- Fluxo de trabalho tabular para o AutoML de ponta a ponta
- Fluxo de trabalho tabular para previsão
- Fluxo de trabalho tabular para TabNet
- Fluxo de trabalho tabular para amplo e profundo
- Prophet
- ARIMA+
Contas de serviço do fluxo de trabalho tabular para o AutoML de ponta a ponta
Esse fluxo de trabalho usa as seguintes contas de serviço:
| Conta de serviço | Descrição | Principal padrão | Nome padrão | Pode ser modificada |
|---|---|---|---|---|
| Conta de serviço para Vertex AI Pipelines | A conta de serviço que executa o pipeline | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Conta de serviço para o worker do Dataflow | A conta de serviço que executa os workers do Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Agente de serviço do AI Platform | A conta de serviço que executa os contêineres de treinamento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Não |
Você pode mudar algumas das contas de serviço para uma conta de sua escolha. Consulte Treinar um modelo com o AutoML completo para receber instruções específicas do console Google Cloud ou da API.
Conta de serviço do Vertex AI Pipelines
Conceda os seguintes papéis à conta de serviço do Vertex AI Pipelines no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Usuário da Vertex AI |
O aiplatform.metadataStores.get permite que a conta de serviço crie um job de pipeline. O aiplatform.models.upload permite que a conta de serviço faça upload do modelo.
|
| Administrador de objetos do Storage | As permissões storage.objects.get e storage.objects.create do administrador de objetos do Storage permitem que a conta de serviço acesse o bucket do diretório raiz do job de pipeline. A conta de serviço precisa dessas permissões mesmo que você não esteja usando uma fonte de dados do Cloud Storage. |
| Desenvolvedor do Dataflow | dataflow.jobs.create permite que a conta de serviço crie jobs do Dataflow durante a avaliação. |
| Usuário da conta de serviço |
iam.serviceAccounts.actAs permite que a conta de serviço do Vertex AI Pipelines atue como a conta de serviço do worker do Dataflow durante a avaliação.
|
Conta de serviço para o worker do Dataflow
Conceda os seguintes papéis à conta de serviço do worker do Dataflow no projeto de pipeline:
| Papel | Permissões |
|---|---|
| Worker do Dataflow | Com essa função, a conta de serviço pode acessar os recursos necessários para executar jobs do Dataflow. |
| Administrador de objetos do Storage | Essa função permite que a conta de serviço acesse buckets do Cloud Storage. A conta de serviço precisa dessas permissões mesmo que você não esteja usando uma fonte de dados do Cloud Storage. Esse papel inclui todas as permissões concedidas pelo papel Leitor de objetos do Storage. |
Além disso, conceda os seguintes papéis à conta de serviço do worker do Dataflow com base no tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel: |
|---|---|---|
| Tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Usuário de jobs do BigQuery | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Visualização do BigQuery de uma tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Usuário de jobs do BigQuery | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Usuário de jobs do BigQuery | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Usuário de jobs do BigQuery | Projeto que executa o pipeline | |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Arquivo do Cloud Storage | Leitor de objetos do Storage | Projeto a que o arquivo pertence |
A tabela a seguir explica esses papéis:
| Papel | Permissões |
|---|---|
| Editor de dados do BigQuery | As permissões bigquery.jobs.get e bigquery.jobs.create permitem que a conta de serviço use conjuntos de dados do BigQuery. bigquery.jobs.create permite que a conta de serviço crie conjuntos de dados temporários do BigQuery durante a geração de estatísticas e exemplos. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço use um conjunto de dados do BigQuery. |
| Visualizador de dados do BigQuery | Esse papel dá à conta de serviço acesso ao conjunto de dados do BigQuery. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse um arquivo do Cloud Storage. |
Agente de serviço do AI Platform
Verifique se o agente de serviço do AI Platform no projeto do pipeline tem o seguinte papel:
| Papel | Permissões |
|---|---|
| Agente de serviço da Vertex AI |
Esse papel concede permissões para agentes de serviço. Essas permissões incluem a permissão storage.object.get e os direitos de acesso a imagens de contêiner no repositório do Artifact Registry.
