Nesta página, explicamos as contas de serviço para os seguintes fluxos de trabalho tabulares:
- Fluxo de trabalho tabular para o AutoML de ponta a ponta
- Fluxo de trabalho tabular para previsão
- Fluxo de trabalho tabular para TabNet
- Fluxo de trabalho tabular para amplo e profundo
- Prophet
- ARIMA+
Contas de serviço do fluxo de trabalho tabular para o AutoML de ponta a ponta
Esse fluxo de trabalho usa as seguintes contas de serviço:
| Conta de serviço | Descrição | Principal padrão | Nome padrão | Pode ser modificada |
|---|---|---|---|---|
| Conta de serviço para Vertex AI Pipelines | A conta de serviço que executa o pipeline | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Conta de serviço para o worker do Dataflow | A conta de serviço que executa os workers do Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Agente de serviço do AI Platform | A conta de serviço que executa os contêineres de treinamento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Não |
Algumas das contas de serviço podem ser alteradas para uma conta de sua escolha. Consulte Treinar um modelo com o AutoML completo para receber instruções específicas do Console do Google Cloud ou da API.
Conta de serviço do Vertex AI Pipelines
É preciso conceder os seguintes papéis à conta de serviço do Vertex AI Pipelines no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Usuário da Vertex AI |
aiplatform.metadataStores.get permite que a conta de serviço crie um job de pipeline. aiplatform.models.upload permite que a conta de serviço faça upload do modelo.
|
| Administrador de objetos do Storage | As permissões storage.objects.get e storage.objects.create do administrador de objetos do Storage permitem que a conta de serviço acesse o bucket do diretório raiz do job do pipeline. A conta de serviço precisa dessas permissões mesmo que você não esteja usando uma fonte de dados do Cloud Storage. |
| Desenvolvedor do Dataflow | dataflow.jobs.create permite que a conta de serviço crie jobs do Dataflow durante a avaliação. |
| Usuário da conta de serviço |
iam.serviceAccounts.actAs permite que a conta de serviço do Vertex AI Pipelines atue como a conta de serviço do worker do Dataflow durante a avaliação.
|
Conta de serviço para o worker do Dataflow
Você precisa conceder os seguintes papéis à conta de serviço do worker do Dataflow no projeto de pipeline:
| Papel | Permissões |
|---|---|
| Worker do Dataflow | Esse papel permite que a conta de serviço acesse os recursos necessários para executar jobs do Dataflow. |
| Administrador de objetos do Storage | Esse papel permite que a conta de serviço acesse os buckets do Cloud Storage. A conta de serviço precisa dessas permissões mesmo que você não esteja usando uma fonte de dados do Cloud Storage. Esse papel inclui todas as permissões concedidas pelo papel Leitor de objetos do Storage. |
Você também precisa conceder os seguintes papéis à conta de serviço do worker do Dataflow com base no seu tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel |
|---|---|---|
| Tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Usuário de jobs do BigQuery | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| A visualização do BigQuery de uma tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Usuário de jobs do BigQuery | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Tabela externa do BigQuery, que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Usuário de jobs do BigQuery | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| A visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Usuário de jobs do BigQuery | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto a que a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Arquivo do Cloud Storage | Leitor de objetos do Storage | Projeto a que o arquivo pertence |
A tabela a seguir fornece uma explicação sobre esses papéis:
| Papel | Permissões |
|---|---|
| Editor de dados do BigQuery | Com as permissões bigquery.jobs.get e bigquery.jobs.create, a conta de serviço pode usar conjuntos de dados do BigQuery. bigquery.jobs.create permite que a conta de serviço crie conjuntos de dados temporários do BigQuery durante a estatística e a geração de exemplos. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço use um conjunto de dados do BigQuery. |
| Visualizador de dados do BigQuery | Esse papel fornece à conta de serviço acesso ao conjunto de dados do BigQuery. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse um arquivo do Cloud Storage. |
Agente de serviço do AI Platform
Verifique se o papel a seguir foi concedido ao agente de serviço do AI Platform no projeto de pipeline:
| Papel | Permissões |
|---|---|
| Agente de serviço da Vertex AI |
Esse papel concede permissões para agentes de serviço. Essas permissões incluem a permissão storage.object.get e os direitos de acesso a imagens de contêiner no repositório do Artifact Registry.
