Cuentas de servicio

En esta página, se describen las cuentas de servicio y cómo se pueden usar con Cloud Dataproc.

¿Qué son las cuentas de servicio?

Una cuenta de servicio es una cuenta especial que los servicios y las aplicaciones que se ejecutan en tu instancia de Compute Engine pueden usar para interactuar con otras API de Google Cloud Platform. Las aplicaciones pueden usar credenciales de cuenta de servicio para autorizarse a configurar API y realizar acciones dentro de los permisos otorgados a la cuenta de servicio y la instancia de máquina virtual.

Cuando se crean, las máquinas virtuales de Compute Engine se pueden configurar para usar una cuenta de servicio específica. Si no se especifica una cuenta de servicio, se usa una cuenta de servicio predeterminada. Para obtener más información, revisa la documentación de la cuenta de servicio de Compute Engine.

Cuentas de servicio en Cloud Dataproc

Los clústeres de Cloud Dataproc se compilan sobre las máquinas virtuales de Compute Engine. Especificar una cuenta de servicio administrada por el usuario cuando se crea un clúster de Cloud Dataproc te permite usar esa cuenta de servicio para máquinas virtuales de Cloud Dataproc en ese clúster. Si no se especifica una cuenta de servicio, las máquinas virtuales de Cloud Dataproc usarán la cuenta de servicio de Compute Engine administrada por Google predeterminada [project-number]-compute@developer.gserviceaccount.com.

¿Por qué especificar una cuenta de servicio?

Las cuentas de servicio tienen funciones de IAM otorgadas. Especificar una cuenta de servicio administrada por el usuario cuando se crea un clúster de Cloud Dataproc te permite crear y utilizar clústeres con control y acceso detallado a los recursos de Cloud. El uso de cuentas de servicio administradas por el usuario con clústeres diferentes de Cloud Dataproc permite que los clústeres tengan un acceso diferente a los recursos de Cloud.

Limitaciones y requisitos de cuenta de servicio

  • Solo se pueden configurar cuentas de servicio cuando se crea un clúster.
  • Necesitas crear una cuenta de servicio antes de crear el clúster de Cloud Dataproc que se asociará con la cuenta de servicio.
  • Una vez configurada, no se puede modificar la cuenta de servicio usada para un clúster.
  • Asegúrate de que las cuentas de servicio tengan alcances apropiados y funciones de IAM para tus necesidades.
  • Las cuentas de servicio usadas con Cloud Dataproc deben tener la función Dataproc/Trabajador de Dataproc (o tener todos los permisos otorgados por la función de Trabajador de Dataproc).
  • Las cuentas de servicio deben residir dentro del proyecto en el que se creará el clúster.
  • Las máquinas virtuales de Compute Engine usadas en los clústeres de Dataproc todavía necesitan alcances de acceso específicos. Los alcances de acceso también se limitan al servicio al que se aplican. Por ejemplo, si se le otorgó a un clúster de Cloud Dataproc solo el alcance https://www.googleapis.com/auth/storage-full para Cloud Storage, entonces no puede usar el mismo alcance para realizar solicitudes a BigQuery.

Cómo usar cuentas de servicio

Puedes especificar una cuenta de servicio administrada por el usuario cuando creas un clúster nuevo de Cloud Dataproc a través de la solicitud de API de Cloud Dataproc clusters.create o mediante el uso de la herramienta de línea de comandos de gcloud del SDK de Cloud.

Comando de gcloud

Usa el comando de creación de clústeres de gcloud para crear un clúster nuevo con una nueva cuenta de servicio especificada por el usuario y acceder a los alcances.
gcloud dataproc clusters create cluster-name \
  --service-account=service-account-name@project-id.iam.gserviceaccount.com
  --scopes=scope[, ...]

API de REST

Puedes configurar serviceAccount y serviceAccountScopes en el objeto GceClusterConfig como parte de la solicitud de la API clusters.create.

Console

Se agregará la compatibilidad para configurar cuentas de servicio administradas por el usuario en GCP Console en una versión de Cloud Dataproc futura.

Pasos siguientes

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Documentación de Cloud Dataproc
Si necesitas ayuda, visita nuestra página de asistencia.