|
Se a fonte de dados for um conjunto de dados do BigQuery de outro projeto, conceda os seguintes papéis ao agente de serviço da AI Platform no projeto do conjunto de dados:
| Papel | Permissões |
|---|---|
| Visualizador de dados do BigQuery | bigquery.tables.get permite que a conta de serviço receba informações sobre o conjunto de dados do BigQuery antes de iniciar um job do Dataflow. |
Se a fonte de dados for um arquivo do Cloud Storage de outro projeto, conceda os seguintes papéis ao agente de serviço da AI Platform no projeto do arquivo:
| Leitor de objetos do Storage | storage.objects.list permite que a conta de serviço receba informações sobre o arquivo do Cloud Storage antes de iniciar um job do Dataflow. |
Contas de serviço para o Fluxo de trabalho tabular para previsão
Esse fluxo de trabalho usa as seguintes contas de serviço:
| Conta de serviço | Descrição | Principal padrão | Nome padrão | Pode ser modificada |
|---|---|---|---|---|
| Conta de serviço para Vertex AI Pipelines | A conta de serviço que executa o pipeline | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Conta de serviço para o worker do Dataflow | A conta de serviço que executa os workers do Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Agente de serviço do AI Platform | A conta de serviço que executa os contêineres de treinamento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Não |
Você pode mudar algumas das contas de serviço para uma conta de sua escolha. Para saber mais, consulte Treinar um modelo com fluxo de trabalho tabular para previsão.
Conta de serviço do Vertex AI Pipelines
Conceda os seguintes papéis à conta de serviço do Vertex AI Pipelines no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Usuário da Vertex AI |
O aiplatform.metadataStores.get permite que a conta de serviço crie um job de pipeline. O aiplatform.models.upload permite que a conta de serviço faça upload do modelo.
|
| Editor de dados do BigQuery | bigquery.tables.create permite que a conta de serviço crie tabelas temporárias para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço execute jobs do BigQuery para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. |
| Usuário da conta de serviço |
iam.serviceAccounts.actAs permite que a conta de serviço do Vertex AI Pipelines atue como a conta de serviço do worker do Dataflow durante a avaliação.
|
| Desenvolvedor do Dataflow | Esse papel fornece acesso aos recursos necessários para executar jobs do Dataflow. |
Além disso, conceda os seguintes papéis à conta de serviço do Vertex AI Pipelines com base no tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel: |
|---|---|---|
| Arquivo do Cloud Storage | Administrador do Storage | Projeto a que o arquivo pertence |
| Tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Visualização do BigQuery de uma tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence |
A tabela a seguir explica esses papéis:
| Visualizador de dados do BigQuery | O bigquery.tables.get dá à conta de serviço acesso ao conjunto de dados. A conta de serviço precisa desse acesso antes de iniciar o job do Dataflow na etapa do mecanismo de transformação de recursos do pipeline. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse o arquivo de origem do Cloud Storage. |
| Administrador de objetos do Storage | As permissões storage.objects.get e storage.objects.create permitem que a conta de serviço acesse o bucket do diretório raiz do job de pipeline. A conta de serviço precisa dessas permissões no projeto de pipeline, mesmo que a fonte de dados não seja um arquivo do Cloud Storage. Esse papel inclui todas as permissões concedidas pelo papel Leitor de objetos do Storage. |
| Administrador do Storage | As permissões storage.buckets.* permitem que a conta de serviço valide o bucket do Cloud Storage na etapa do Feature Transform Engine do pipeline. Esse papel inclui todas as permissões concedidas pelo papel Administrador de objetos do Storage. |