|
Se a fonte de dados for um conjunto de dados do BigQuery de outro projeto, conceda os seguintes papéis ao agente de serviço do AI Platform no projeto do conjunto de dados:
| Papel | Permissões |
|---|---|
| Visualizador de dados do BigQuery | bigquery.tables.get permite que a conta de serviço receba informações sobre o conjunto de dados do BigQuery antes de iniciar um job do Dataflow. |
Se a fonte de dados for um arquivo do Cloud Storage de outro projeto, conceda os seguintes papéis ao agente de serviço do AI Platform no projeto de arquivo:
| Leitor de objetos do Storage | storage.objects.list permite que a conta de serviço receba informações sobre o arquivo do Cloud Storage antes de iniciar um job do Dataflow. |
Contas de serviço para o Fluxo de trabalho tabular para previsão
Esse fluxo de trabalho usa as seguintes contas de serviço:
| Conta de serviço | Descrição | Principal padrão | Nome padrão | Pode ser modificada |
|---|---|---|---|---|
| Conta de serviço para Vertex AI Pipelines | A conta de serviço que executa o pipeline | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Conta de serviço para o worker do Dataflow | A conta de serviço que executa os workers do Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Agente de serviço do AI Platform | A conta de serviço que executa os contêineres de treinamento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Não |
Algumas das contas de serviço podem ser alteradas para uma conta de sua escolha. Para saber mais, consulte Treinar um modelo com fluxo de trabalho tabular para previsão.
Conta de serviço do Vertex AI Pipelines
É preciso conceder os seguintes papéis à conta de serviço do Vertex AI Pipelines no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Usuário da Vertex AI |
aiplatform.metadataStores.get permite que a conta de serviço crie um job de pipeline. aiplatform.models.upload permite que a conta de serviço faça upload do modelo.
|
| Editor de dados do BigQuery | bigquery.tables.create permite que a conta de serviço crie tabelas temporárias para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que sua fonte de dados não seja um conjunto de dados do BigQuery. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço execute jobs do BigQuery para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que sua fonte de dados não seja um conjunto de dados do BigQuery. |
| Usuário da conta de serviço |
iam.serviceAccounts.actAs permite que a conta de serviço do Vertex AI Pipelines atue como a conta de serviço do worker do Dataflow durante a avaliação.
|
| Desenvolvedor do Dataflow | Esse papel fornece acesso aos recursos necessários para executar jobs do Dataflow. |
Além disso, você precisa conceder os seguintes papéis à conta de serviço do Vertex AI Pipelines com base no seu tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel | |
|---|---|---|---|
| Arquivo do Cloud Storage | Administrador do Storage | Projeto a que o arquivo pertence | |
| Tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | ||
| A visualização do BigQuery de uma tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | ||
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | ||
| Tabela externa do BigQuery, que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a tabela externa pertence | ||
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | ||
| A visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | ||
| Visualizador de dados do BigQuery | Projeto a que a tabela externa pertence | ||
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence |
A tabela a seguir fornece uma explicação sobre esses papéis:
| Visualizador de dados do BigQuery | bigquery.tables.get fornece à conta de serviço acesso ao conjunto de dados. A conta de serviço precisa desse acesso antes de iniciar o job do Dataflow na etapa Feature Transform Engine do pipeline. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse o arquivo de origem do Cloud Storage. |
| Administrador de objetos do Storage | Com as permissões storage.objects.get e storage.objects.create, a conta de serviço pode acessar o bucket do diretório raiz do job do pipeline. A conta de serviço precisa dessas permissões no projeto do pipeline, mesmo que a fonte de dados não seja um arquivo do Cloud Storage. Esse papel inclui todas as permissões concedidas pelo papel Leitor de objetos do Storage. |
| Administrador do Storage | Com as permissões de storage.buckets.*, a conta de serviço pode validar o bucket do Cloud Storage na etapa Feature Transform Engine do pipeline. Esse papel inclui todas as permissões concedidas pelo papel Administrador de objetos do Storage. |
