Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questa pagina descrive come vengono utilizzati i service account in Cloud Data Fusion. Per ulteriori informazioni, consulta Utilizzare i service account.
Progetti del tenant e del cliente
Cloud Data Fusion configura i service account per accedere alle risorse nei seguenti progetti:
Progetto tenant
Cloud Data Fusion crea un progetto tenant per contenere le risorse e i servizi necessari per gestire le pipeline per tuo conto. Ad esempio, l'esecuzione di pipeline sui cluster Dataproc che risiedono nel progetto cliente. Non puoi vedere un progetto tenant, ma quando crei un'istanza privata, potresti dover utilizzare il nome del progetto tenant per configurare il peering VPC.
Per saperne di più, consulta la documentazione dell'Service Infrastructure sui
progetti tenant.
Progetto cliente
Tu crei e possiedi questo progetto. Per impostazione predefinita, Cloud Data Fusion crea un cluster Dataproc temporaneo in questo progetto per eseguire le pipeline.
Il seguente diagramma mostra un'istanza Cloud Data Fusion in esecuzione in un progetto tenant e una pipeline in esecuzione su un cluster Dataproc in un progetto cliente.
Service account in Cloud Data Fusion
Un account di servizio fornisce un'identità per Cloud Data Fusion, che
consente a Cloud Data Fusion di accedere alle tue risorse.
Quando attivi l'API Cloud Data Fusion e crei un'istanza Cloud Data Fusion, al tuo progetto viene aggiunto un account di servizio per accedere a risorse come Service Networking, Dataproc, Cloud Storage, BigQuery, Spanner e Bigtable. Questo account di servizio è chiamato
agente di servizio API Cloud Data Fusion.
I ruoli vengono concessi automaticamente a questo agente di servizio.
Un account di servizio è identificato dal rispettivo indirizzo email, che è univoco per l'account.
In Cloud Data Fusion vengono utilizzati i seguenti tipi di service account. Per
maggiori informazioni, vedi Tipi di service account.
L'agente di servizio, chiamato
agente di servizio API Cloud Data Fusion, che
Cloud Data Fusion crea per ottenere l'accesso alle risorse del cliente in modo da poter agire per suo conto. Viene utilizzato nel progetto
tenant per accedere alle risorse del progetto cliente. Ad esempio,
l'anteprima viene eseguita in memoria anziché in un cluster Dataproc.
Il ruolo
Cloud Data Fusion API Service Agent
(roles/datafusion.serviceAgent) Identity and Access Management assegnato per impostazione predefinita al
service account Cloud Data Fusion include autorizzazioni aggiuntive
per garantire un'esperienza utente ottimale. Per migliorare la sicurezza, puoi creare un ruolo personalizzato con un insieme di autorizzazioni minime richieste per un'attività e assegnarlo al service account Cloud Data Fusion.
L'account di servizio Compute Engine predefinito che
Cloud Data Fusion crea per eseguire il deployment di job che accedono ad altre
risorse Google Cloud . Per impostazione predefinita, si collega a una
VM del cluster Dataproc per consentire a Cloud Data Fusion di
accedere alle risorse Dataproc durante l'esecuzione di una pipeline. In
Cloud Data Fusion
Enterprise Edition,
puoi eseguire pipeline da un account di servizio gestito dall'utente
creando un profilo dalla console Cloud Data Fusion→Amministrazione di sistema→scheda Configurazione e aggiungendo l'account di servizio personalizzato. Nelle versioni 6.2.3 e successive, puoi scegliere un service account personalizzato da collegare al cluster Dataproc durante la creazione di un'istanza di Cloud Data Fusion. Per saperne di più, consulta
Service account in Dataproc.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[[["\u003cp\u003eCloud Data Fusion uses service accounts to access resources in both tenant and customer projects, enabling it to manage pipelines on the user's behalf.\u003c/p\u003e\n"],["\u003cp\u003eThe Cloud Data Fusion API Service Agent is a service account created automatically when enabling the Cloud Data Fusion API, granting it access to resources like Service Networking, Dataproc, Cloud Storage, and others.\u003c/p\u003e\n"],["\u003cp\u003eA default Compute Engine service account is also created to deploy jobs that access other Google Cloud resources, which can attach to a Dataproc cluster VM to enable Cloud Data Fusion to access Dataproc resources during pipeline runs.\u003c/p\u003e\n"],["\u003cp\u003eIn Cloud Data Fusion Enterprise edition, pipelines can run from a user-managed service account by creating a profile in the Cloud Data Fusion console, enhancing control and customization.\u003c/p\u003e\n"],["\u003cp\u003eCustomer project is owned by the customer and is the location where the ephemeral Dataproc cluster is located in order to run the user's pipelines.\u003c/p\u003e\n"]]],[],null,["# Service accounts in Cloud Data Fusion\n\nThis page describes how service accounts are used in Cloud Data Fusion. For\nmore information, see [Use service accounts](/iam/docs/service-accounts).\n\n### Tenant and customer projects\n\nCloud Data Fusion sets up service accounts to access resources in the\nfollowing projects:\n\nTenant project\n\n: Cloud Data Fusion creates a tenant project to hold the resources and\n services it needs to manage pipelines on your behalf. For example: running\n pipelines on your Dataproc clusters that reside in your customer\n project. A tenant project is not exposed to you, but when you create a\n private instance, you might need to use the tenant project name to set up VPC\n peering.\n\n For more information, see the Service Infrastructure documentation about\n [tenant projects](/service-infrastructure/docs/glossary#tenant).\n\nCustomer project\n\n: You create and own this project. By default, Cloud Data Fusion creates an\n ephemeral Dataproc cluster in this project to run the your\n pipelines.\n\nThe following diagram shows a Cloud Data Fusion instance running in a\ntenant project and a pipeline running on a Dataproc cluster in a\ncustomer project.\n\nService accounts in Cloud Data Fusion\n-------------------------------------\n\nA service account provides an identity for Cloud Data Fusion, which gives\nCloud Data Fusion access to your resources.\n\nWhen you enable the Cloud Data Fusion API and create a\nCloud Data Fusion instance, a service account is added to your project to\naccess resources like Service Networking,\nDataproc, Cloud Storage, BigQuery, Spanner,\nand Bigtable. This service account is called the\n[Cloud Data Fusion API Service Agent](/iam/docs/understanding-roles#datafusion.serviceAgent).\nRoles are automatically granted to this service agent.\n\nA service account is identified by its email address, which is unique to the\naccount.\n\nThe following types of service accounts are used in Cloud Data Fusion. For\nmore information, see [Types of service accounts](/iam/docs/service-account-types).\n\nWhat's next\n-----------\n\n- Learn about [controlling access to data](/data-fusion/docs/access-control).\n- [Give Service Account User permissions](/data-fusion/docs/how-to/granting-service-account-permission).\n- See Cloud Data Fusion [pricing](/data-fusion/pricing)."]]
