In diesem Dokument wird beschrieben, wie Sie Rollen für Identity and Access Management-Dienstkonten aufrufen und verwalten. Eine Dataproc Serverless for Spark-Batcharbeitslast oder interaktive Sitzung wird als Compute Engine-Standarddienstkonto ausgeführt, es sei denn, Sie geben beim Senden einer Batcharbeitslast, Erstellen einer Sitzung oder Erstellen einer Sitzungslaufzeitvorlage ein benutzerdefiniertes Dienstkonto an.
Erforderliche Dataproc-Worker-Rolle
Das Dienstkonto für die Dataproc Serverless-Arbeitslast muss die Rolle Dataproc Worker für Identity and Access Management haben. Das Compute Engine-Standarddienstkonto (project_number-compute@developer.gserviceaccount.com), das von Dataproc Serverless verwendet wird, hat standardmäßig diese Rolle. Wenn Sie ein eigenes Dienstkonto für Ihre Batch-Arbeitslast, Sitzung oder Sitzungsvorlage angeben, müssen Sie Ihrem Dienstkonto die Rolle „Dataproc-Worker“ zuweisen.
Für andere Vorgänge, z. B. das Lesen und Schreiben von Daten in BigQuery, sind möglicherweise zusätzliche Rollen erforderlich.
IAM-Dienstkontorollen ansehen und verwalten
So rufen Sie die Rollen auf, die dem Dienstkonto für die Dataproc Serverless-Arbeitslast zugewiesen sind, und verwalten sie:
Öffnen Sie in der Google Cloud Console die Seite IAM.
Klicken Sie auf Von Google bereitgestellte Rollenzuweisungen einschließen.
Rufen Sie die für das Arbeitslast-Dienstkonto aufgeführten Rollen auf. Auf der folgenden Abbildung ist die erforderliche Rolle Dataproc-Worker für das Standarddienstkonto der Compute Engine (
project_number-compute@developer.gserviceaccount.com) aufgeführt, das in Dataproc Serverless standardmäßig als Arbeitslast-Dienstkonto verwendet wird.
Sie können auf das Stiftsymbol in der Zeile des Dienstkontos klicken, um Dienstkontorollen zuzuweisen oder zu entfernen.