Cloud Data Fusion でのサービス アカウント

このページでは、Cloud Data Fusion でサービス アカウントを使用する方法について説明します。詳細については、サービス アカウントの使用をご覧ください。

テナントとお客様のプロジェクト

Cloud Data Fusion では、次のプロジェクトのリソースにアクセスするためのサービス アカウントが設定されます。

テナント プロジェクト

Cloud Data Fusion では、ユーザーに代わってパイプラインを管理するために必要なリソースとサービスを保持するテナント プロジェクトが作成されます。例: お客様のプロジェクトに存在する Dataproc クラスタでのパイプラインの実行。テナント プロジェクトはお客様に公開されませんが、プライベート インスタンスを作成する場合は、テナント プロジェクト名を使用して VPC ピアリングを設定する必要があります。

詳細については、テナント プロジェクトに関するサービスのインフラストラクチャのドキュメントをご覧ください。

お客様のプロジェクト

このプロジェクトを作成して所有します。デフォルトでは、Cloud Data Fusion はパイプラインを実行するエフェメラル Dataproc クラスタをこのプロジェクト内に作成します。

次の図は、テナント プロジェクトで実行されている Cloud Data Fusion インスタンスと、お客様のプロジェクトの Dataproc クラスタで実行されているパイプラインを示しています。

パイプラインをデプロイします。

Cloud Data Fusion でのサービス アカウント

サービス アカウントは、Cloud Data Fusion がリソースにアクセスするための Cloud Data Fusion の ID を提供します。

Cloud Data Fusion API を有効にすると、Cloud Data Fusion は、Service Networking、Dataproc、Cloud Storage、BigQuery、Spanner、Bigtable などのリソースにアクセスするための Google マネージド サービス アカウントを作成します。このサービス アカウントは、Cloud Data Fusion API サービス エージェントと呼ばれます。 このサービス エージェントにはロールが自動的に付与されます。

サービス アカウントは、アカウント固有のメールアドレスで識別されます。

Cloud Data Fusion で使用される次のタイプのサービス アカウント。詳細については、サービス アカウントの種類をご覧ください。

サービス アカウント Description
service-CUSTOMER_PROJECT_NUMBER@gcp-sa- datafusion.iam.gserviceaccount.com Google マネージド サービス アカウントCloud Data Fusion API サービス エージェントと呼ばれ、Cloud Data Fusion がお客様のリソースにアクセスするために作成され、お客様に代わって動作できます。テナント プロジェクトお客様のプロジェクトのリソースにアクセスするために使用されます。たとえば、プレビューは Dataproc クラスタではなくメモリで実行されます。
CUSTOMER_PROJECT_NUMBER- compute@developer.gserviceaccount.com 他の Google Cloud リソースにアクセスするジョブをデプロイするために Cloud Data Fusion が作成するデフォルトの Compute Engine サービス アカウント。デフォルトでは、パイプラインの実行中に Cloud Data Fusion が Dataproc リソースにアクセスできるようにするために、Dataproc クラスタ VM に接続されています。Cloud Data Fusion の Enterprise エディションでは、Cloud Data Fusion コンソール → [システム管理者] → [構成] タブに移動してプロファイルを作成し、カスタム サービス アカウントを追加することによって、ユーザーが管理するサービス アカウントからパイプラインを実行できます。バージョン 6.2.3 以降では、Cloud Data Fusion インスタンスを作成するときに Dataproc クラスタに接続されるカスタム サービス アカウントを選択できます。詳しくは、Dataproc のサービス アカウントをご覧ください。

次のステップ