Cas d'utilisation: contrôle des accès pour un cluster Dataproc dans un autre projet

Cette page explique comment gérer le contrôle des accès lorsque vous déployez et exécutez un pipeline qui utilise des clusters Dataproc dans un autre projet Google Cloud.

Scénario

Par défaut, lorsqu'une instance Cloud Data Fusion est lancée dans un projet Google Cloud, elle déploie et exécute des pipelines à l'aide de clusters Dataproc dans le même projet. Cependant, votre organisation peut vous demander d'utiliser des clusters dans un autre projet. Pour ce cas d'utilisation, vous devez gérer l'accès entre les projets. La page suivante explique comment modifier les configurations de référence (par défaut) et appliquer les contrôles d'accès appropriés.

Avant de commencer

Pour comprendre les solutions de ce cas d'utilisation, vous avez besoin du contexte suivant:

Connaître les concepts de base de Cloud Data Fusion
Connaissance d'Identity and Access Management (IAM) pour Cloud Data Fusion
Bonne connaissance de la mise en réseau Cloud Data Fusion

Hypothèses et portée

Ce cas d'utilisation présente les exigences suivantes :

Une instance Cloud Data Fusion privée Pour des raisons de sécurité, une organisation peut exiger l'utilisation de ce type d'instance.
Une source et un récepteur BigQuery
Le contrôle des accès avec IAM, et non le contrôle des accès basé sur les rôles (RBAC).

Solution

Cette solution compare l'architecture et la configuration spécifiques aux cas d'utilisation et aux architectures de référence.

Architecture

Les schémas suivants comparent l'architecture du projet pour créer une instance Cloud Data Fusion et exécuter des pipelines lorsque vous utilisez des clusters dans le même projet (référence) et dans un autre projet via le VPC du projet locataire.

Architecture de référence

Ce schéma illustre l'architecture de base des projets:

Architecture des projets client, locataire et Dataproc dans Cloud Data Fusion.

Pour la configuration de référence, vous créez une instance Cloud Data Fusion privée et exécutez un pipeline sans personnalisation supplémentaire:

Vous utiliserez l'un des profils de calcul intégrés
La source et le récepteur se trouvent dans le même projet que l'instance
Aucun rôle supplémentaire n'a été attribué aux comptes de service

Pour en savoir plus sur les projets locataires et clients, consultez la section Mise en réseau.

Architecture de cas d'utilisation

Ce schéma illustre l'architecture d'un projet lorsque vous utilisez des clusters dans un autre projet:

Architecture des projets client, locataire et Dataproc dans Cloud Data Fusion.

Configurations

Les sections suivantes comparent les configurations de référence aux configurations spécifiques aux cas d'utilisation pour l'utilisation de clusters Dataproc dans un autre projet via le VPC de projet locataire par défaut.

Dans les descriptions de cas d'utilisation suivantes, le projet client est l'endroit où l'instance Cloud Data Fusion s'exécute, et le projet Dataproc est celui où le cluster Dataproc est lancé.

VPC et instance du projet locataire

Référence	Cas d'utilisation
Dans le schéma d'architecture de référence précédent, le projet locataire contient les composants suivants : Le VPC par défaut, qui est créé automatiquement Déploiement physique de l'instance Cloud Data Fusion	Aucune configuration supplémentaire n'est nécessaire pour ce cas d'utilisation.

Projet client

Référence	Cas d'utilisation
Votre projet Google Cloud est l'endroit où vous déployez et exécutez des pipelines. Par défaut, les clusters Dataproc sont lancés dans ce projet lorsque vous exécutez vos pipelines.	Dans ce cas d'utilisation, vous gérez deux projets. Sur cette page, le projet client fait référence à l'emplacement d'exécution de l'instance Cloud Data Fusion. Le projet Dataproc fait référence au lieu de lancement des clusters Dataproc.

VPC du client

Référence	Cas d'utilisation
Du point de vue du client (du point de vue du client), le VPC client est l'emplacement logique de Cloud Data Fusion. Point clé à retenir: Vous trouverez les informations sur le VPC du client sur la page "Réseaux VPC" de votre projet. Accéder aux réseaux VPC	Aucune configuration supplémentaire n'est nécessaire pour ce cas d'utilisation.

Référence

Cas d'utilisation

Du point de vue du client (du point de vue du client), le VPC client est l'emplacement logique de Cloud Data Fusion.

