En este documento, se describe cómo ver y administrar los roles de las cuentas de servicio de Identity and Access Management. Una carga de trabajo por lotes o una sesión interactiva de Dataproc Serverless para Spark se ejecuta como la cuenta de servicio predeterminada de Compute Engine, a menos que especifiques una cuenta de servicio personalizada cuando envíes una carga de trabajo por lotes, crees una sesión o crees una plantilla de entorno de ejecución de sesión.
Rol de trabajador de Dataproc obligatorio
La cuenta de servicio de la carga de trabajo de Dataproc sin servidores debe tener el rol de trabajador de Dataproc de Identity and Access Management. La cuenta de servicio predeterminada de Compute Engine (project_number-compute@developer.gserviceaccount.com) que usa Dataproc sin servidores tiene este rol de forma predeterminada. Si especificas tu
propia cuenta de servicio para tu carga de trabajo por lotes, sesión o plantilla de sesión,
debes otorgar el rol de Trabajador de Dataproc a tu cuenta de servicio.
Es posible que se requieran roles adicionales para otras operaciones, como leer y escribir datos en BigQuery.
Cómo ver y administrar roles de cuenta de servicio de IAM
Para ver y administrar los roles otorgados a la cuenta de servicio de cargas de trabajo de Dataproc Serverless, haz lo siguiente:
En la consola de Google Cloud, ve a la página IAM.
Haz clic en Incluir asignaciones de roles proporcionadas por Google.
Consulta los roles que se enumeran para la cuenta de servicio de la carga de trabajo. En la siguiente imagen, se muestra el rol obligatorio de trabajador de Dataproc que se indica para la cuenta de servicio predeterminada de Compute Engine (
project_number-compute@developer.gserviceaccount.com) que Dataproc Serverless usa de forma predeterminada como la cuenta de servicio de la carga de trabajo.
Puedes hacer clic en el ícono de lápiz que aparece en la fila de la cuenta de servicio para otorgar o quitar roles de la cuenta de servicio.