Conceder o acesso necessário ao Dataform

Neste documento, mostramos como conceder os papéis do Identity and Access Management (IAM) exigidos pelo Dataform e contas de serviço para executar fluxos de trabalho no BigQuery.

Sobre contas de serviço no Dataform

Quando você cria seu primeiro repositório do Dataform, automaticamente uma conta de serviço padrão. O Dataform usa as para interagir com o BigQuery em seu nome. A conta de serviço padrão do Dataform não recebe papéis ou permissões do BigQuery por padrão. Você precisa conceder a permissão à conta de serviço padrão do Dataform.

O ID da conta de serviço padrão do Dataform tem o seguinte formato:

service-YOUR_PROJECT_NUMBER@gcp-sa-dataform.iam.gserviceaccount.com

Substitua YOUR_PROJECT_NUMBER pelo ID numérico do projeto do Google Cloud. O ID do projeto do Google Cloud está na painel do console do Google Cloud. Para mais informações, consulte Como identificar projetos.

Além da conta de serviço padrão do Dataform, é possível usar outras contas de serviço para executar fluxos de trabalho em seu nome. É possível configurar contas de serviço personalizadas:

Ao criar um repositório do Dataform ou uma configuração de fluxo de trabalho, é possível selecione qualquer conta de serviço associada ao seu projeto do Google Cloud que você tenha acesso. Você precisa configurar as permissões necessárias para todas as contas de serviço associadas aos seus recursos do Dataform.

Uma conta de serviço personalizada associada a um Dataform só é usado para executar fluxos de trabalho nele. Todos os outros as operações de repositório ainda são realizadas pelo Dataform padrão conta de serviço.

Papéis necessários para contas de serviço do Dataform

As contas de serviço padrão e personalizadas usadas no Dataform exigem o os papéis do IAM do BigQuery para executar de trabalho no BigQuery:

Além disso, você precisa conceder à conta de serviço padrão do Dataform Criador de token de conta de serviço(roles/iam.serviceAccountTokenCreator) a qualquer conta de serviço personalizada que você queira usar no Dataform.

Considerações de segurança para contas de serviço do Dataform

Como conceder os papéis exigidos pelo Dataform a uma conta de serviço vem com as seguintes considerações de segurança:

restringir os dados que um usuário ou uma conta de serviço pode ler ou gravar; no BigQuery, é possível conceder permissões granulares do IAM do BigQuery para conjuntos de dados ou tabelas do BigQuery. Para mais informações, consulte Como controlar o acesso a conjuntos de dados e Como controlar o acesso a tabelas e visualizações.

Antes de começar

  1. No Console do Google Cloud, acesse a página Dataform.

    Acessar a página do Dataform

  2. Selecione ou crie um repositório.

Conceder os papéis necessários do BigQuery a uma conta de serviço usada no Dataform

Para conceder os papéis do IAM do BigQuery necessários à conta de serviço padrão do Dataform ou uma conta de serviço personalizada que você quer usar no Dataform, siga estas etapas:

  1. No console do Google Cloud, abra a página IAM.

    Acessar a página do IAM

  2. Clique em Permitir acesso.

  3. No campo Novos principais, insira o ID da conta de serviço.

  4. Na lista suspensa Selecionar papel, selecione o papel Usuário de jobs do BigQuery.

  5. Clique em Adicionar outro papel e, na lista suspensa Selecionar um papel, Selecione o papel Editor de dados do BigQuery.

  6. Clique em Adicionar outro papel e, na lista suspensa Selecionar um papel, Selecione o papel Leitor de dados do BigQuery.

  7. Clique em Salvar.

Conceder acesso de criação de tokens a uma conta de serviço personalizada

Para usar uma conta de serviço personalizada no Dataform, a A conta de serviço do Dataform precisa ter acesso ao serviço personalizado do Compute Engine. Para conceder esse acesso, adicione o Dataform padrão como conta de serviço principal para a conta de serviço personalizada com o Criador de tokens da conta de serviço.

Para conceder à conta de serviço padrão do Dataform acesso a uma conta de serviço, siga estas etapas:

  1. No console do Google Cloud, acesse IAM > Contas de serviço.

    Acessar a página Contas de serviço

  2. Selecione um projeto.

  3. Na página Contas de serviço do projeto "YOUR_PROJECT_NAME", Selecione sua conta de serviço personalizada do Dataform.

  4. Acesse Permissões e clique em Conceder acesso.

  5. No campo Novos principais, insira o Dataform padrão ID da conta de serviço.

    O ID da conta de serviço padrão do Dataform tem o seguinte formato:

    service-YOUR_PROJECT_NUMBER@gcp-sa-dataform.iam.gserviceaccount.com
    
  6. Na lista suspensa Selecionar papel, selecione o Criador de tokens da conta de serviço.

  7. Clique em Salvar.

A seguir