Point clé à retenir:
Vous trouverez les informations sur le VPC du client sur la page "Réseaux VPC" de votre projet.

Accéder aux réseaux VPC

Aucune configuration supplémentaire n'est nécessaire pour ce cas d'utilisation.

Sous-réseau Cloud Data Fusion

Référence	Cas d'utilisation
Du point de vue du client, Cloud Data Fusion se situe dans ce sous-réseau de manière logique. Point clé à retenir: La région de ce sous-réseau est identique à l'emplacement de l'instance Cloud Data Fusion dans le projet locataire.	Aucune configuration supplémentaire n'est nécessaire pour ce cas d'utilisation.

Sous-réseau Dataproc

Référence	Cas d'utilisation
Sous-réseau dans lequel les clusters Dataproc sont lancés lorsque vous exécutez un pipeline. Points clés à retenir: Pour cette configuration de référence, Dataproc est exécuté dans le même sous-réseau que l'instance Cloud Data Fusion. Cloud Data Fusion localise un sous-réseau dans la même région que l'instance et le sous-réseau de Cloud Data Fusion. S'il n'y a qu'un seul sous-réseau dans cette région, les sous-réseaux sont identiques. Le sous-réseau Dataproc doit disposer d'un accès privé à Google.	Il s'agit d'un nouveau sous-réseau dans lequel les clusters Dataproc sont lancés lorsque vous exécutez un pipeline. Points clés à retenir: Pour ce nouveau sous-réseau, définissez l'accès privé à Google sur Activé. Le sous-réseau Dataproc ne doit pas nécessairement se trouver au même emplacement que l'instance Cloud Data Fusion.

Référence

Cas d'utilisation

Sous-réseau dans lequel les clusters Dataproc sont lancés lorsque vous exécutez un pipeline.

Points clés à retenir:

Pour cette configuration de référence, Dataproc est exécuté dans le même sous-réseau que l'instance Cloud Data Fusion.
Cloud Data Fusion localise un sous-réseau dans la même région que l'instance et le sous-réseau de Cloud Data Fusion. S'il n'y a qu'un seul sous-réseau dans cette région, les sous-réseaux sont identiques.
Le sous-réseau Dataproc doit disposer d'un accès privé à Google.

Il s'agit d'un nouveau sous-réseau dans lequel les clusters Dataproc sont lancés lorsque vous exécutez un pipeline.

Points clés à retenir:

Pour ce nouveau sous-réseau, définissez l'accès privé à Google sur Activé.
Le sous-réseau Dataproc ne doit pas nécessairement se trouver au même emplacement que l'instance Cloud Data Fusion.

Sources et récepteurs

Référence	Cas d'utilisation
Sources où les données sont extraites et récepteurs où les données sont chargées, tels que les sources et récepteurs BigQuery. Point clé à retenir: Les tâches qui extraient et chargent des données doivent être traitées au même emplacement que l'ensemble de données. Dans le cas contraire, une erreur est renvoyée.	Les configurations de contrôle des accès spécifiques aux cas d'utilisation présentées sur cette page concernent les sources et les récepteurs BigQuery.

Référence

Cas d'utilisation

Sources où les données sont extraites et récepteurs où les données sont chargées, tels que les sources et récepteurs BigQuery.

Point clé à retenir:

Les tâches qui extraient et chargent des données doivent être traitées au même emplacement que l'ensemble de données. Dans le cas contraire, une erreur est renvoyée.

Les configurations de contrôle des accès spécifiques aux cas d'utilisation présentées sur cette page concernent les sources et les récepteurs BigQuery.

Cloud Storage

Référence	Cas d'utilisation
Bucket de stockage du projet client qui permet de transférer des fichiers entre Cloud Data Fusion et Dataproc. Points clés à retenir: Vous pouvez spécifier ce bucket via l'interface Web de Cloud Data Fusion dans les paramètres de profil de calcul pour les clusters éphémères. Pour les pipelines par lot et en temps réel, ou pour les tâches de réplication : si vous ne spécifiez pas de bucket dans le profil de calcul, Cloud Data Fusion crée un bucket dans le même projet que l'instance à cette fin. Même pour les clusters Dataproc statiques, dans cette configuration de référence, le bucket est créé par Cloud Data Fusion et diffère des buckets de préproduction et des buckets temporaires Dataproc. L'agent de service de l'API Cloud Data Fusion dispose d'autorisations intégrées pour créer ce bucket dans le projet contenant l'instance Cloud Data Fusion.	Aucune configuration supplémentaire n'est nécessaire pour ce cas d'utilisation.