Se você realizar uma avaliação de modelo, forneça um conjunto de dados do BigQuery para servir como destino para os exemplos previstos. No projeto que contém esse conjunto de dados, conceda os seguintes papéis à conta de serviço do Vertex AI Pipelines:
| Papel | Permissões |
|---|---|
| Visualizador de dados do BigQuery | Esse papel permite que a conta de serviço visualize os dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço crie jobs do BigQuery. |
Conta de serviço para o worker do Dataflow
Conceda os seguintes papéis à conta de serviço do worker do Dataflow no projeto de pipeline:
| Papel | Permissões |
|---|---|
| Administrador de objetos do Storage | Essa função permite que a conta de serviço acesse buckets do Cloud Storage. A conta de serviço precisa dessas permissões mesmo que sua fonte de dados não seja um arquivo do Cloud Storage. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço execute a etapa do Feature Transform Engine do pipeline. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. |
| Worker do Dataflow | A conta de serviço precisa de todas as permissões concedidas por essa função. |
Além disso, conceda os seguintes papéis à conta de serviço do worker do Dataflow com base no tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel: |
|---|---|---|
| Tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Visualização do BigQuery de uma tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Arquivo do Cloud Storage | Visualizador de dados do BigQuery | Projeto que executa o pipeline |
A tabela a seguir explica esses papéis:
| Papel | Permissões |
|---|---|
| Visualizador de dados do BigQuery | bigquery.tables.get fornece acesso ao conjunto de dados na etapa "Feature Transform Engine" do pipeline. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. |
| Editor de dados do BigQuery | Com essa função, a conta de serviço pode consultar a tabela e criar tabelas temporárias durante a etapa do mecanismo de transformação de recursos do pipeline. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse um arquivo do Cloud Storage. |
Agente de serviço do AI Platform
Verifique se o agente de serviço do AI Platform no projeto do pipeline tem o seguinte papel:
| Papel | Permissões |
|---|---|
| Agente de serviço da Vertex AI |
Esse papel concede permissões para agentes de serviço. Essas permissões incluem a permissão storage.object.get e os direitos de acesso a imagens de contêiner no repositório do Artifact Registry.
|
Se você realizar uma avaliação de modelo, forneça um conjunto de dados do BigQuery para servir como destino para os exemplos previstos. No projeto que contém esse conjunto de dados, conceda os seguintes papéis à conta de serviço do Vertex AI Pipelines:
| Papel | Permissões |
|---|---|
| Editor de dados do BigQuery | Esse papel permite que a conta de serviço edite dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço crie jobs do BigQuery. |
Contas de serviço do fluxo de trabalho tabular para TabNet e para fluxo de trabalho tabular para Wide & Deep e Prophet
Esses fluxos de trabalho usam as seguintes contas de serviço:
| Conta de serviço | Descrição | Principal padrão | Nome padrão | Pode ser modificada |
|---|---|---|---|---|
| Conta de serviço para Vertex AI Pipelines | A conta de serviço que executa o pipeline | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Conta de serviço para o worker do Dataflow | A conta de serviço que executa os workers do Dataflow | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Agente de serviço do AI Platform | A conta de serviço que executa os contêineres de treinamento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Não |
Você pode mudar algumas das contas de serviço para uma conta de sua escolha. Para instruções sobre o fluxo de trabalho tabular para TabNet, consulte Treinar um modelo com TabNet. Para instruções sobre o fluxo de trabalho tabular para Wide & Deep, consulte Treinar um modelo com Wide & Deep. Para instruções do Prophet, consulte Previsão com Prophet.
