Este documento descreve como conferir e gerenciar os papéis da conta de serviço do Identity and Access Management. Uma sessão interativa ou carga de trabalho em lote do Dataproc Serverless para Spark é executada como a conta de serviço padrão do Compute Engine, a menos que você especifique uma conta de serviço personalizada ao enviar uma carga de trabalho em lote, criar uma sessão ou criar um modelo de ambiente de execução de sessão.
Papel de worker do Dataproc obrigatório
A conta de serviço de carga de trabalho do Dataproc sem servidor precisa ter o papel de
worker do Dataproc
do Identity and Access Management. A conta de serviço padrão do Compute Engine (project_number-compute@developer.gserviceaccount.com) que o Dataproc Serverless usa tem esse papel por padrão. Se você especificar sua própria conta de serviço para a carga de trabalho em lote, a sessão ou o modelo de sessão, conceda o papel de trabalhador do Dataproc à conta de serviço.
Outros papéis podem ser necessários para
outras operações, como ler e gravar dados no BigQuery.
Conferir e gerenciar papéis da conta de serviço do IAM
Para conferir e gerenciar os papéis concedidos à conta de serviço de carga de trabalho do Dataproc sem servidor, faça o seguinte:
No console do Google Cloud, abra a página IAM.
Clique em Incluir concessões de papel fornecidas pelo Google.
Confira os papéis listados para a conta de serviço de carga de trabalho. A imagem a seguir mostra o papel Dataproc Worker necessário listado para a conta de serviço padrão do Compute Engine (
project_number-compute@developer.gserviceaccount.com) que o Dataproc sem servidor usa por padrão como a conta de serviço de carga de trabalho.
Clique no ícone de lápis exibido na linha da conta de serviço para conceder ou remover papéis da conta de serviço.