Référence

Cas d'utilisation

Bucket de stockage du projet client qui permet de transférer des fichiers entre Cloud Data Fusion et Dataproc.

Points clés à retenir:

Vous pouvez spécifier ce bucket via l'interface Web de Cloud Data Fusion dans les paramètres de profil de calcul pour les clusters éphémères.
Pour les pipelines par lot et en temps réel, ou pour les tâches de réplication : si vous ne spécifiez pas de bucket dans le profil de calcul, Cloud Data Fusion crée un bucket dans le même projet que l'instance à cette fin.
Même pour les clusters Dataproc statiques, dans cette configuration de référence, le bucket est créé par Cloud Data Fusion et diffère des buckets de préproduction et des buckets temporaires Dataproc.
L'agent de service de l'API Cloud Data Fusion dispose d'autorisations intégrées pour créer ce bucket dans le projet contenant l'instance Cloud Data Fusion.

Aucune configuration supplémentaire n'est nécessaire pour ce cas d'utilisation.

Buckets temporaires utilisés par la source et le récepteur

Référence	Cas d'utilisation
Buckets temporaires créés par les plug-ins pour vos sources et récepteurs, tels que les tâches de chargement lancées par le plug-in récepteur BigQuery. Points clés à retenir: Vous pouvez définir ces buckets lorsque vous configurez les propriétés des plug-ins source et récepteur. Si vous ne définissez pas de bucket, un bucket est créé dans le projet où Dataproc est exécuté. Si l'ensemble de données est multirégional, le bucket est créé dans le même champ d'application. Si vous définissez un bucket dans la configuration du plug-in, sa région doit correspondre à celle de l'ensemble de données. Si vous ne définissez pas de bucket dans les configurations du plug-in, celui qui a été créé pour vous est supprimé à la fin du pipeline.	Pour ce cas d'utilisation, le bucket peut être créé dans n'importe quel projet.

Référence

Cas d'utilisation

Buckets temporaires créés par les plug-ins pour vos sources et récepteurs, tels que les tâches de chargement lancées par le plug-in récepteur BigQuery.

Points clés à retenir:

Vous pouvez définir ces buckets lorsque vous configurez les propriétés des plug-ins source et récepteur.
Si vous ne définissez pas de bucket, un bucket est créé dans le projet où Dataproc est exécuté.
Si l'ensemble de données est multirégional, le bucket est créé dans le même champ d'application.
Si vous définissez un bucket dans la configuration du plug-in, sa région doit correspondre à celle de l'ensemble de données.
Si vous ne définissez pas de bucket dans les configurations du plug-in, celui qui a été créé pour vous est supprimé à la fin du pipeline.

Pour ce cas d'utilisation, le bucket peut être créé dans n'importe quel projet.

Buckets qui sont des sources ou des récepteurs de données pour les plug-ins

Référence	Cas d'utilisation
Buckets clients, que vous spécifiez dans les configurations des plug-ins, tels que le plug-in Cloud Storage et le plug-in FTP vers Cloud Storage.	Aucune configuration supplémentaire n'est nécessaire pour ce cas d'utilisation.

IAM: agent de service de l'API Cloud Data Fusion

Référence Cas d'utilisation

Référence	Cas d'utilisation
Lorsque l'API Cloud Data Fusion est activée, le rôle Agent de service de l'API Cloud Data Fusion (`roles/datafusion.serviceAgent`) est automatiquement attribué au compte de service Cloud Data Fusion, l'agent de service principal. Points clés à retenir: Le rôle contient des autorisations pour les services du même projet que l'instance, tels que BigQuery et Dataproc. Pour connaître tous les services compatibles, consultez les détails des rôles. Le compte de service Cloud Data Fusion effectue les opérations suivantes : Communication du plan de données (conception et exécution du pipeline) avec d'autres services (par exemple, communication avec Cloud Storage, BigQuery et Datastream au moment de la conception). Provisionne des clusters Dataproc. Si vous effectuez une réplication à partir d'une source Oracle, ce compte de service doit également disposer des rôles "Administrateur Datastream" et "Administrateur Storage" dans le projet où la tâche est exécutée. Cette page n'aborde pas un cas d'utilisation de réplication.	Pour ce cas d'utilisation, attribuez le rôle Agent de service de l'API Cloud Data Fusion au compte de service dans le projet Dataproc. Attribuez ensuite les rôles suivants dans ce projet: Rôle d'utilisateur de réseau de Compute Rôle d'éditeur Dataproc

Lorsque l'API Cloud Data Fusion est activée, le rôle Agent de service de l'API Cloud Data Fusion (roles/datafusion.serviceAgent) est automatiquement attribué au compte de service Cloud Data Fusion, l'agent de service principal.

