Comptes de service Cloud Data Fusion

Avant de commencer

Examinez le fonctionnement des comptes de service dans Identity and Access Management.

Projets clients et locataires

Cloud Data Fusion configure des comptes de service pour accéder aux ressources des projets suivants :

Projet locataire

Cloud Data Fusion crée un projet locataire destiné à contenir les ressources et les services dont il a besoin pour gérer des pipelines en votre nom. Par exemple, pour exécuter des pipelines sur des clusters Dataproc résidant dans votre projet client. Un projet locataire ne vous est pas exposé, mais lorsque vous créez une instance privée, vous devrez peut-être utiliser le nom du projet locataire pour configurer l'appairage de VPC.

Pour en savoir plus, consultez la documentation Service Infrastructure concernant les projets locataires.

Projet client

Vous créez et possédez ce projet. Par défaut, Cloud Data Fusion crée un cluster Dataproc éphémère dans ce projet pour exécuter vos pipelines.

Le schéma suivant montre une instance Cloud Data Fusion s'exécutant dans un projet locataire et un pipeline s'exécutant sur un cluster Dataproc dans un projet client.

Déployez le pipeline.

Comptes de service dans Cloud Data Fusion

Un compte de service fournit une identité à Cloud Data Fusion, lui permettant d'accéder à vos ressources.

Lorsque vous activez l'API Cloud Data Fusion, Cloud Data Fusion crée un compte de service géré par Google pour accéder à des ressources telles que Service Networking, Dataproc, Cloud Storage, BigQuery, Cloud Spanner et Cloud Bigtable. Ce compte de service est appelé Agent de service de l'API Cloud Data Fusion. Des rôles sont automatiquement attribués à cet agent de service.

Un compte de service est identifié par son adresse e-mail, qui est unique au compte.

Types de comptes de service suivants utilisés dans Cloud Data Fusion Pour en savoir plus, consultez la section Types de comptes de service.

Service account Description
service-CUSTOMER_PROJECT_NUMBER@gcp-sa- datafusion.iam.gserviceaccount.com Le compte de service géré par Google, appelé agent de service de l'API Cloud Data Fusion, créé par Cloud Data Fusion pour accéder aux ressources du client et lui permettre d'agir au nom du client. Il est utilisé dans le projet locataire pour accéder aux ressources du projet client. Par exemple, la version Bêta s'exécute en mémoire plutôt que dans un cluster Dataproc.
CUSTOMER_PROJECT_NUMBER- compute@developer.gserviceaccount.com Compte de service Compute Engine par défaut créé par Cloud Data Fusion pour déployer des tâches qui accèdent à d'autres ressources Google Cloud. Par défaut, il est associé à une VM de cluster Dataproc pour permettre à Cloud Data Fusion d'accéder aux ressources Dataproc pendant l'exécution d'un pipeline. Dans l'édition Enterprise de Cloud Data Fusion, vous pouvez exécuter des pipelines à partir d'un compte de service géré par l'utilisateur en créant un profil dans l'onglet "Configuration" et dans la console "Cloud Data Fusion" et en ajoutant le compte de service personnalisé. Dans les versions 6.2.3 et ultérieures, vous pouvez choisir un compte de service personnalisé à associer au cluster Dataproc lors de la création d'une instance Cloud Data Fusion. Pour en savoir plus, consultez la section Comptes de service dans Dataproc.
cloud-datafusion-management-sa@TENANT_PROJECT_ID .iam.gserviceaccount.com Obsolète. Ce compte de service n'est ni créé ni utilisé. Il s'agit d'un champ d'API permettant de rechercher le nom du projet locataire à utiliser dans l'appairage (consultez la section Configurer l'appairage de réseaux VPC).

Étapes suivantes