Controlar o acesso a um job usando uma conta de serviço personalizada

Neste documento, explicamos como especificar a conta de serviço de um job do Batch, que influencia os recursos e aplicativos que as VMs de um job podem acessar. Se você não especificar uma conta de serviço personalizada, os jobs usarão a conta de serviço padrão do Compute Engine, que é anexada automaticamente a todas as VMs em um projeto. Portanto, usar uma conta de serviço personalizada oferece maior controle no gerenciamento das permissões de um job e é uma prática recomendada para limitar privilégios.

Saiba mais sobre uma conta de serviço de uma tarefa.

Antes de começar

Se você nunca usou o Batch, leia os Primeiros passos com o Batch e ative-o com os pré-requisitos para projetos e usuários.
Para ter as permissões necessárias para controlar o acesso a jobs que usam contas de serviço personalizadas, peça ao administrador para conceder a você os seguintes papéis do IAM:
- Para criar um job, faça o seguinte:
  - Editor de jobs em lote (roles/batch.jobsEditor) no projeto
  - Usuário da conta de serviço (roles/iam.serviceAccountUser) na conta de serviço do job, que, por padrão, é a conta de serviço padrão do Compute Engine
- Para ver as contas de serviço: Veja as contas de serviço (roles/iam.serviceAccountViewer) no projeto.
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Talvez você também consiga receber as permissões necessárias por meio de papéis personalizados ou outros papéis predefinidos.
Identifique a conta de serviço que você quer usar para esse job. Verifique se essa conta de serviço tem todas as permissões necessárias para executar seu job.

Saiba mais sobre como visualizar contas de serviço e as permissões necessárias para a conta de serviço de um job.

Criar um job que usa uma conta de serviço personalizada

Para criar um job que usa uma conta de serviço personalizada, selecione um dos seguintes métodos:

Especifique a conta de serviço personalizada na definição do job, conforme mostrado nesta seção.
Use um modelo de instância do Compute Engine e especifique a conta de serviço personalizada no modelo de instância e na definição do job.

Nesta seção, fornecemos um exemplo de como criar um job que usa uma conta de serviço personalizada. É possível criar um job que use uma conta de serviço personalizada com a CLI gcloud ou a API Batch.

gcloud

Para criar um job que usa uma conta de serviço personalizada com a CLI gcloud, use o comando gcloud batch jobs submit e especifique a conta de serviço personalizada no arquivo de configuração do job.

Por exemplo, para criar um job de script que usa uma conta de serviço personalizada:

Crie um arquivo JSON no diretório atual chamado hello-world-service-account.json com o seguinte conteúdo:

{
    "taskGroups": [
        {
            "taskSpec": {
                "runnables": [
                    {
                        "script": {
                            "text": "echo Hello World! This is task $BATCH_TASK_INDEX."
                        }
                    }
                ]
            }
        }
    ],
    "allocationPolicy": {
        "serviceAccount": {
            "email": "SERVICE_ACCOUNT_EMAIL"
        }
    }
}

em que SERVICE_ACCOUNT_EMAIL é o endereço de e-mail da sua conta de serviço. Se o campo serviceAccount não for especificado, o valor será definido como a conta de serviço padrão do Compute Engine.

Execute este comando:

gcloud batch jobs submit example-service-account-job \
  --location us-central1 \
  --config hello-world-service-account.json

API

Para criar um job que usa uma conta de serviço personalizada com a API Batch, use o método jobs.create e especifique sua conta de serviço personalizada no campo allocationPolicy.

Por exemplo, para criar um job de script que usa uma conta de serviço personalizada, faça a seguinte solicitação:

POST https://batch.googleapis.com/v1/projects/PROJECT_ID/locations/us-central1/jobs?job_id=example-service-account-job

{
    "taskGroups": [
        {
            "taskSpec": {
                "runnables": [
                    {
                        "script": {
                            "text": "echo Hello World! This is task $BATCH_TASK_INDEX."
                        }
                    }
                ]
            }
        }
    ],
    "allocationPolicy": {
        "serviceAccount": {
            "email": "SERVICE_ACCOUNT_EMAIL"
        }
    }
}

Substitua:

PROJECT_ID: o ID do projeto.
SERVICE_ACCOUNT_EMAIL: o endereço de e-mail da conta de serviço. Se o campo serviceAccount não for especificado, o valor será definido como a conta de serviço padrão do Compute Engine.

A seguir

Se você tiver problemas para criar ou executar um job, consulte Solução de problemas.
Confira jobs e tarefas.
Conheça mais opções de criação de jobs.