Questa pagina è stata tradotta dall'API Cloud Translation.

Account di servizio in Cloud Data Fusion

Questa pagina descrive come vengono utilizzati i service account in Cloud Data Fusion. Per ulteriori informazioni, consulta Utilizzare i service account.

Progetti del tenant e del cliente

Cloud Data Fusion configura i service account per accedere alle risorse nei seguenti progetti:

Progetto tenant

Cloud Data Fusion crea un progetto tenant per contenere le risorse e i servizi necessari per gestire le pipeline per tuo conto. Ad esempio, l'esecuzione di pipeline sui cluster Dataproc che risiedono nel progetto cliente. Non puoi vedere un progetto tenant, ma quando crei un'istanza privata, potresti dover utilizzare il nome del progetto tenant per configurare il peering VPC.

Per saperne di più, consulta la documentazione dell'Service Infrastructure sui progetti tenant.

Progetto cliente

Tu crei e possiedi questo progetto. Per impostazione predefinita, Cloud Data Fusion crea un cluster Dataproc temporaneo in questo progetto per eseguire le pipeline.

Il seguente diagramma mostra un'istanza Cloud Data Fusion in esecuzione in un progetto tenant e una pipeline in esecuzione su un cluster Dataproc in un progetto cliente.

Esegui il deployment della pipeline in Cloud Data Fusion.

Service account in Cloud Data Fusion

Un account di servizio fornisce un'identità per Cloud Data Fusion, che consente a Cloud Data Fusion di accedere alle tue risorse.

Quando attivi l'API Cloud Data Fusion e crei un'istanza Cloud Data Fusion, al tuo progetto viene aggiunto un account di servizio per accedere a risorse come Service Networking, Dataproc, Cloud Storage, BigQuery, Spanner e Bigtable. Questo account di servizio è chiamato agente di servizio API Cloud Data Fusion. I ruoli vengono concessi automaticamente a questo agente di servizio.

Un account di servizio è identificato dal rispettivo indirizzo email, che è univoco per l'account.

In Cloud Data Fusion vengono utilizzati i seguenti tipi di service account. Per maggiori informazioni, vedi Tipi di service account.

Service account Descrizione

Service account	Descrizione
`service-CUSTOMER_PROJECT_NUMBER@gcp-sa- datafusion.iam.gserviceaccount.com`	L'agente di servizio, chiamato agente di servizio API Cloud Data Fusion, che Cloud Data Fusion crea per ottenere l'accesso alle risorse del cliente in modo da poter agire per suo conto. Viene utilizzato nel progetto tenant per accedere alle risorse del progetto cliente. Ad esempio, l'anteprima viene eseguita in memoria anziché in un cluster Dataproc. Il ruolo Cloud Data Fusion API Service Agent (`roles/datafusion.serviceAgent`) Identity and Access Management assegnato per impostazione predefinita al service account Cloud Data Fusion include autorizzazioni aggiuntive per garantire un'esperienza utente ottimale. Per migliorare la sicurezza, puoi creare un ruolo personalizzato con un insieme di autorizzazioni minime richieste per un'attività e assegnarlo al service account Cloud Data Fusion.
`CUSTOMER_PROJECT_NUMBER- compute@developer.gserviceaccount.com`	L'account di servizio Compute Engine predefinito che Cloud Data Fusion crea per eseguire il deployment di job che accedono ad altre risorse Google Cloud . Per impostazione predefinita, si collega a una VM del cluster Dataproc per consentire a Cloud Data Fusion di accedere alle risorse Dataproc durante l'esecuzione di una pipeline. In Cloud Data Fusion Enterprise Edition, puoi eseguire pipeline da un account di servizio gestito dall'utente creando un profilo dalla console Cloud Data Fusion→Amministrazione di sistema→scheda Configurazione e aggiungendo l'account di servizio personalizzato. Nelle versioni 6.2.3 e successive, puoi scegliere un service account personalizzato da collegare al cluster Dataproc durante la creazione di un'istanza di Cloud Data Fusion. Per saperne di più, consulta Service account in Dataproc.

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-
      datafusion.iam.gserviceaccount.com

L'agente di servizio, chiamato agente di servizio API Cloud Data Fusion, che Cloud Data Fusion crea per ottenere l'accesso alle risorse del cliente in modo da poter agire per suo conto. Viene utilizzato nel progetto tenant per accedere alle risorse del progetto cliente. Ad esempio, l'anteprima viene eseguita in memoria anziché in un cluster Dataproc.

Il ruolo Cloud Data Fusion API Service Agent (roles/datafusion.serviceAgent) Identity and Access Management assegnato per impostazione predefinita al service account Cloud Data Fusion include autorizzazioni aggiuntive per garantire un'esperienza utente ottimale. Per migliorare la sicurezza, puoi creare un ruolo personalizzato con un insieme di autorizzazioni minime richieste per un'attività e assegnarlo al service account Cloud Data Fusion.

CUSTOMER_PROJECT_NUMBER- compute@developer.gserviceaccount.com L'account di servizio Compute Engine predefinito che Cloud Data Fusion crea per eseguire il deployment di job che accedono ad altre risorse Google Cloud . Per impostazione predefinita, si collega a una VM del cluster Dataproc per consentire a Cloud Data Fusion di accedere alle risorse Dataproc durante l'esecuzione di una pipeline. In Cloud Data Fusion Enterprise Edition, puoi eseguire pipeline da un account di servizio gestito dall'utente creando un profilo dalla console Cloud Data Fusion→Amministrazione di sistema→scheda Configurazione e aggiungendo l'account di servizio personalizzato. Nelle versioni 6.2.3 e successive, puoi scegliere un service account personalizzato da collegare al cluster Dataproc durante la creazione di un'istanza di Cloud Data Fusion. Per saperne di più, consulta Service account in Dataproc.

Passaggi successivi

Scopri di più sul controllo dell'accesso ai dati.
Concedi le autorizzazioni utente all'account di servizio.
Consulta i prezzi di Cloud Data Fusion.