In diesem Dokument wird beschrieben, wie Sie Rollen für Identity and Access Management-Dienstkonten aufrufen und verwalten. Eine Dataproc Serverless for Spark-Batcharbeitslast oder interaktive Sitzung wird als Compute Engine-Standarddienstkonto ausgeführt, es sei denn, Sie geben beim Einreichen einer Batcharbeitslast, Erstellen einer Sitzung oder Erstellen einer Sitzungslaufzeitvorlage ein benutzerdefiniertes Dienstkonto an.
Erforderliche Dataproc-Worker-Rolle
Das Dienstkonto für die Dataproc Serverless-Arbeitslast muss die Rolle Dataproc Worker (Identity and Access Management) haben. Das Compute Engine-Standarddienstkonto (project_number-compute@developer.gserviceaccount.com), das von Dataproc Serverless verwendet wird, hat standardmäßig diese Rolle. Wenn Sie ein eigenes Dienstkonto für Ihre Batch-Arbeitslast, Sitzung oder Sitzungsvorlage angeben, müssen Sie Ihrem Dienstkonto die Rolle „Dataproc Worker“ zuweisen.
Für andere Vorgänge, z. B. das Lesen und Schreiben von Daten in BigQuery, sind möglicherweise zusätzliche Rollen erforderlich.
IAM-Dienstkontorollen ansehen und verwalten
So rufen Sie die Rollen auf, die dem Dienstkonto für die Dataproc Serverless-Arbeitslast zugewiesen sind, und verwalten sie:
Öffnen Sie in der Google Cloud Console die Seite IAM.
Klicken Sie auf Von Google bereitgestellte Rollenzuweisungen einschließen.
Rufen Sie die für das Arbeitslast-Dienstkonto aufgeführten Rollen auf. Auf der folgenden Abbildung ist die erforderliche Rolle Dataproc-Worker für das Standarddienstkonto der Compute Engine (
project_number-compute@developer.gserviceaccount.com) aufgeführt, das in Dataproc Serverless standardmäßig als Arbeitslast-Dienstkonto verwendet wird.
Sie können auf das Stiftsymbol in der Zeile des Dienstkontos klicken, um Dienstkontorollen zuzuweisen oder zu entfernen.