Usar contas de serviço

Algumas fontes de dados são compatíveis com a autenticação por transferência de dados com uma conta de serviço usando o console do Google Cloud, a API ou a linha de comando bq. Conta de serviço é uma Conta do Google associada ao projeto do Google Cloud. Ela pode executar jobs, como consultas programadas ou pipelines de processamento em lote, ao autenticar usando as credenciais da conta de serviço em vez das credenciais de um usuário.

É possível atualizar uma transferência de dados atual com as credenciais de uma conta de serviço. Para mais informações, consulte Atualizar as credenciais de transferência de dados.

As seguintes situações exigem a atualização das credenciais:

• A transferência não autorizou o acesso do usuário à fonte de dados:

  Error code 401 : Request is missing required authentication credential. UNAUTHENTICATED

• Você recebe o erro INVALID_USER ao tentar executar a transferência:

  Error code 5 : Authentication failure: User Id not found. Error code: INVALID_USERID

Para saber mais sobre a autenticação com contas de serviço, consulte Introdução à autenticação.

Origens de dados compatíveis com a conta de serviço

O serviço de transferência de dados do BigQuery pode usar credenciais de conta de serviço para transferências com o seguinte:

• Cloud Storage
• Amazon Redshift
• Amazon S3
• Campaign Manager
• Cópia do conjunto de dados
• Google Ad Manager
• Google Ads
• Google Merchant Center
• Google Play
• Consultas programadas
• Search Ads 360
• Teradata
• Proprietário do conteúdo no YouTube

Antes de começar

• Verifique se você concluiu todas as ações necessárias em Como ativar o serviço de transferência de dados do BigQuery.
• Atribua papéis do Identity and Access Management (IAM) que concedam aos usuários as permissões necessárias para realizar cada tarefa deste documento.

Permissões necessárias

Para atualizar uma transferência de dados para usar uma conta de serviço, é necessário ter as seguintes permissões:

• A permissão bigquery.transfers.update para modificar a transferência.

  O papel predefinido do IAM roles/bigquery.admin inclui essa permissão.

• Acesso à conta de serviço. Para mais informações sobre como conceder o papel da conta de serviço aos usuários, consulte Papel do usuário da conta de serviço.

Verifique se a conta de serviço que você escolheu para executar a transferência tem as seguintes permissões:

• Permissões bigquery.datasets.get e bigquery.datasets.update no conjunto de dados de destino Se a tabela usar o controle de acesso no nível da coluna, a conta de serviço também precisará ter a permissão bigquery.tables.setCategory.

  O papel predefinido do Cloud IAM bigquery.admin inclui todas essas permissões. Para mais informações sobre os papéis do IAM no serviço de transferência de dados do BigQuery, consulte Introdução ao IAM.

• Acesso à origem de dados da transferência configurada. Para mais informações sobre as permissões necessárias para diferentes fontes de dados, consulte Fontes de dados compatíveis com a conta de serviço.

Atualizar as credenciais de transferência de dados

bq update \
--transfer_config \
--update_credentials \
--service_account_name=abcdef-test-sa@abcdef-test.iam.gserviceaccount.com projects/862514376110/locations/us/transferConfigs/5dd12f26-0000-262f-bc38-089e0820fe38 \

import com.google.api.gax.rpc.ApiException;
import com.google.cloud.bigquery.datatransfer.v1.DataTransferServiceClient;
import com.google.cloud.bigquery.datatransfer.v1.TransferConfig;
import com.google.cloud.bigquery.datatransfer.v1.UpdateTransferConfigRequest;
import com.google.protobuf.FieldMask;
import com.google.protobuf.util.FieldMaskUtil;
import java.io.IOException;

// Sample to update credentials in transfer config.
public class UpdateCredentials {

  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace these variables before running the sample.
    String configId = "MY_CONFIG_ID";
    String serviceAccount = "MY_SERVICE_ACCOUNT";
    TransferConfig transferConfig = TransferConfig.newBuilder().setName(configId).build();
    FieldMask updateMask = FieldMaskUtil.fromString("service_account_name");
    updateCredentials(transferConfig, serviceAccount, updateMask);
  }

  public static void updateCredentials(
      TransferConfig transferConfig, String serviceAccount, FieldMask updateMask)
      throws IOException {
    try (DataTransferServiceClient dataTransferServiceClient = DataTransferServiceClient.create()) {
      UpdateTransferConfigRequest request =
          UpdateTransferConfigRequest.newBuilder()
              .setTransferConfig(transferConfig)
              .setUpdateMask(updateMask)
              .setServiceAccountName(serviceAccount)
              .build();
      dataTransferServiceClient.updateTransferConfig(request);
      System.out.println("Credentials updated successfully");
    } catch (ApiException ex) {
      System.out.print("Credentials was not updated." + ex.toString());
    }
  }
}

from google.cloud import bigquery_datatransfer
from google.protobuf import field_mask_pb2

transfer_client = bigquery_datatransfer.DataTransferServiceClient()

service_account_name = "abcdef-test-sa@abcdef-test.iam.gserviceaccount.com"
transfer_config_name = "projects/1234/locations/us/transferConfigs/abcd"

transfer_config = bigquery_datatransfer.TransferConfig(name=transfer_config_name)

transfer_config = transfer_client.update_transfer_config(
    {
        "transfer_config": transfer_config,
        "update_mask": field_mask_pb2.FieldMask(paths=["service_account_name"]),
        "service_account_name": service_account_name,
    }
)

print("Updated config: '{}'".format(transfer_config.name))