Concedi l'accesso Dataform a BigQuery

Questo documento mostra come concedere i ruoli Identity and Access Management (IAM) necessari per eseguire i flussi di lavoro in BigQuery agli account di servizio utilizzati in Dataform.

Informazioni sugli account di servizio in Dataform

Quando crei il tuo primo repository Dataform, Dataform genera automaticamente un account di servizio predefinito. Dataform utilizza l'account di servizio predefinito per interagire con BigQuery per tuo conto.

Il tuo ID account di servizio Dataform predefinito ha il seguente formato:

service-YOUR_PROJECT_NUMBER@gcp-sa-dataform.iam.gserviceaccount.com

Sostituisci YOUR_PROJECT_NUMBER con l'ID numerico del tuo progetto Google Cloud. Puoi trovare il tuo ID progetto Google Cloud nella dashboard della console Google Cloud. Per ulteriori informazioni, consulta Identificazione dei progetti.

Oltre all'account di servizio Dataform predefinito, puoi utilizzare altri account di servizio per eseguire flussi di lavoro per tuo conto. Puoi configurare account di servizio non predefiniti:

Quando crei un repository Dataform o una configurazione del flusso di lavoro, puoi selezionare qualsiasi account di servizio associato al progetto Google Cloud a cui hai accesso. Devi configurare le autorizzazioni richieste per tutti gli account di servizio associati alle risorse Dataform.

Gli account di servizio predefiniti e non predefiniti utilizzati in Dataform richiedono i seguenti ruoli IAM di BigQuery per poter eseguire i flussi di lavoro in BigQuery:

Inoltre, devi concedere all'account di servizio Dataform predefinito l'accesso Creatore token account di servizio(roles/iam.serviceAccountTokenCreator) a tutti gli account di servizio non predefiniti che vuoi utilizzare in Dataform.

Prima di iniziare

  1. Nella console Google Cloud, vai alla pagina Dataform.

    Vai alla pagina Dataform

  2. Seleziona o crea un repository.

  3. Se utilizzi Controlli di servizio VPC, escludi le risorse BigQuery dal perimetro Controlli di servizio VPC per utilizzare Dataform. Al momento Dataform non supporta i Controlli di servizio VPC.

    In alternativa, puoi sviluppare flussi di lavoro SQL in locale con l'interfaccia a riga di comando Dataform.

Concedi i ruoli BigQuery richiesti a un account di servizio utilizzato in Dataform

Per concedere i ruoli IAM BigQuery richiesti all'account di servizio Dataform predefinito o a un account di servizio non predefinito che vuoi utilizzare in Dataform, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai alla pagina IAM

  2. Fai clic su Concedi l'accesso.

  3. Nel campo Nuove entità, inserisci l'ID account di servizio.

  4. Nell'elenco a discesa Seleziona un ruolo, seleziona il ruolo Utente job BigQuery.

  5. Fai clic su Aggiungi un altro ruolo e quindi, nell'elenco a discesa Seleziona un ruolo, seleziona il ruolo Editor dati BigQuery.

  6. Fai clic su Aggiungi un altro ruolo e quindi, nell'elenco a discesa Seleziona un ruolo, seleziona il ruolo Visualizzatore dati BigQuery.

  7. Fai clic su Salva.

Concedere l'accesso per la creazione di token a un account di servizio non predefinito

Per utilizzare un account di servizio non predefinito in Dataform, l'account di servizio Dataform predefinito deve essere in grado di accedere all'account di servizio non predefinito. Per concedere questo accesso, devi aggiungere l'account di servizio Dataform predefinito come entità all'account di servizio non predefinito con il ruolo Creatore token account di servizio.

Per concedere l'accesso all'account di servizio Dataform predefinito a un account di servizio non predefinito, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai alla pagina IAM

  2. Fai clic su Account di servizio e seleziona un account di servizio.

  3. Fai clic su Autorizzazioni > Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci l'ID account di servizio Dataform predefinito.

  5. Nell'elenco a discesa Seleziona un ruolo, seleziona il ruolo Creatore token account di servizio.

  6. Fai clic su Salva.

Passaggi successivi