Se você estiver realizando uma avaliação de modelo, será necessário fornecer um conjunto de dados do BigQuery para servir como destino para os exemplos previstos. No projeto que contém esse conjunto de dados, conceda os seguintes papéis à conta de serviço do Vertex AI Pipelines:
| Papel | Permissões |
|---|---|
| Visualizador de dados do BigQuery | Esse papel permite que a conta de serviço visualize os dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço crie jobs do BigQuery. |
Conta de serviço para o worker do Dataflow
Você precisa conceder os seguintes papéis à conta de serviço do worker do Dataflow no projeto de pipeline:
| Papel | Permissões |
|---|---|
| Administrador de objetos do Storage | Esse papel permite que a conta de serviço acesse os buckets do Cloud Storage. A conta de serviço precisa dessas permissões mesmo que sua fonte de dados não seja um arquivo do Cloud Storage. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço execute a etapa do Feature Transform Engine do pipeline. A conta de serviço precisa dessa permissão mesmo que sua fonte de dados não seja um conjunto de dados do BigQuery. |
| Worker do Dataflow | A conta de serviço precisa de todas as permissões concedidas por esse papel. |
Você também precisa conceder os seguintes papéis à conta de serviço do worker do Dataflow com base no seu tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel |
|---|---|---|
| Tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| A visualização do BigQuery de uma tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Tabela externa do BigQuery, que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| A visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto a que a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Arquivo do Cloud Storage | Visualizador de dados do BigQuery | Projeto que executa o pipeline |
A tabela a seguir fornece uma explicação sobre esses papéis:
| Papel | Permissões |
|---|---|
| Visualizador de dados do BigQuery | bigquery.tables.get fornece acesso ao conjunto de dados na etapa Feature Transform do pipeline. A conta de serviço precisa dessa permissão mesmo que sua fonte de dados não seja um conjunto de dados do BigQuery. |
| Editor de dados do BigQuery | Com esse papel, a conta de serviço pode consultar a tabela e criar tabelas temporárias durante a etapa "Feature Transform Engine" do pipeline. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse um arquivo do Cloud Storage. |
Agente de serviço do AI Platform
Verifique se o papel a seguir foi concedido ao agente de serviço do AI Platform no projeto de pipeline:
| Papel | Permissões |
|---|---|
| Agente de serviço da Vertex AI |
Esse papel concede permissões para agentes de serviço. Essas permissões incluem a permissão storage.object.get e os direitos de acesso a imagens de contêiner no repositório do Artifact Registry.
|
Se você estiver realizando uma avaliação de modelo, será necessário fornecer um conjunto de dados do BigQuery para servir como destino para os exemplos previstos. No projeto que contém esse conjunto de dados, conceda os seguintes papéis à conta de serviço do Vertex AI Pipelines:
| Papel | Permissões |
|---|---|
| Editor de dados do BigQuery | Esse papel permite que a conta de serviço edite dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço crie jobs do BigQuery. |
Contas de serviço do fluxo de trabalho tabular para TabNet e para fluxo de trabalho tabular para Wide & Deep e Prophet
Esses fluxos de trabalho usam as seguintes contas de serviço:
| Conta de serviço | Descrição | Principal padrão | Nome padrão | Pode ser modificada |
|---|---|---|---|---|
| Conta de serviço para Vertex AI Pipelines | A conta de serviço que executa o pipeline | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Conta de serviço para o worker do Dataflow | A conta de serviço que executa os workers do Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Agente de serviço do AI Platform | A conta de serviço que executa os contêineres de treinamento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Não |
Algumas das contas de serviço podem ser alteradas para uma conta de sua escolha. Para fluxos de trabalho tabulares para o TabNet, consulte treinar um modelo com o TabNet. Para um fluxo de trabalho tabular para instruções de amplitude e profundidade, consulte Treinar um modelo com amplitude e profundidade. Para instruções do Prophet, consulte Previsão com Prophet.
