Account di servizio Cloud Data Fusion

Prima di iniziare

Esamina come funzionano gli account di servizio in Identity and Access Management.

Progetti di inquilini e clienti

Cloud Data Fusion configura gli account di servizio per l'accesso alle risorse nei seguenti progetti:

Progetto tenant

Cloud Data Fusion crea un progetto tenant per contenere le risorse e i servizi di cui ha bisogno per gestire le pipeline per tuo conto. Ad esempio, esegui pipeline su cluster GKE che risiedono nel tuo progetto cliente. Un progetto tenant non è esposto a te, ma quando crei un'istanza privata, potresti dover utilizzare il nome del progetto tenant per configurare il peering VPC.

Per scoprire di più, consulta la documentazione dell'infrastruttura di servizi relativa ai progetti tenant.

Progetto cliente

Tu crei e possiedi questo progetto. Per impostazione predefinita, Cloud Data Fusion crea un cluster Dataproc temporaneo in questo progetto per eseguire le pipeline.

Il seguente diagramma mostra un'istanza di Cloud Data Fusion in esecuzione in un progetto tenant e una pipeline in esecuzione in un cluster Dataproc in un progetto del cliente.

Eseguire il deployment della pipeline.

Account di servizio in Cloud Data Fusion

Un account di servizio fornisce un'identità a Cloud Data Fusion, che consente a Cloud Data Fusion di accedere alle tue risorse.

Quando attivi l'API Cloud Data Fusion, Cloud Data Fusion crea un account di servizio gestito da Google per accedere a risorse come Service Networking, Dataproc, Cloud Storage, BigQuery, Cloud Spanner e Cloud Bigtable. Questo account di servizio è chiamato agente di servizio API Cloud Data Fusion. I ruoli vengono concessi automaticamente a questo agente di servizio.

Un account di servizio è identificato dal suo indirizzo email, univoco per l'account.

I seguenti tipi di account di servizio utilizzati in Cloud Data Fusion. Per ulteriori informazioni, consulta Tipi di account di servizio.

Account di servizio Descrizione
service-CUSTOMER_PROJECT_NUMBER@gcp-sa- datafusion.iam.gserviceaccount.com L'account di servizio gestito da Google, chiamato Agente di servizio API Cloud Data Fusion, che Cloud Data Fusion crea per ottenere l'accesso alle risorse del cliente, in modo che possa agire per conto del cliente. Viene utilizzato nel progetto tenant per accedere alle risorse del progetto cliente. Ad esempio, l'anteprima viene eseguita in memoria anziché in un cluster Dataproc.
CUSTOMER_PROJECT_NUMBER- compute@developer.gserviceaccount.com L'account di servizio predefinito di Compute Engine che Cloud Data Fusion crea per eseguire il deployment di job che accedono ad altre risorse di Google Cloud. Per impostazione predefinita, si collega a una VM del cluster Dataproc per consentire a Cloud Data Fusion di accedere alle risorse Dataproc durante l'esecuzione di una pipeline. In Cloud Data Fusion Enterprise Edition, puoi eseguire le pipeline da un account di servizio gestito dall'utente creando un profilo dalla console di Cloud Data Fusion → amministratore di sistema → scheda Configurazione e aggiungendo l'account di servizio personalizzato. Nelle versioni 6.2.3 e successive, puoi scegliere un account di servizio personalizzato da collegare al cluster Dataproc durante la creazione di un'istanza Cloud Data Fusion. Per ulteriori informazioni, consulta Account di servizio in Dataproc.
cloud-datafusion-management-sa@TENANT_PROJECT_ID .iam.gserviceaccount.com Deprecato. Questo account di servizio non è stato creato o utilizzato. Viene generato come campo API per trovare il nome del progetto tenant da utilizzare nel peering (vedi Configurare il peering di rete VPC).

Passaggi successivi