Cloud Data Fusion でのサービスアカウント

このページでは、Cloud Data Fusion でサービスアカウントを使用する方法について説明します。詳細については、サービスアカウントの使用をご覧ください。

テナントとお客様のプロジェクト

Cloud Data Fusion では、次のプロジェクトのリソースにアクセスするためのサービスアカウントが設定されます。

テナントプロジェクト

Cloud Data Fusion では、ユーザーに代わってパイプラインを管理するために必要なリソースとサービスを保持するテナントプロジェクトが作成されます。例: お客様のプロジェクトに存在する Dataproc クラスタでのパイプラインの実行。テナントプロジェクトはお客様に公開されませんが、プライベートインスタンスを作成する場合は、テナントプロジェクト名を使用して VPC ピアリングを設定する必要があります。

詳細については、テナントプロジェクトに関するサービスのインフラストラクチャのドキュメントをご覧ください。

お客様のプロジェクト

このプロジェクトは、ユーザーが作成して所有します。デフォルトでは、Cloud Data Fusion はパイプラインを実行するエフェメラル Dataproc クラスタをこのプロジェクト内に作成します。

次の図は、テナントプロジェクトで実行されている Cloud Data Fusion インスタンスと、お客様のプロジェクトの Dataproc クラスタで実行されているパイプラインを示しています。

Cloud Data Fusion でのサービスアカウント

サービスアカウントは、Cloud Data Fusion がリソースにアクセスするための Cloud Data Fusion の ID を提供します。

Cloud Data Fusion API を有効にして Cloud Data Fusion インスタンスを作成すると、Service Networking、Dataproc、Cloud Storage、BigQuery、Spanner、Bigtable などのリソースにアクセスするためのサービスアカウントがプロジェクトに追加されます。このサービスアカウントは、Cloud Data Fusion API サービスエージェントと呼ばれます。このサービスエージェントにはロールが自動的に付与されます。

サービスアカウントは、アカウント固有のメールアドレスで識別されます。

Cloud Data Fusion では、次のタイプのサービスアカウントが使用されます。詳細については、サービスアカウントの種類をご覧ください。

サービスアカウント説明

サービスアカウント	説明
`service-CUSTOMER_PROJECT_NUMBER@gcp-sa- datafusion.iam.gserviceaccount.com`	サービスエージェント。Cloud Data Fusion API サービスエージェントと呼ばれ、Cloud Data Fusion がお客様のリソースにアクセスするために作成されるため、お客様に代わって動作できます。テナントプロジェクトでお客様のプロジェクトのリソースにアクセスするために使用されます。たとえば、プレビューは Dataproc クラスタではなくメモリで実行されます。デフォルトで Cloud Data Fusion サービスアカウントに割り当てられている Cloud Data Fusion API サービスエージェント（`roles/datafusion.serviceAgent`）Identity and Access Management ロールには、最適なユーザーエクスペリエンスを実現するための追加の権限が含まれています。セキュリティを強化するには、タスクに必要な最小限の権限のセットを備えたカスタムロールを作成し、Cloud Data Fusion サービスアカウントに割り当てます。
`CUSTOMER_PROJECT_NUMBER- compute@developer.gserviceaccount.com`	Cloud Data Fusion が他の Google Cloud リソースにアクセスするジョブをデプロイするために作成するデフォルトの Compute Engine サービスアカウント。デフォルトでは、パイプラインの実行中に Cloud Data Fusion が Dataproc リソースにアクセスできるようにするために、Dataproc クラスタ VM に接続されています。Cloud Data Fusion の Enterprise エディションでは、Cloud Data Fusion コンソール → [システム管理者] → [構成] タブに移動してプロファイルを作成し、カスタムサービスアカウントを追加することによって、ユーザーが管理するサービスアカウントからパイプラインを実行できます。バージョン 6.2.3 以降では、Cloud Data Fusion インスタンスを作成するときに Dataproc クラスタに接続されるカスタムサービスアカウントを選択できます。詳しくは、Dataproc のサービスアカウントをご覧ください。

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-
      datafusion.iam.gserviceaccount.com

サービスエージェント。Cloud Data Fusion API サービスエージェントと呼ばれ、Cloud Data Fusion がお客様のリソースにアクセスするために作成されるため、お客様に代わって動作できます。テナントプロジェクトでお客様のプロジェクトのリソースにアクセスするために使用されます。たとえば、プレビューは Dataproc クラスタではなくメモリで実行されます。

デフォルトで Cloud Data Fusion サービスアカウントに割り当てられている Cloud Data Fusion API サービスエージェント（roles/datafusion.serviceAgent）Identity and Access Management ロールには、最適なユーザーエクスペリエンスを実現するための追加の権限が含まれています。セキュリティを強化するには、タスクに必要な最小限の権限のセットを備えたカスタムロールを作成し、Cloud Data Fusion サービスアカウントに割り当てます。

CUSTOMER_PROJECT_NUMBER- compute@developer.gserviceaccount.com Cloud Data Fusion が他の Google Cloud リソースにアクセスするジョブをデプロイするために作成するデフォルトの Compute Engine サービスアカウント。デフォルトでは、パイプラインの実行中に Cloud Data Fusion が Dataproc リソースにアクセスできるようにするために、Dataproc クラスタ VM に接続されています。Cloud Data Fusion の Enterprise エディションでは、Cloud Data Fusion コンソール → [システム管理者] → [構成] タブに移動してプロファイルを作成し、カスタムサービスアカウントを追加することによって、ユーザーが管理するサービスアカウントからパイプラインを実行できます。バージョン 6.2.3 以降では、Cloud Data Fusion インスタンスを作成するときに Dataproc クラスタに接続されるカスタムサービスアカウントを選択できます。詳しくは、Dataproc のサービスアカウントをご覧ください。

次のステップ

データのアクセス制御について学習する。
サービスアカウントにユーザー権限を付与する。
Cloud Data Fusion の料金を確認する。

Cloud Data Fusion でのサービス アカウント

テナントとお客様のプロジェクト

Cloud Data Fusion でのサービス アカウント

次のステップ

Cloud Data Fusion でのサービスアカウント

Cloud Data Fusion でのサービスアカウント