Points clés à retenir:

Le rôle contient des autorisations pour les services du même projet que l'instance, tels que BigQuery et Dataproc. Pour connaître tous les services compatibles, consultez les détails des rôles.
Le compte de service Cloud Data Fusion effectue les opérations suivantes :
- Communication du plan de données (conception et exécution du pipeline) avec d'autres services (par exemple, communication avec Cloud Storage, BigQuery et Datastream au moment de la conception).
- Provisionne des clusters Dataproc.
Si vous effectuez une réplication à partir d'une source Oracle, ce compte de service doit également disposer des rôles "Administrateur Datastream" et "Administrateur Storage" dans le projet où la tâche est exécutée. Cette page n'aborde pas un cas d'utilisation de réplication.

Pour ce cas d'utilisation, attribuez le rôle Agent de service de l'API Cloud Data Fusion au compte de service dans le projet Dataproc. Attribuez ensuite les rôles suivants dans ce projet:

Rôle d'utilisateur de réseau de Compute
Rôle d'éditeur Dataproc

IAM: compte de service Dataproc

Référence Cas d'utilisation

Référence	Cas d'utilisation
Compte de service utilisé pour exécuter le pipeline en tant que job dans le cluster Dataproc. Par défaut, il s'agit du compte de service Compute Engine. Facultatif: dans la configuration de référence, vous pouvez remplacer le compte de service par défaut par un autre compte de service du même projet. Attribuez les rôles IAM suivants au nouveau compte de service: Le rôle d'exécuteur Cloud Data Fusion. Ce rôle permet à Dataproc de communiquer avec l'API Cloud Data Fusion. Le rôle Nœud de calcul Dataproc. Ce rôle permet d'exécuter les tâches sur des clusters Dataproc. Points clés à retenir: Le compte de service Agent d'API du nouveau service doit disposer du rôle Utilisateur du compte de service sur le compte de service Dataproc pour que l'agent API de service puisse l'utiliser pour lancer des clusters Dataproc.	Cet exemple de cas d'utilisation suppose que vous utilisez le compte de service Compute Engine par défaut (`PROJECT_NUMBER-compute@developer.gserviceaccount.com`) du projet Dataproc. Attribuez les rôles suivants au compte de service Compute Engine par défaut dans le projet Dataproc. Remarque:Pour utiliser un autre compte de service afin d'exécuter des pipelines Cloud Data Fusion, attribuez les rôles de ce compte de service dans le projet Dataproc. Rôle "Nœud de calcul Dataproc" Le rôle "Administrateur de l'espace de stockage" (ou, au minimum, l'autorisation "storage.buckets.create") pour permettre à Dataproc de créer des buckets temporaires pour BigQuery. rôle Utilisateur de job BigQuery. Ce rôle permet à Dataproc de créer des tâches de chargement. Les tâches sont créées par défaut dans le projet Dataproc. Éditeur d'ensembles de données BigQuery. Ce rôle permet à Dataproc de créer des ensembles de données lors du chargement des données. Attribuez le rôle Utilisateur du compte de service au compte de service Cloud Data Fusion sur le compte de service Compute Engine par défaut du projet Dataproc. Cette action doit être effectuée dans le projet Dataproc. Ajoutez le compte de service Compute Engine par défaut du projet Dataproc au projet Cloud Data Fusion. Accordez également les rôles suivants: Le rôle de lecteur des objets Storage pour récupérer les artefacts liés aux tâches de pipeline à partir du bucket consommateur Cloud Data Fusion. Le rôle d'exécuteur Cloud Data Fusion permet au cluster Dataproc de communiquer avec Cloud Data Fusion pendant son exécution.

Compte de service utilisé pour exécuter le pipeline en tant que job dans le cluster Dataproc. Par défaut, il s'agit du compte de service Compute Engine.