Conta de serviço do Vertex AI Pipelines
Conceda os seguintes papéis à conta de serviço do Vertex AI Pipelines no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Usuário da Vertex AI |
O aiplatform.metadataStores.get permite que a conta de serviço crie um job de pipeline. O aiplatform.models.upload permite que a conta de serviço faça upload do modelo.
|
| Editor de dados do BigQuery | bigquery.tables.create permite que a conta de serviço crie tabelas temporárias para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço execute jobs do BigQuery para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. |
| Usuário da conta de serviço |
iam.serviceAccounts.actAs permite que a conta de serviço do Vertex AI Pipelines atue como a conta de serviço do worker do Dataflow durante a avaliação.
|
| Desenvolvedor do Dataflow | Esse papel fornece acesso aos recursos necessários para executar jobs do Dataflow. |
Além disso, conceda os seguintes papéis à conta de serviço do Vertex AI Pipelines com base no tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel: |
|---|---|---|
| Arquivo do Cloud Storage | Administrador do Storage | Projeto a que o arquivo pertence |
| Tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Visualização do BigQuery de uma tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence |
A tabela a seguir explica esses papéis:
| Visualizador de dados do BigQuery | O bigquery.tables.get dá à conta de serviço acesso ao conjunto de dados. A conta de serviço precisa desse acesso antes de iniciar o job do Dataflow na etapa do mecanismo de transformação de recursos do pipeline. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse o arquivo de origem do Cloud Storage. |
| Administrador de objetos do Storage | As permissões storage.objects.get e storage.objects.create permitem que a conta de serviço acesse o bucket do diretório raiz do job de pipeline. A conta de serviço precisa dessas permissões no projeto de pipeline, mesmo que a fonte de dados não seja um arquivo do Cloud Storage. Esse papel inclui todas as permissões concedidas pelo papel Leitor de objetos do Storage. |
| Administrador do Storage | As permissões storage.buckets.* permitem que a conta de serviço valide o bucket do Cloud Storage na etapa do Feature Transform Engine do pipeline. Esse papel inclui todas as permissões concedidas pelo papel Administrador de objetos do Storage. |
Conta de serviço para o worker do Dataflow
Conceda os seguintes papéis à conta de serviço do worker do Dataflow no projeto de pipeline:
| Papel | Permissões |
|---|---|
| Administrador de objetos do Storage | Essa função permite que a conta de serviço acesse buckets do Cloud Storage. A conta de serviço precisa dessas permissões mesmo que sua fonte de dados não seja um arquivo do Cloud Storage. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço execute a etapa do Feature Transform Engine do pipeline. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. |
| Worker do Dataflow | A conta de serviço precisa de todas as permissões concedidas por essa função. |
Além disso, conceda os seguintes papéis à conta de serviço do worker do Dataflow com base no tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel: |
|---|---|---|
| Tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Visualização do BigQuery de uma tabela padrão do BigQuery | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Editor de dados do BigQuery | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Arquivo do Cloud Storage | Visualizador de dados do BigQuery | Projeto que executa o pipeline |
A tabela a seguir explica esses papéis:
| Papel | Permissões |
|---|---|
| Visualizador de dados do BigQuery | bigquery.tables.get fornece acesso ao conjunto de dados na etapa "Feature Transform Engine" do pipeline. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. |
| Editor de dados do BigQuery | Com essa função, a conta de serviço pode consultar a tabela e criar tabelas temporárias durante a etapa do mecanismo de transformação de recursos do pipeline. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse um arquivo do Cloud Storage. |
Agente de serviço do AI Platform
Verifique se o agente de serviço do AI Platform no projeto do pipeline tem o seguinte papel:
| Papel | Permissões |
|---|---|
| Agente de serviço da Vertex AI |
Esse papel concede permissões para agentes de serviço. Essas permissões incluem a permissão storage.object.get e os direitos de acesso a imagens de contêiner no repositório do Artifact Registry.
|
Contas de serviço para ARIMA+
Esse fluxo de trabalho usa as seguintes contas de serviço:
| Conta de serviço | Descrição | Principal padrão | Nome padrão | Pode ser modificada |
|---|---|---|---|---|
| Conta de serviço para Vertex AI Pipelines | A conta de serviço que executa o pipeline | PROJECT_NUMBER-compute@developer.gserviceaccount.com |
Compute Engine default service account |
Sim |
| Agente de serviço do AI Platform | A conta de serviço que executa os contêineres de treinamento. | service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com |
AI Platform Service Agent |
Não |
Você pode mudar a conta de serviço do Vertex AI Pipelines para uma conta de sua escolha. Consulte Previsão com ARIMA+ para mais informações.
