Diese Seite wurde von der Cloud Translation API übersetzt.

Dem Dienstkonto Nutzerberechtigungen erteilen

Auf dieser Seite wird beschrieben, wie Sie Cloud Data Fusion die Dataproc-Rolle Dienstkontonutzer zuweisen, damit sie Pipelines in Dataproc-Clustern bereitstellen und ausführen kann.

Für Dienstkonten, die von Dataproc verwendet werden, müssen Sie außerdem Gewähren Sie die Berechtigung datafusion.instances.runtime für den Zugriff. Cloud Data Fusion-Laufzeitressourcen

Unabhängig davon, ob Sie ein nutzerverwaltetes Dienstkonto oder das Compute Engine-Standarddienstkonto auf den virtuellen Maschinen in einem Cluster verwenden, müssen Sie Cloud Data Fusion die Rolle "Dienstkontonutzer" zuweisen. Andernfalls kann Cloud Data Fusion keinen Dataproc-Cluster bereitstellen und der folgende Fehler wird angezeigt, wenn Sie eine Datenpipeline ausführen:

PROVISION task failed in REQUESTING_CREATE state for program run [pipeline-name] due to Dataproc operation failure: INVALID_ARGUMENT: User not authorized to act as service account '[service-account-name]'

Name des Dienstkontos abrufen

Rufen Sie in der Google Cloud Console die Seite „Identity and Access Management“ auf.
Zur Seite „IAM”
Wählen Sie in der Projektauswahl oben auf der Seite das Projekt, den Ordner oder die Organisation aus, zu der die Cloud Data Fusion-Instanz gehört.
Suchen und kopieren Sie den Namen des Cloud Data Fusion-Dienstkontos. Verwenden Sie das folgende Format: service-[project-number]@gcp-sa-datafusion.iam.gserviceaccount.com.

Nutzerberechtigungen für Dienstkonten erteilen

Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf.
Zur Seite "Dienstkonten"
Klicken Sie auf Projekt auswählen und wählen Sie ein Projekt aus, den Dataproc-Cluster befindet. Klicken Sie auf Öffnen.
Klicken Sie auf die E-Mail-Adresse des Dataproc-Dienstkontos.

Wenn Cloud Data Fusion einem Dataproc-Cluster, können Sie angeben, Dienstkonto für die virtuellen Dataproc-Maschinen in diesem Cluster. Wenn kein Dienstkonto angegeben ist, wird das Compute Engine-Standarddienstkonto verwendet, das das Format [project-number]-compute@developer.gserviceaccount.com hat.
Klicken Sie auf den Tab Berechtigungen. Auf der Seite wird eine Liste der Hauptkonten angezeigt, Rollen für das Dienstkonto zugewiesen.
Klicken Sie auf Zugriff erlauben.
Fügen Sie den Cloud Data Fusion-Dienst in das Feld Neue Hauptkonten ein Kontonamen, den Sie zuvor kopiert haben.
Wählen Sie die Rolle Dienstkontonutzer aus.
Klicken Sie auf Speichern.

Dataproc-Dienstkonten Rollen zuweisen

Runner-Rollenberechtigung gewähren

Cloud Data Fusion-Runner-Rolle gewähren (roles/datafusion.runner) für Dienstkonten, die von Dataproc nutzen. Dadurch wird das Dataproc-Dienstkonto zum Ausführen von Cloud Data Fusion-Pipelines in Ihrem Projekt autorisiert. Weitere Informationen finden Sie unter Berechtigung zum Anhängen von Dienstkonten an Ressourcen verlangen.

Cloud Storage-Administratorberechtigung gewähren

Ab Cloud Data Fusion-Version 6.2.0 gewähren Sie den Rolle „Cloud Storage-Administrator“ (roles/storage.admin) für Dienstkonten, die von Dataproc in Ihrem Projekt

Nächste Schritte

Weitere Informationen zur Zugriffssteuerung in Cloud Data Fusion
Weitere Informationen zu Dienstkonten für Cloud Data Fusion