Facultatif: dans la configuration de référence, vous pouvez remplacer le compte de service par défaut par un autre compte de service du même projet. Attribuez les rôles IAM suivants au nouveau compte de service:

Le rôle d'exécuteur Cloud Data Fusion. Ce rôle permet à Dataproc de communiquer avec l'API Cloud Data Fusion.
Le rôle Nœud de calcul Dataproc. Ce rôle permet d'exécuter les tâches sur des clusters Dataproc.

Points clés à retenir:

Le compte de service Agent d'API du nouveau service doit disposer du rôle Utilisateur du compte de service sur le compte de service Dataproc pour que l'agent API de service puisse l'utiliser pour lancer des clusters Dataproc.

Cet exemple de cas d'utilisation suppose que vous utilisez le compte de service Compute Engine par défaut (PROJECT_NUMBER-compute@developer.gserviceaccount.com) du projet Dataproc.

Attribuez les rôles suivants au compte de service Compute Engine par défaut dans le projet Dataproc.

Rôle "Nœud de calcul Dataproc"
Le rôle "Administrateur de l'espace de stockage" (ou, au minimum, l'autorisation "storage.buckets.create") pour permettre à Dataproc de créer des buckets temporaires pour BigQuery.
rôle Utilisateur de job BigQuery. Ce rôle permet à Dataproc de créer des tâches de chargement. Les tâches sont créées par défaut dans le projet Dataproc.
Éditeur d'ensembles de données BigQuery. Ce rôle permet à Dataproc de créer des ensembles de données lors du chargement des données.

Attribuez le rôle Utilisateur du compte de service au compte de service Cloud Data Fusion sur le compte de service Compute Engine par défaut du projet Dataproc. Cette action doit être effectuée dans le projet Dataproc.

Ajoutez le compte de service Compute Engine par défaut du projet Dataproc au projet Cloud Data Fusion. Accordez également les rôles suivants:

Le rôle de lecteur des objets Storage pour récupérer les artefacts liés aux tâches de pipeline à partir du bucket consommateur Cloud Data Fusion.
Le rôle d'exécuteur Cloud Data Fusion permet au cluster Dataproc de communiquer avec Cloud Data Fusion pendant son exécution.

API

Référence	Cas d'utilisation
Lorsque vous activez l'API Cloud Data Fusion, les API suivantes sont également activées. Pour en savoir plus sur ces API, accédez à la page "API et services" de votre projet. Accéder aux API et services API Cloud Autoscaling API Dataproc API Cloud Dataproc Control API Cloud DNS API Cloud OS Login API Pub/Sub API Compute Engine API Container Filesystem API Container Registry API Service Account Credentials API Identity and Access Management API Google Kubernetes Engine Remarque:Vous activez manuellement l'API Cloud Resource Manager dans le projet. Lorsque vous activez l'API Cloud Data Fusion, les comptes de service suivants sont automatiquement ajoutés à votre projet: Agent de service des API Google Agent de service Compute Engine Agent de service Kubernetes Engine Agent de service Google Container Registry Agent de service Google Cloud Dataproc Agent de service Cloud KMS Compte de service Cloud Pub/Sub	Pour ce cas d'utilisation, activez les API suivantes dans le projet contenant le projet Dataproc: API Compute Engine API Dataproc (probablement déjà activée dans ce projet). L'API Dataproc Control est automatiquement activée en même temps que l'API Dataproc. API Resource Manager.

Référence

Cas d'utilisation

Lorsque vous activez l'API Cloud Data Fusion, les API suivantes sont également activées. Pour en savoir plus sur ces API, accédez à la page "API et services" de votre projet.

Accéder aux API et services

API Cloud Autoscaling
API Dataproc
API Cloud Dataproc Control
API Cloud DNS
API Cloud OS Login
API Pub/Sub
API Compute Engine
API Container Filesystem
API Container Registry
API Service Account Credentials
API Identity and Access Management
API Google Kubernetes Engine

Lorsque vous activez l'API Cloud Data Fusion, les comptes de service suivants sont automatiquement ajoutés à votre projet:

Agent de service des API Google
Agent de service Compute Engine
Agent de service Kubernetes Engine
Agent de service Google Container Registry
Agent de service Google Cloud Dataproc
Agent de service Cloud KMS
Compte de service Cloud Pub/Sub

Pour ce cas d'utilisation, activez les API suivantes dans le projet contenant le projet Dataproc:

API Compute Engine
API Dataproc (probablement déjà activée dans ce projet). L'API Dataproc Control est automatiquement activée en même temps que l'API Dataproc.
API Resource Manager.

