Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En esta página, se describe cómo se usan las cuentas de servicio en Cloud Data Fusion. Para obtener más información, consulta Usa cuentas de servicio.
Proyectos de cliente y usuario
Cloud Data Fusion configura cuentas de servicio para acceder a los recursos en los siguientes proyectos:
Proyecto de inquilino
Cloud Data Fusion crea un proyecto de usuario que contiene los recursos y los servicios que necesita para administrar canalizaciones en tu nombre. Por ejemplo: ejecutar canalizaciones en tus clústeres de Dataproc que residen en tu proyecto de cliente. Un proyecto de usuario no está expuesto a ti, pero cuando creas una instancia privada, es posible que debas usar el nombre del proyecto de usuario para configurar el intercambio de tráfico de VPC.
Para obtener más información, consulta la documentación de Infraestructura de servicios sobre los proyectos de usuario.
Proyecto del cliente
Tú creas y posees este proyecto. Según la configuración predeterminada, Cloud Data Fusion crea un clúster efímero de Dataproc en este proyecto para ejecutar tus canalizaciones.
En el siguiente diagrama, se muestra una instancia de Cloud Data Fusion que se ejecuta en un proyecto de usuario y una canalización que se ejecuta en un clúster de Dataproc en un proyecto de cliente.
Cuentas de servicio en Cloud Data Fusion
Una cuenta de servicio proporciona una identidad para Cloud Data Fusion, que le da a Cloud Data Fusion acceso a tus recursos.
Cuando habilitas la API de Cloud Data Fusion y creas una instancia de Cloud Data Fusion, se agrega una cuenta de servicio a tu proyecto para acceder a recursos como Service Networking, Dataproc, Cloud Storage, BigQuery, Spanner y Bigtable. Esta cuenta de servicio se llama Agente de servicio de la API de Cloud Data Fusion.
Las funciones se otorgan de forma automática a este agente de servicio.
Una cuenta de servicio se identifica por su dirección de correo electrónico, que es única a la cuenta.
En Cloud Data Fusion, se usan los siguientes tipos de cuentas de servicio. Para obtener más información, consulta Tipos de cuentas de servicio.
El agente de servicio, llamado Agente de servicio de la API de Cloud Data Fusion, que Cloud Data Fusion crea para obtener acceso a los recursos del cliente y poder actuar en su nombre. Se usa en el proyecto de usuario para acceder a los recursos del proyecto de cliente. Por ejemplo, la vista previa se ejecuta en la memoria en lugar de en un clúster de Dataproc.
La identidad y el rol de administración de acceso de Agente de servicio de la API de Cloud Data Fusion (roles/datafusion.serviceAgent) que se asignan a la cuenta de servicio de Cloud Data Fusion de forma predeterminada incluyen permisos adicionales para garantizar una experiencia del usuario óptima. Para mejorar la seguridad, puedes crear un rol personalizado con un conjunto de permisos mínimos requeridos para una tarea y asignarlo a la cuenta de servicio de Cloud Data Fusion.
La cuenta de servicio predeterminada de Compute Engine que Cloud Data Fusion crea para implementar trabajos que acceden a otros recursos de Google Cloud . De forma predeterminada, se adjunta a una VM de clúster de Dataproc para permitir que Cloud Data Fusion acceda a los recursos de Dataproc durante la ejecución de una canalización. En la edición Enterprise de Cloud Data Fusion, puedes ejecutar canalizaciones desde una cuenta de servicio administrada por el usuario si creas un perfil desde la consola de Cloud Data Fusion → Administrador del sistema → pestaña Configuración y agregas la cuenta de servicio personalizada. En las versiones 6.2.3 y posteriores, puedes elegir una cuenta de servicio personalizada para adjuntar al clúster de Dataproc cuando creas una instancia de Cloud Data Fusion. Para obtener más información, consulta
Cuentas de servicio en Dataproc.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[[["\u003cp\u003eCloud Data Fusion uses service accounts to access resources in both tenant and customer projects, enabling it to manage pipelines on the user's behalf.\u003c/p\u003e\n"],["\u003cp\u003eThe Cloud Data Fusion API Service Agent is a service account created automatically when enabling the Cloud Data Fusion API, granting it access to resources like Service Networking, Dataproc, Cloud Storage, and others.\u003c/p\u003e\n"],["\u003cp\u003eA default Compute Engine service account is also created to deploy jobs that access other Google Cloud resources, which can attach to a Dataproc cluster VM to enable Cloud Data Fusion to access Dataproc resources during pipeline runs.\u003c/p\u003e\n"],["\u003cp\u003eIn Cloud Data Fusion Enterprise edition, pipelines can run from a user-managed service account by creating a profile in the Cloud Data Fusion console, enhancing control and customization.\u003c/p\u003e\n"],["\u003cp\u003eCustomer project is owned by the customer and is the location where the ephemeral Dataproc cluster is located in order to run the user's pipelines.\u003c/p\u003e\n"]]],[],null,["# Service accounts in Cloud Data Fusion\n\nThis page describes how service accounts are used in Cloud Data Fusion. For\nmore information, see [Use service accounts](/iam/docs/service-accounts).\n\n### Tenant and customer projects\n\nCloud Data Fusion sets up service accounts to access resources in the\nfollowing projects:\n\nTenant project\n\n: Cloud Data Fusion creates a tenant project to hold the resources and\n services it needs to manage pipelines on your behalf. For example: running\n pipelines on your Dataproc clusters that reside in your customer\n project. A tenant project is not exposed to you, but when you create a\n private instance, you might need to use the tenant project name to set up VPC\n peering.\n\n For more information, see the Service Infrastructure documentation about\n [tenant projects](/service-infrastructure/docs/glossary#tenant).\n\nCustomer project\n\n: You create and own this project. By default, Cloud Data Fusion creates an\n ephemeral Dataproc cluster in this project to run the your\n pipelines.\n\nThe following diagram shows a Cloud Data Fusion instance running in a\ntenant project and a pipeline running on a Dataproc cluster in a\ncustomer project.\n\nService accounts in Cloud Data Fusion\n-------------------------------------\n\nA service account provides an identity for Cloud Data Fusion, which gives\nCloud Data Fusion access to your resources.\n\nWhen you enable the Cloud Data Fusion API and create a\nCloud Data Fusion instance, a service account is added to your project to\naccess resources like Service Networking,\nDataproc, Cloud Storage, BigQuery, Spanner,\nand Bigtable. This service account is called the\n[Cloud Data Fusion API Service Agent](/iam/docs/understanding-roles#datafusion.serviceAgent).\nRoles are automatically granted to this service agent.\n\nA service account is identified by its email address, which is unique to the\naccount.\n\nThe following types of service accounts are used in Cloud Data Fusion. For\nmore information, see [Types of service accounts](/iam/docs/service-account-types).\n\nWhat's next\n-----------\n\n- Learn about [controlling access to data](/data-fusion/docs/access-control).\n- [Give Service Account User permissions](/data-fusion/docs/how-to/granting-service-account-permission).\n- See Cloud Data Fusion [pricing](/data-fusion/pricing)."]]
