En este documento, se explica cómo especificar la cuenta de servicio de un trabajo por lotes, que influye en los recursos y las aplicaciones a los que pueden acceder las VMs de un trabajo. Si no especificas una cuenta de servicio personalizada, las tareas usarán de forma predeterminada la cuenta de servicio predeterminada de Compute Engine, que se adjunta automáticamente a todas las VMs de un proyecto de forma predeterminada. Por lo tanto, usar una cuenta de servicio personalizada proporciona un mayor control en la administración de los permisos de un trabajo y es una práctica recomendada para limitar los privilegios.
Obtén más información sobre la cuenta de servicio de un trabajo.
Antes de comenzar
- Si nunca antes usaste Batch, consulta Cómo comenzar a usar Batch y habilita Batch completando los requisitos previos para proyectos y usuarios.
-
Para obtener los permisos que necesitas para controlar el acceso de los trabajos que usan cuentas de servicio personalizadas, pídele a tu administrador que te otorgue los siguientes roles de IAM:
-
Para crear un trabajo, sigue estos pasos:
-
Editor de trabajos por lotes (
roles/batch.jobsEditor
) en el proyecto -
Usuario de la cuenta de servicio (
roles/iam.serviceAccountUser
) en la cuenta de servicio del trabajo, que de forma predeterminada es la cuenta de servicio predeterminada de Compute Engine
-
Editor de trabajos por lotes (
-
Para ver cuentas de servicio, ve a Visualizador de cuentas de servicio (
roles/iam.serviceAccountViewer
) en el proyecto.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
-
Para crear un trabajo, sigue estos pasos:
-
Identifica la cuenta de servicio que quieres usar para este trabajo. Asegúrate de que esta cuenta de servicio tenga todos los permisos necesarios para ejecutar la tarea.
Obtén más información para ver las cuentas de servicio y los permisos necesarios para la cuenta de servicio de un trabajo.
Crea un trabajo que use una cuenta de servicio personalizada
Para crear un trabajo que use una cuenta de servicio personalizada, selecciona uno de los siguientes métodos:
- Especifica la cuenta de servicio personalizada en la definición de tu trabajo, como se muestra en esta sección.
- Usa una plantilla de instancias de Compute Engine y especifica la cuenta de servicio personalizada en la plantilla de instancias y en la definición de tu trabajo.
En esta sección, se proporciona un ejemplo para crear un trabajo que use una cuenta de servicio personalizada. Puedes crear un trabajo que use una cuenta de servicio personalizada con gcloud CLI, la API de Batch, Java, Node.js o Python.
gcloud
Para crear un trabajo que use una cuenta de servicio personalizada con la
CLI de gcloud, usa el comando gcloud batch jobs submit
y especifica la cuenta de servicio personalizada en el archivo de configuración del trabajo.
Por ejemplo, para crear un trabajo de secuencia de comandos que use una cuenta de servicio personalizada, sigue estos pasos:
Crea un archivo JSON en el directorio actual llamado
hello-world-service-account.json
con el siguiente contenido:{ "taskGroups": [ { "taskSpec": { "runnables": [ { "script": { "text": "echo Hello World! This is task $BATCH_TASK_INDEX." } } ] } } ], "allocationPolicy": { "serviceAccount": { "email": "SERVICE_ACCOUNT_EMAIL" } } }
En el ejemplo anterior,
SERVICE_ACCOUNT_EMAIL
es la dirección de correo electrónico de la cuenta de servicio. Si no se especifica el camposerviceAccount
, el valor se establece en la cuenta de servicio predeterminada de Compute Engine.Ejecuta el siguiente comando:
gcloud batch jobs submit example-service-account-job \ --location us-central1 \ --config hello-world-service-account.json
API
Para crear una tarea que use una cuenta de servicio personalizada con la API de Batch, usa el método jobs.create
y especifica tu cuenta de servicio personalizada en el campo allocationPolicy
.
Por ejemplo, para crear un trabajo de secuencia de comandos que use una cuenta de servicio personalizada, realiza la siguiente solicitud:
POST https://batch.googleapis.com/v1/projects/PROJECT_ID/locations/us-central1/jobs?job_id=example-service-account-job
{
"taskGroups": [
{
"taskSpec": {
"runnables": [
{
"script": {
"text": "echo Hello World! This is task $BATCH_TASK_INDEX."
}
}
]
}
}
],
"allocationPolicy": {
"serviceAccount": {
"email": "SERVICE_ACCOUNT_EMAIL"
}
}
}
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto de tu proyecto.SERVICE_ACCOUNT_EMAIL
: La dirección de correo electrónico de tu cuenta de servicio. Si no se especifica el camposerviceAccount
, el valor se establece en la cuenta de servicio predeterminada de Compute Engine.
Java
Node.js
Python
¿Qué sigue?
- Si tienes problemas para crear o ejecutar una tarea, consulta Solución de problemas.
- Ver trabajos y tareas.
- Obtén más información sobre las opciones de creación de trabajos.