Clés de chiffrement

Référence Cas d'utilisation

Référence	Cas d'utilisation
Dans la configuration de référence, les clés de chiffrement peuvent être gérées par Google ou CMEK Points clés à retenir: Si vous utilisez des CMEK, votre configuration de base nécessite les éléments suivants: La clé doit être régionale, créée dans la même région que l'instance Cloud Data Fusion. Attribuez le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS aux comptes de service suivants au niveau de la clé (et non sur la page IAM de la console Google Cloud) du projet dans lequel elle est créée : Compte de service de l'API Cloud Data Fusion Compte de service Dataproc, qui est l'agent de service Compute Engine (`service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com`) par défaut Agent de service Google Cloud Dataproc (`service-PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com`) Agent de service Cloud Storage (`service-PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com`) En fonction des services utilisés dans votre pipeline, tels que BigQuery ou Cloud Storage, les comptes de service doivent également disposer du rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS: Le compte de service BigQuery (`bq-PROJECT_NUMBER@bigquery-encryption.iam.gserviceaccount.com`) Le compte de service Pub/Sub (`service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com`) Le compte de service Spanner (`service-PROJECT_NUMBER@gcp-sa-spanner.iam.gserviceaccount.com`)	Si vous n'utilisez pas de clé CMEK, aucune autre modification n'est requise pour ce cas d'utilisation. Si vous utilisez une clé CMEK, le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS doit être attribué au compte de service suivant au niveau de la clé, dans le projet où il est créé: Agent de service Cloud Storage (`service-PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com`) En fonction des services utilisés dans votre pipeline, tels que BigQuery ou Cloud Storage, les autres comptes de service doivent également disposer du rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS au niveau de la clé. Exemple : Le compte de service BigQuery (`bq-PROJECT_NUMBER@bigquery-encryption.iam.gserviceaccount.com`) Le compte de service Pub/Sub (`service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com`) Le compte de service Spanner (`service-PROJECT_NUMBER@gcp-sa-spanner.iam.gserviceaccount.com`)

Dans la configuration de référence, les clés de chiffrement peuvent être gérées par Google ou CMEK

Points clés à retenir:

Si vous utilisez des CMEK, votre configuration de base nécessite les éléments suivants:

La clé doit être régionale, créée dans la même région que l'instance Cloud Data Fusion.
Attribuez le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS aux comptes de service suivants au niveau de la clé (et non sur la page IAM de la console Google Cloud) du projet dans lequel elle est créée :
- Compte de service de l'API Cloud Data Fusion
- Compte de service Dataproc, qui est l'agent de service Compute Engine (service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com) par défaut
- Agent de service Google Cloud Dataproc (service-PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com)
- Agent de service Cloud Storage (service-PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com)

En fonction des services utilisés dans votre pipeline, tels que BigQuery ou Cloud Storage, les comptes de service doivent également disposer du rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS:

Le compte de service BigQuery (bq-PROJECT_NUMBER@bigquery-encryption.iam.gserviceaccount.com)
Le compte de service Pub/Sub (service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com)
Le compte de service Spanner (service-PROJECT_NUMBER@gcp-sa-spanner.iam.gserviceaccount.com)

Si vous n'utilisez pas de clé CMEK, aucune autre modification n'est requise pour ce cas d'utilisation.

Si vous utilisez une clé CMEK, le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS doit être attribué au compte de service suivant au niveau de la clé, dans le projet où il est créé:

Agent de service Cloud Storage (service-PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com)

En fonction des services utilisés dans votre pipeline, tels que BigQuery ou Cloud Storage, les autres comptes de service doivent également disposer du rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS au niveau de la clé. Exemple :

Le compte de service BigQuery (bq-PROJECT_NUMBER@bigquery-encryption.iam.gserviceaccount.com)
Le compte de service Pub/Sub (service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com)
Le compte de service Spanner (service-PROJECT_NUMBER@gcp-sa-spanner.iam.gserviceaccount.com)

Une fois que vous avez effectué ces configurations spécifiques à ces cas d'utilisation, votre pipeline de données peut commencer à s'exécuter sur les clusters d'un autre projet.

Étapes suivantes

En savoir plus sur la mise en réseau dans Cloud Data Fusion
Consultez la documentation de référence sur les rôles de base et prédéfinis IAM.