Questa pagina descrive come concedere un account di servizio Dataproc Utente a Cloud Data Fusion per di eseguire il provisioning e l'esecuzione di pipeline sui cluster Dataproc.
Per gli account di servizio utilizzati da Dataproc, devi anche concedere l'autorizzazione datafusion.instances.runtime
per accedere alle risorse di runtime di Cloud Data Fusion.
Indipendentemente dal fatto che tu utilizzi un account di servizio gestito dall'utente o l'account di servizio Compute Engine predefinito sulle macchine virtuali di un cluster, devi concedere il ruolo Utente account di servizio a Cloud Data Fusion. Altrimenti, Cloud Data Fusion non può eseguire il provisioning di un cluster Dataproc e viene visualizzato il seguente errore quando esegui una pipeline di dati:
PROVISION task failed in REQUESTING_CREATE state for program run [pipeline-name] due to Dataproc operation failure: INVALID_ARGUMENT: User not authorized to act as service account '[service-account-name]'
Ottieni il nome dell'account di servizio
- Nella console Google Cloud, vai alla pagina Identity and Access Management.
Vai alla pagina IAM - Dal selettore di progetti nella parte superiore della pagina, scegli il progetto, la cartella o l'organizzazione a cui appartiene l'istanza di Cloud Data Fusion.
- Trova e copia il nome dell'account di servizio Cloud Data Fusion. Utilizza il formato seguente:
service-[project-number]@gcp-sa-datafusion.iam.gserviceaccount.com
.
Concedi l'autorizzazione utente all'account di servizio
- Nella console Google Cloud, vai alla pagina Account di servizio.
Vai alla pagina Account di servizio - Fai clic su Seleziona un progetto, scegli un progetto in cui l'account di servizio da utilizzare per il cluster Dataproc fai clic su Apri.
Fai clic sull'indirizzo email dell'account di servizio Dataproc.
Fai clic sulla scheda Autorizzazioni. La pagina mostra un elenco di entità sono stati concessi ruoli per l'account di servizio.
Fai clic su
Concedi accesso.Nel campo Nuove entità, incolla il servizio Cloud Data Fusion nome dell'account precedentemente copiato.
Seleziona il ruolo Utente account di servizio.
Fai clic su Salva.
Concedi ruoli agli account di servizio Dataproc
Concedi l'autorizzazione del ruolo runner
Concedi il ruolo runner di Cloud Data Fusion
(roles/datafusion.runner
) agli account di servizio usati
Dataproc. In questo modo, l'account di servizio Dataproc viene autorizzato a eseguire le pipeline Cloud Data Fusion nel tuo progetto.
Per ulteriori informazioni, consulta Requisire l'autorizzazione per collegare gli account di servizio alle risorse.
Concedi l'autorizzazione di amministratore di Cloud Storage
Nelle versioni 6.2.0 e successive di Cloud Data Fusion, concedi il
ruolo Amministratore di Cloud Storage
(roles/storage.admin
) agli account di servizio utilizzati da
Dataproc nel tuo progetto.
Passaggi successivi
- Scopri di più sul controllo dell'accesso in Cloud Data Fusion.
- Scopri di più sugli account di servizio Cloud Data Fusion.