Questa pagina è stata tradotta dall'API Cloud Translation.

Account di servizio in Cloud Data Fusion

Questa pagina descrive come vengono utilizzati gli account di servizio in Cloud Data Fusion. Per ulteriori informazioni, consulta Utilizzare i service account.

Progetti di tenant e clienti

Cloud Data Fusion configura gli account di servizio per accedere alle risorse nei seguenti progetti:

Progetto tenant

Cloud Data Fusion crea un progetto tenant per contenere le risorse e i servizi di cui ha bisogno per gestire le pipeline per tuo conto. Ad esempio, l'esecuzione di pipeline sui cluster Dataproc che si trovano nel progetto del cliente. Un progetto tenant non è visibile, ma quando crei un'istanza privata, potresti dover utilizzare il nome del progetto tenant per configurare il peering VPC.

Per saperne di più, consulta la documentazione di Service Infrastructure sui progetti tenant.

Progetto del cliente

Questo progetto è di tua creazione e proprietà. Per impostazione predefinita, Cloud Data Fusion crea un cluster Dataproc temporaneo in questo progetto per eseguire le tue pipeline.

Il seguente diagramma mostra un'istanza Cloud Data Fusion in esecuzione in un progetto tenant e una pipeline in esecuzione su un cluster Dataproc in un progetto del cliente.

Esegui il deployment della pipeline in Cloud Data Fusion.

Account di servizio in Cloud Data Fusion

Un account di servizio fornisce un'identità per Cloud Data Fusion, che consente a Cloud Data Fusion di accedere alle tue risorse.

Quando attivi l'API Cloud Data Fusion e crei un'istanza Cloud Data Fusion, al progetto viene aggiunto un account di servizio per accedere a risorse come Service Networking, Dataproc, Cloud Storage, BigQuery, Spanner e Bigtable. Questo account di servizio si chiama agente di servizio dell'API Cloud Data Fusion. I ruoli vengono concessi automaticamente a questo agente di servizio.

Un account di servizio è identificato dal rispettivo indirizzo email, che è univoco per l'account.

In Cloud Data Fusion vengono utilizzati i seguenti tipi di account di servizio. Per maggiori informazioni, consulta Tipi di account di servizio.

Service account Descrizione

Service account	Descrizione
`service-CUSTOMER_PROJECT_NUMBER@gcp-sa- datafusion.iam.gserviceaccount.com`	L'agente di servizio, chiamato agente di servizio dell'API Cloud Data Fusion, che Cloud Data Fusion crea per ottenere l'accesso alle risorse del cliente in modo da poteragirre per conto del cliente. Viene utilizzato nel progetto del tenant per accedere alle risorse del progetto del cliente. Ad esempio, l'anteprima viene eseguita in memoria anziché in un cluster Dataproc. Il ruolo Cloud Data Fusion API Service Agent (`roles/datafusion.serviceAgent`) di Identity and Access Management assegnato per impostazione predefinita all'account di servizio Cloud Data Fusion include autorizzazioni aggiuntive per garantire un'esperienza utente ottimale. Per migliorare la sicurezza, puoi creare un ruolo personalizzato con un insieme di autorizzazioni minime richieste per un'attività e assegnarlo all'account di servizio Cloud Data Fusion.
`CUSTOMER_PROJECT_NUMBER- compute@developer.gserviceaccount.com`	L'account di servizio Compute Engine predefinito creato da Cloud Data Fusion per eseguire il deployment di job che accedono ad altre risorse Google Cloud . Per impostazione predefinita, si connette a una VM del cluster Dataproc per consentire a Cloud Data Fusion di accedere alle risorse Dataproc durante l'esecuzione di una pipeline. In Cloud Data Fusion Enterprise Edition, puoi eseguire pipeline da un account di servizio gestito dall'utente creando un profilo dalla console Cloud Data Fusion → Amministrazione di sistema → Configurazione e aggiungendo l'account di servizio personalizzato. Nelle versioni 6.2.3 e successive, puoi scegliere un account di servizio personalizzato da collegare al cluster Dataproc quando crei un'istanza Cloud Data Fusion. Per ulteriori informazioni, consulta Service account in Dataproc.

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-
      datafusion.iam.gserviceaccount.com

L'agente di servizio, chiamato agente di servizio dell'API Cloud Data Fusion, che Cloud Data Fusion crea per ottenere l'accesso alle risorse del cliente in modo da poteragirre per conto del cliente. Viene utilizzato nel progetto del tenant per accedere alle risorse del progetto del cliente. Ad esempio, l'anteprima viene eseguita in memoria anziché in un cluster Dataproc.

Il ruolo Cloud Data Fusion API Service Agent (roles/datafusion.serviceAgent) di Identity and Access Management assegnato per impostazione predefinita all'account di servizio Cloud Data Fusion include autorizzazioni aggiuntive per garantire un'esperienza utente ottimale. Per migliorare la sicurezza, puoi creare un ruolo personalizzato con un insieme di autorizzazioni minime richieste per un'attività e assegnarlo all'account di servizio Cloud Data Fusion.

CUSTOMER_PROJECT_NUMBER- compute@developer.gserviceaccount.com L'account di servizio Compute Engine predefinito creato da Cloud Data Fusion per eseguire il deployment di job che accedono ad altre risorse Google Cloud . Per impostazione predefinita, si connette a una VM del cluster Dataproc per consentire a Cloud Data Fusion di accedere alle risorse Dataproc durante l'esecuzione di una pipeline. In Cloud Data Fusion Enterprise Edition, puoi eseguire pipeline da un account di servizio gestito dall'utente creando un profilo dalla console Cloud Data Fusion → Amministrazione di sistema → Configurazione e aggiungendo l'account di servizio personalizzato. Nelle versioni 6.2.3 e successive, puoi scegliere un account di servizio personalizzato da collegare al cluster Dataproc quando crei un'istanza Cloud Data Fusion. Per ulteriori informazioni, consulta Service account in Dataproc.

Passaggi successivi

Scopri di più sul controllo dell'accesso ai dati.
Concedere le autorizzazioni utente dell'account di servizio.
Consulta i prezzi di Cloud Data Fusion.