Conta de serviço do Vertex AI Pipelines
É preciso conceder os seguintes papéis à conta de serviço do Vertex AI Pipelines no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Usuário da Vertex AI |
aiplatform.metadataStores.get permite que a conta de serviço crie um job de pipeline. aiplatform.models.upload permite que a conta de serviço faça upload do modelo.
|
| Editor de dados do BigQuery | bigquery.tables.create permite que a conta de serviço crie tabelas temporárias para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que sua fonte de dados não seja um conjunto de dados do BigQuery. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço execute jobs do BigQuery para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que sua fonte de dados não seja um conjunto de dados do BigQuery. |
| Usuário da conta de serviço |
iam.serviceAccounts.actAs permite que a conta de serviço do Vertex AI Pipelines atue como a conta de serviço do worker do Dataflow durante a avaliação.
|
| Desenvolvedor do Dataflow | Esse papel fornece acesso aos recursos necessários para executar jobs do Dataflow. |
Além disso, você precisa conceder os seguintes papéis à conta de serviço do Vertex AI Pipelines com base no seu tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel | |
|---|---|---|---|
| Arquivo do Cloud Storage | Administrador do Storage | Projeto a que o arquivo pertence | |
| Tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | ||
| A visualização do BigQuery de uma tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | ||
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | ||
| Tabela externa do BigQuery, que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a tabela externa pertence | ||
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | ||
| A visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | ||
| Visualizador de dados do BigQuery | Projeto a que a tabela externa pertence | ||
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence |
A tabela a seguir fornece uma explicação sobre esses papéis:
| Visualizador de dados do BigQuery | bigquery.tables.get fornece à conta de serviço acesso ao conjunto de dados. A conta de serviço precisa desse acesso antes de iniciar o job do Dataflow na etapa Feature Transform Engine do pipeline. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse o arquivo de origem do Cloud Storage. |
| Administrador de objetos do Storage | Com as permissões storage.objects.get e storage.objects.create, a conta de serviço pode acessar o bucket do diretório raiz do job do pipeline. A conta de serviço precisa dessas permissões no projeto do pipeline, mesmo que a fonte de dados não seja um arquivo do Cloud Storage. Esse papel inclui todas as permissões concedidas pelo papel Leitor de objetos do Storage. |
| Administrador do Storage | Com as permissões de storage.buckets.*, a conta de serviço pode validar o bucket do Cloud Storage na etapa Feature Transform Engine do pipeline. Esse papel inclui todas as permissões concedidas pelo papel Administrador de objetos do Storage. |
Conta de serviço para o worker do Dataflow
Você precisa conceder os seguintes papéis à conta de serviço do worker do Dataflow no projeto de pipeline:
| Papel | Permissões |
|---|---|
| Administrador de objetos do Storage | Esse papel permite que a conta de serviço acesse os buckets do Cloud Storage. A conta de serviço precisa dessas permissões mesmo que sua fonte de dados não seja um arquivo do Cloud Storage. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço execute a etapa do Feature Transform Engine do pipeline. A conta de serviço precisa dessa permissão mesmo que sua fonte de dados não seja um conjunto de dados do BigQuery. |
| Worker do Dataflow | A conta de serviço precisa de todas as permissões concedidas por esse papel. |
Você também precisa conceder os seguintes papéis à conta de serviço do worker do Dataflow com base no seu tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel |
|---|---|---|
| Tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| A visualização do BigQuery de uma tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Tabela externa do BigQuery, que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| A visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto a que a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Arquivo do Cloud Storage | Visualizador de dados do BigQuery | Projeto que executa o pipeline |
A tabela a seguir fornece uma explicação sobre esses papéis:
| Papel | Permissões |
|---|---|
| Visualizador de dados do BigQuery | bigquery.tables.get fornece acesso ao conjunto de dados na etapa Feature Transform do pipeline. A conta de serviço precisa dessa permissão mesmo que sua fonte de dados não seja um conjunto de dados do BigQuery. |
| Editor de dados do BigQuery | Com esse papel, a conta de serviço pode consultar a tabela e criar tabelas temporárias durante a etapa "Feature Transform Engine" do pipeline. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse um arquivo do Cloud Storage. |
Agente de serviço do AI Platform
Verifique se o papel a seguir foi concedido ao agente de serviço do AI Platform no projeto de pipeline:
| Papel | Permissões |
|---|---|
| Agente de serviço da Vertex AI |
Esse papel concede permissões para agentes de serviço. Essas permissões incluem a permissão storage.object.get e os direitos de acesso a imagens de contêiner no repositório do Artifact Registry.
