Berechtigungen für Dienstkontonutzer erteilen

Auf dieser Seite wird beschrieben, wie Sie Cloud Data Fusion die Dataproc-Rolle Dienstkontonutzer zuweisen, damit sie Pipelines in Dataproc-Clustern bereitstellen und ausführen kann.

Für Dienstkonten, die von Dataproc verwendet werden, müssen Sie außerdem die Berechtigung datafusion.instances.runtime gewähren, um auf Cloud Data Fusion-Laufzeitressourcen zuzugreifen.

Unabhängig davon, ob Sie ein nutzerverwaltetes Dienstkonto oder das Compute Engine-Standarddienstkonto auf den virtuellen Maschinen in einem Cluster verwenden, müssen Sie Cloud Data Fusion die Rolle "Dienstkontonutzer" zuweisen. Andernfalls kann Cloud Data Fusion keinen Dataproc-Cluster bereitstellen und der folgende Fehler wird angezeigt, wenn Sie eine Datenpipeline ausführen:

PROVISION task failed in REQUESTING_CREATE state for program run [pipeline-name] due to Dataproc operation failure: INVALID_ARGUMENT: User not authorized to act as service account '[service-account-name]'

Name des Dienstkontos abrufen

  1. Rufen Sie in der Google Cloud Console die Seite „Identitäts- und Zugriffsverwaltung“ auf.
    Zur Seite „IAM”
  2. Wählen Sie in der Projektauswahl oben auf der Seite das Projekt, den Ordner oder die Organisation aus, zu der die Cloud Data Fusion-Instanz gehört.
  3. Suchen Sie den Namen des Cloud Data Fusion-Dienstkontos und kopieren Sie ihn. Verwenden Sie das folgende Format: service-[project-number]@gcp-sa-datafusion.iam.gserviceaccount.com.

Dienstkontonutzer die Berechtigung erteilen

  1. Rufen Sie in der Cloud Console die Seite Dienstkonten auf.
    Zur Seite "Dienstkonten"
  2. Klicken Sie auf Projekt auswählen, wählen Sie ein Projekt aus, in dem sich das Dienstkonto für den Dataproc-Cluster befindet, und klicken Sie dann auf Öffnen.
  3. Klicken Sie auf die E-Mail-Adresse des Dataproc-Dienstkontos.

  4. Klicken Sie auf den Tab Berechtigungen. Die Seite enthält eine Liste der Hauptkonten, denen Rollen für das Dienstkonto zugewiesen wurden.

  5. Klicken Sie auf Zugriff erlauben.

  6. Fügen Sie in das Feld Neue Hauptkonten den zuvor kopierten Cloud Data Fusion-Dienstkontonamen ein.

  7. Wählen Sie die Rolle Dienstkontonutzer aus.

    Dienstkontonutzer

  8. Klicken Sie auf Speichern.

Dataproc-Dienstkonten Rollen zuweisen

Berechtigung „Läuferrolle“ gewähren

Weisen Sie Dienstkonten, die von Dataproc verwendet werden, die Cloud Data Fusion-Ausführer-Rolle (roles/datafusion.runner) zu. Damit wird das Dataproc-Dienstkonto autorisiert, Cloud Data Fusion-Pipelines in Ihrem Projekt auszuführen. Weitere Informationen finden Sie unter Erforderliche Berechtigung zum Anhängen von Dienstkonten an Ressourcen.

Cloud Storage-Administratorberechtigung gewähren

Gewähren Sie in Cloud Data Fusion-Versionen 6.2.0 und höher den Dienstkonten, die von Dataproc in Ihrem Projekt verwendet werden, die Rolle Cloud Storage-Administrator (roles/storage.admin.

Weitere Informationen