajo de canalización. aiplatform.models.upload permite que la cuenta de servicio suba el modelo.
Editor de datos de BigQuery bigquery.tables.create permite que la cuenta de servicio cree tablas temporales para Feature Transform Engine antes de iniciar un trabajo de Dataflow. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery. Este rol incluye todos los permisos otorgados por el rol Visualizador de datos de BigQuery.
Usuario de trabajo de BigQuery bigquery.jobs.create permite que la cuenta de servicio ejecute trabajos de BigQuery para Feature Transform Engine antes de iniciar un trabajo de Dataflow. La cuenta de servicio necesita este permiso incluso si la fuente de datos no es un conjunto de datos de BigQuery.
Service Account User iam.serviceAccounts.actAs permite que la cuenta de servicio de Vertex AI Pipelines actúe como la cuenta de servicio de trabajador de Dataflow durante la evaluación.
Desarrollador de Dataflow Este rol proporciona acceso a los recursos necesarios para ejecutar trabajos de Dataflow.

Además, debes otorgar los siguientes roles a la cuenta de servicio de Vertex AI Pipelines según el tipo de fuente de datos:

Fuente de datos Rol Dónde otorgar el rol
Archivo de Cloud Storage Administrador de almacenamiento Proyecto al que pertenece el archivo
Tabla estándar de BigQuery Administrador de objetos de almacenamiento Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la tabla
Vista de BigQuery de una tabla estándar de BigQuery Administrador de objetos de almacenamiento Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la vista
Lector de datos de BigQuery Proyecto al que pertenece la tabla
Tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage Administrador de objetos de almacenamiento Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la tabla externa
Visualizador de objetos de almacenamiento Proyecto al que pertenece el archivo fuente
Vista de BigQuery de una tabla externa de BigQuery que tiene un archivo fuente de Cloud Storage Administrador de objetos de almacenamiento Proyecto que ejecuta la canalización
Lector de datos de BigQuery Proyecto al que pertenece la vista
Lector de datos de BigQuery Proyecto al que pertenece la tabla externa
Visualizador de objetos de almacenamiento Proyecto al que pertenece el archivo fuente

En la siguiente tabla, se proporciona una explicación de estos roles:

Lector de datos de BigQuery bigquery.tables.get proporciona a la cuenta de servicio acceso al conjunto de datos. La cuenta de servicio necesita este acceso antes del lanzamiento del trabajo de Dataflow en el paso de Feature Transform Engine de la canalización.
Visualizador de objetos de almacenamiento storage.objects.get permite que la cuenta de servicio acceda al archivo de origen de Cloud Storage.
Administrador de objetos de almacenamiento Los permisos storage.objects.get y storage.objects.create permiten que la cuenta de servicio acceda al bucket para el directorio raíz del trabajo de canalización. La cuenta de servicio necesita estos permisos en el proyecto de canalización, incluso si tu fuente de datos no es un archivo de Cloud Storage. Este rol incluye todos los permisos otorgados por el rol Visualizador de objetos de almacenamiento.
Administrador de almacenamiento Los permisos storage.buckets.* permiten que la cuenta de servicio valide el bucket de Cloud Storage en el paso de Feature Transform Engine de la canalización. Este rol incluye todos los permisos otorgados por el rol Administrador de objetos de almacenamiento.

Agente de servicio de AI Platform

Debes asegurarte de que se otorgue el siguiente rol al agente de servicio de AI Platform en el proyecto de canalización:

Rol Permisos
Agente de servicio de Vertex AI Este rol otorga permisos a los agentes de servicio. Estos permisos incluyen el permiso storage.object.get y los derechos de acceso a las imágenes de contenedor en el repositorio de Artifact Registry.