|
Contas de serviço de ARIMA+
Esse fluxo de trabalho usa as seguintes contas de serviço:
| Conta de serviço | Descrição | Principal padrão | Nome padrão | Pode ser modificada |
|---|---|---|---|---|
| Conta de serviço para Vertex AI Pipelines | A conta de serviço que executa o pipeline | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Agente de serviço do AI Platform | A conta de serviço que executa os contêineres de treinamento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Não |
A conta de serviço do Vertex AI Pipelines pode ser alterada para uma conta de sua escolha. Consulte Previsão com ARIMA+ para mais informações.
Conta de serviço do Vertex AI Pipelines
É preciso conceder os seguintes papéis à conta de serviço do Vertex AI Pipelines no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Usuário da Vertex AI |
aiplatform.metadataStores.get permite que a conta de serviço crie um job de pipeline. aiplatform.models.upload permite que a conta de serviço faça upload do modelo.
|
| Editor de dados do BigQuery | bigquery.tables.create permite que a conta de serviço crie tabelas temporárias para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que sua fonte de dados não seja um conjunto de dados do BigQuery. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço execute jobs do BigQuery para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que sua fonte de dados não seja um conjunto de dados do BigQuery. |
| Usuário da conta de serviço |
iam.serviceAccounts.actAs permite que a conta de serviço do Vertex AI Pipelines atue como a conta de serviço do worker do Dataflow durante a avaliação.
|
| Desenvolvedor do Dataflow | Esse papel fornece acesso aos recursos necessários para executar jobs do Dataflow. |
Além disso, você precisa conceder os seguintes papéis à conta de serviço do Vertex AI Pipelines com base no seu tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel | |
|---|---|---|---|
| Arquivo do Cloud Storage | Administrador do Storage | Projeto a que o arquivo pertence | |
| Tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | ||
| A visualização do BigQuery de uma tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | ||
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | ||
| Tabela externa do BigQuery, que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a tabela externa pertence | ||
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | ||
| A visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | ||
| Visualizador de dados do BigQuery | Projeto a que a tabela externa pertence | ||
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence |
A tabela a seguir fornece uma explicação sobre esses papéis:
| Visualizador de dados do BigQuery | bigquery.tables.get fornece à conta de serviço acesso ao conjunto de dados. A conta de serviço precisa desse acesso antes de iniciar o job do Dataflow na etapa Feature Transform Engine do pipeline. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse o arquivo de origem do Cloud Storage. |
| Administrador de objetos do Storage | Com as permissões storage.objects.get e storage.objects.create, a conta de serviço pode acessar o bucket do diretório raiz do job do pipeline. A conta de serviço precisa dessas permissões no projeto do pipeline, mesmo que a fonte de dados não seja um arquivo do Cloud Storage. Esse papel inclui todas as permissões concedidas pelo papel Leitor de objetos do Storage. |
| Administrador do Storage | Com as permissões de storage.buckets.*, a conta de serviço pode validar o bucket do Cloud Storage na etapa Feature Transform Engine do pipeline. Esse papel inclui todas as permissões concedidas pelo papel Administrador de objetos do Storage. |
Agente de serviço do AI Platform
Verifique se o papel a seguir foi concedido ao agente de serviço do AI Platform no projeto de pipeline:
| Papel | Permissões |
|---|---|
| Agente de serviço da Vertex AI |
Esse papel concede permissões para agentes de serviço. Essas permissões incluem a permissão storage.object.get e os direitos de acesso a imagens de contêiner no repositório do Artifact Registry.
|