Comptes de service Cloud Data Fusion

Avant de commencer

Examinez le fonctionnement des comptes de service dans Identity and Access Management.

Projets clients et locataires

Cloud Data Fusion configure des comptes de service pour accéder aux ressources des projets suivants :

Projet locataire

Cloud Data Fusion crée un projet locataire destiné à contenir les ressources et les services dont il a besoin pour gérer des pipelines en votre nom. Par exemple, pour exécuter des pipelines sur des clusters Dataproc résidant dans votre projet client. Un projet locataire n'est pas exposé aux clients. Cependant, lorsque vous créerez une instance privée, vous devrez peut-être utiliser le nom du projet locataire pour configurer l'appairage de VPC.

Pour en savoir plus, consultez la documentation Service Infrastructure concernant les projets locataires.

Projet client

Le client crée ce projet et en est le propriétaire. Par défaut, Cloud Data Fusion crée un cluster Dataproc éphémère dans ce projet pour exécuter les pipelines du client.

Le schéma suivant montre une instance Cloud Data Fusion s'exécutant dans un projet locataire et un pipeline s'exécutant sur un cluster Dataproc dans un projet client.

Déployez le pipeline.

Comptes de service dans Cloud Data Fusion

Un compte de service fournit une identité à Cloud Data Fusion, lui permettant d'accéder à vos ressources.

Lorsque vous activez l'API Cloud Data Fusion, Cloud Data Fusion crée un compte de service géré par Google pour accéder à des ressources telles que Service Networking, Dataproc, Cloud Storage, BigQuery, Cloud Spanner et Cloud Bigtable. Ce compte de service est appelé Agent de service de l'API Cloud Data Fusion. Des rôles sont automatiquement attribués à cet agent de service.

Un compte de service est identifié par son adresse e-mail, qui est unique au compte.

Le tableau suivant répertorie les types de comptes de service utilisés dans Cloud Data Fusion. Pour plus d'informations, consultez la section Types de comptes de service dans la documentation IAM.

Compte de service Description
service-customer-project-number@gcp-sa- datafusion.iam.gserviceaccount.com Compte de service géré par Google, appelé Agent de service de l'API Cloud Data Fusion, que Cloud Data Fusion crée pour accéder aux ressources du client afin de pouvoir agir au nom de celui-ci. Il est utilisé dans le projet locataire pour accéder aux ressources du projet client. Par exemple, la version Bêta s'exécute en mémoire plutôt que dans un cluster Dataproc.
customer-project-number- compute@developer.gserviceaccount.com Compte de service Compute Engine par défaut créé par Cloud Data Fusion pour déployer des tâches qui accèdent à d'autres ressources Google Cloud. Par défaut, il est associé à une VM de cluster Dataproc pour permettre à Cloud Data Fusion d'accéder aux ressources Dataproc pendant l'exécution d'un pipeline. Dans l'édition Enterprise de Cloud Data Fusion, vous pouvez exécuter des pipelines à partir d'un compte de service géré par l'utilisateur. Pour ce faire, créez un profil à partir de la console Cloud Data Fusion→Administrateur système→onglet Configuration, puis ajoutez le compte de service personnalisé. Dans les versions 6.2.3 et ultérieures, vous pouvez choisir un compte de service personnalisé à associer au cluster Dataproc lors de la création d'une instance Cloud Data Fusion. Pour en savoir plus, consultez la section Comptes de service dans Dataproc.
cloud-datafusion-management-sa@tenant-project- id.iam.gserviceaccount.com Obsolète. Ce compte de service n'est ni créé ni utilisé. Il s'agit d'un champ d'API permettant de rechercher le nom du projet locataire à utiliser dans l'appairage (consultez la section Configurer l'appairage de réseaux VPC).

Étape suivante