Cloud Data Fusion 中的服務帳戶

本頁說明 Cloud Data Fusion 如何使用服務帳戶。詳情請參閱使用服務帳戶

用戶端和客戶專案

Cloud Data Fusion 會設定服務帳戶,以存取下列專案中的資源:

用戶群專案

Cloud Data Fusion 會建立租戶專案,存放代管管道所需的資源和服務。舉例來說,在您客戶專案中的 Dataproc 叢集上執行管道。系統不會向您顯示租戶專案,不過建立私人執行個體時,您可能需要使用租戶專案名稱設定虛擬私有雲對等互連。

詳情請參閱服務基礎架構說明文件中的租戶專案

客戶專案

您是這個專案的建立者和擁有者。根據預設,Cloud Data Fusion 會在這個專案中建立臨時 Dataproc 叢集,以執行管道。

下圖顯示在用戶群專案中執行的 Cloud Data Fusion 執行個體,以及在客戶專案中 Dataproc 叢集上執行的管道。

在 Cloud Data Fusion 中部署管道。

Cloud Data Fusion 中的服務帳戶

服務帳戶會為 Cloud Data Fusion 提供身分,讓 Cloud Data Fusion 能夠存取您的資源。

啟用 Cloud Data Fusion API 並建立 Cloud Data Fusion 執行個體後,系統會將服務帳戶新增至專案,以便存取 Service Networking、Dataproc、Cloud Storage、BigQuery、Spanner 和 Bigtable 等資源。這個服務帳戶稱為「Cloud Data Fusion API 服務代理人」。系統會自動將角色授予這個服務代理。

每個服務帳戶均使用不重複的電子郵件地址做為識別。

Cloud Data Fusion 會使用下列類型的服務帳戶。詳情請參閱「服務帳戶類型」。

服務帳戶 說明
service-CUSTOMER_PROJECT_NUMBER@gcp-sa- datafusion.iam.gserviceaccount.com

服務代理人 (稱為「Cloud Data Fusion API 服務代理人」),Cloud Data Fusion 會建立這個代理人來取得客戶資源的存取權,以便代表客戶執行動作。用於用戶群專案,存取客戶專案資源。舉例來說,預覽會在記憶體中執行,而不是在 Dataproc 叢集中執行。

「Cloud Data Fusion API 服務代理人」(roles/datafusion.serviceAgent) 預設會指派給 Cloud Data Fusion 服務帳戶,並包含額外權限,確保使用者享有最佳體驗。為提升安全性,您可以建立自訂角色,並指派給 Cloud Data Fusion 服務帳戶,該角色會具備執行工作所需的最低權限
CUSTOMER_PROJECT_NUMBER- compute@developer.gserviceaccount.com Cloud Data Fusion 建立的預設 Compute Engine 服務帳戶,用於部署會存取其他 Google Cloud 資源的工作。根據預設,這項服務會附加至 Dataproc 叢集 VM,讓 Cloud Data Fusion 在管道執行期間存取 Dataproc 資源。在 Cloud Data Fusion Enterprise 版中,您可以透過使用者管理的服務帳戶執行管道,方法是從 Cloud Data Fusion 控制台建立設定檔,然後依序點選「System Admin」→「Configuration」分頁標籤,並新增自訂服務帳戶。在 6.2.3 以上版本中,建立 Cloud Data Fusion 執行個體時,您可以選擇要附加至 Dataproc 叢集的自訂服務帳戶。詳情請參閱 Dataproc 中的服務帳戶

後續步驟