Conta de serviço do Vertex AI Pipelines
Conceda os seguintes papéis à conta de serviço do Vertex AI Pipelines no projeto do pipeline:
| Papel | Permissões |
|---|---|
| Usuário da Vertex AI |
O aiplatform.metadataStores.get permite que a conta de serviço crie um job de pipeline. O aiplatform.models.upload permite que a conta de serviço faça upload do modelo.
|
| Editor de dados do BigQuery | bigquery.tables.create permite que a conta de serviço crie tabelas temporárias para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. Esse papel inclui todas as permissões concedidas pelo papel Leitor de dados do BigQuery. |
| Usuário de jobs do BigQuery | bigquery.jobs.create permite que a conta de serviço execute jobs do BigQuery para o Feature Transform Engine antes de iniciar um job do Dataflow. A conta de serviço precisa dessa permissão mesmo que a fonte de dados não seja um conjunto de dados do BigQuery. |
| Usuário da conta de serviço |
iam.serviceAccounts.actAs permite que a conta de serviço do Vertex AI Pipelines atue como a conta de serviço do worker do Dataflow durante a avaliação.
|
| Desenvolvedor do Dataflow | Esse papel fornece acesso aos recursos necessários para executar jobs do Dataflow. |
Além disso, conceda os seguintes papéis à conta de serviço do Vertex AI Pipelines com base no tipo de fonte de dados:
| Fonte de dados | Papel | Onde conceder o papel: |
|---|---|---|
| Arquivo do Cloud Storage | Administrador do Storage | Projeto a que o arquivo pertence |
| Tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Visualização do BigQuery de uma tabela padrão do BigQuery | Administrador de objetos do Storage | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto a que a tabela pertence | |
| Tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence | |
| Visualização do BigQuery de uma tabela externa do BigQuery que tem um arquivo de origem do Cloud Storage | Administrador de objetos do Storage | Projeto que executa o pipeline |
| Visualizador de dados do BigQuery | Projeto a que a visualização pertence | |
| Visualizador de dados do BigQuery | Projeto ao qual a tabela externa pertence | |
| Leitor de objetos do Storage | Projeto a que o arquivo de origem pertence |
A tabela a seguir explica esses papéis:
| Visualizador de dados do BigQuery | O bigquery.tables.get dá à conta de serviço acesso ao conjunto de dados. A conta de serviço precisa desse acesso antes de iniciar o job do Dataflow na etapa do mecanismo de transformação de recursos do pipeline. |
| Leitor de objetos do Storage | storage.objects.get permite que a conta de serviço acesse o arquivo de origem do Cloud Storage. |
| Administrador de objetos do Storage | As permissões storage.objects.get e storage.objects.create permitem que a conta de serviço acesse o bucket do diretório raiz do job de pipeline. A conta de serviço precisa dessas permissões no projeto de pipeline, mesmo que a fonte de dados não seja um arquivo do Cloud Storage. Esse papel inclui todas as permissões concedidas pelo papel Leitor de objetos do Storage. |
| Administrador do Storage | As permissões storage.buckets.* permitem que a conta de serviço valide o bucket do Cloud Storage na etapa do Feature Transform Engine do pipeline. Esse papel inclui todas as permissões concedidas pelo papel Administrador de objetos do Storage. |
Agente de serviço do AI Platform
Verifique se o agente de serviço do AI Platform no projeto do pipeline tem o seguinte papel:
| Papel | Permissões |
|---|---|
| Agente de serviço da Vertex AI |
Esse papel concede permissões para agentes de serviço. Essas permissões incluem a permissão storage.object.get e os direitos de acesso a imagens de contêiner no repositório do Artifact Registry.
|