Comptes de service Dataproc

Cette page décrit les comptes de service et les niveaux d'accès aux VM, ainsi que leur utilisation avec Dataproc.

Que sont les comptes de service ?

Un compte de service est un compte spécial qui permet aux services et applications exécutés sur une instance de machine virtuelle (VM) Compute Engine d'interagir avec d'autres API Google Cloud. Les applications peuvent utiliser les identifiants de compte de service pour obtenir les autorisations d'accès à un ensemble d'API et effectuer des actions sur la VM dans les autorisations accordées au compte de service.

Comptes de service Dataproc

Les comptes de service suivants disposent des autorisations requises pour effectuer des actions Dataproc dans le projet où se trouve votre cluster.

  • Compte de service de l'agent de service Dataproc : Dataproc crée le compte de service de l'agent de service, service-project_number@dataproc-accounts.iam.gserviceaccount.com, avec le rôle Agent de service Dataproc dans le projet Google Cloud d'un utilisateur Dataproc. Il ne peut pas être remplacé par un compte de service de VM personnalisé lorsque vous créez un cluster. Ce compte d'agent de service permet d'effectuer des opérations de plan de contrôle Dataproc, telles que la création, la mise à jour et la suppression de VM de cluster.

Réseaux VPC partagés:Si le cluster utilise un réseau VPC partagé, un administrateur VPC partagé doit attribuer au compte de service de l'agent de service Dataproc le rôle d'utilisateur réseau pour le projet hôte de VPC partagé. Pour en savoir plus, consultez les pages suivantes :

Afficher et gérer les rôles des comptes de service IAM

Pour afficher et gérer les rôles attribués au compte de service des VM Dataproc, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page IAM.

    Accéder à IAM

  2. Cliquez sur Inclure les attributions de rôles fournies par Google.

  3. Afficher les rôles listés pour le compte de service de la VM L'image suivante montre le rôle Nœud de calcul Dataproc requis pour le compte de service Compute Engine par défaut (project_number-compute@developer.gserviceaccount.com) que Dataproc utilise par défaut comme compte de service de VM.

  4. Vous pouvez cliquer sur l'icône en forme de crayon affichée sur la ligne du compte de service pour attribuer ou supprimer des rôles de compte de service.

Niveaux d'accès aux VM Dataproc

Les champs d'application d'accès des VM et les rôles IAM fonctionnent conjointement pour limiter l'accès des VM aux API Google Cloud. Par exemple, si les VM de cluster ne disposent que du champ d'application https://www.googleapis.com/auth/storage-full, les applications exécutées sur les VM de cluster peuvent appeler les API Cloud Storage, mais elles ne peuvent pas envoyer de requêtes à BigQuery, même si elles s'exécutent en tant que compte de service de VM auquel un rôle BigQuery doté d'autorisations étendues a été attribué.

Il est recommandé de suivre cette bonne pratique : accorder le champ d'application étendu cloud-platform (https://www.googleapis.com/auth/cloud-platform) aux VM, puis de limiter l'accès aux VM en accordant des rôles IAM spécifiques au compte de service de la VM.

Champs d'application des VM Dataproc par défaut. Si les champs d'application ne sont pas spécifiés lors de la création d'un cluster (consultez la commande gcloud dataproc cluster create --scopes), les VM Dataproc disposent de l'ensemble de champs d'application par défaut suivant:

https://www.googleapis.com/auth/cloud-platform (clusters created with image version 2.1+).
https://www.googleapis.com/auth/bigquery
https://www.googleapis.com/auth/bigtable.admin.table
https://www.googleapis.com/auth/bigtable.data
https://www.googleapis.com/auth/cloud.useraccounts.readonly
https://www.googleapis.com/auth/devstorage.full_control
https://www.googleapis.com/auth/devstorage.read_write
https://www.googleapis.com/auth/logging.write

Si vous spécifiez des champs d'application lors de la création d'un cluster, les VM de cluster disposeront des champs d'application que vous spécifiez et l'ensemble minimal de champs d'application requis suivants (même si vous ne les spécifiez pas) :

https://www.googleapis.com/auth/cloud-platform (clusters created with image version 2.1+).
https://www.googleapis.com/auth/cloud.useraccounts.readonly
https://www.googleapis.com/auth/devstorage.read_write
https://www.googleapis.com/auth/logging.write

Créer un cluster avec un compte de service de VM personnalisé

Lorsque vous créez un cluster, vous pouvez spécifier un compte de service de VM personnalisé que votre cluster utilisera pour les opérations de plan de données Dataproc au lieu du compte de service de VM par défaut (vous ne pouvez pas modifier le compte de service de VM après la création du cluster). L'utilisation d'un compte de service de VM avec des rôles IAM attribués vous permet de fournir à votre cluster un accès précis aux ressources du projet.

Étapes préliminaires

  1. Créez le compte de service de VM personnalisé dans le projet dans lequel le cluster sera créé.

  2. Attribuez au compte de service de VM personnalisé le rôle Nœud de calcul Dataproc sur le projet et tous les rôles supplémentaires nécessaires à vos tâches, tels que les rôles Lecteur et Écrivain de BigQuery (consultez la section Autorisations Dataproc et rôles IAM).

    Exemple de CLI gcloud:

    • L'exemple de commande suivant accorde au compte de service de VM personnalisé du projet de cluster le rôle de nœud de calcul Dataproc au niveau du projet:
    gcloud projects add-iam-policy-binding CLUSTER_PROJECT_ID \
    --member=serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --role="roles/dataproc.worker"
    • Envisager un rôle personnalisé:au lieu d'attribuer au compte de service le rôle prédéfini Worker Dataproc, vous pouvez lui attribuer un rôle personnalisé qui contient les autorisations du rôle Nœud de calcul, mais limite les autorisations storage.objects.*.
      • Le rôle personnalisé doit au moins accorder au compte de service de VM les autorisations storage.objects.create, storage.objects.get et storage.objects.update sur les objets des buckets de préproduction et temporaires Dataproc, ainsi que sur tous les buckets supplémentaires nécessaires aux tâches exécutées sur le cluster.

Créer le cluster

  • Créez le cluster dans votre projet.

Commande gcloud

Utilisez la commande gcloud dataproc clusters create pour créer un cluster avec le compte de service de VM personnalisé.

gcloud dataproc clusters create CLUSTER_NAME \
    --region=REGION \
    --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --scopes=SCOPE

Remplacez l'élément suivant :

  • CLUSTER_NAME: nom du cluster, qui doit être unique dans un projet. Le nom doit commencer par une lettre minuscule et peut contenir jusqu'à 51 caractères (lettres minuscules, chiffres et traits d'union). Il ne doit pas se terminer par un trait d'union. Le nom d'un cluster supprimé peut être réutilisé.
  • REGION: région dans laquelle se trouvera le cluster.
  • SERVICE_ACCOUNT_NAME: nom du compte de service.
  • PROJECT_ID: ID de projet Google Cloud du projet contenant votre compte de service de VM. Il s'agit de l'ID du projet dans lequel votre cluster sera créé ou de l'ID d'un autre projet si vous créez un cluster avec un compte de service VM personnalisé dans un autre cluster.
  • SCOPE: champ d'application de l'accès pour les instances de VM de cluster (par exemple, https://www.googleapis.com/auth/cloud-platform).

API REST

Lorsque vous remplissez GceClusterConfig dans la requête API clusters.create, définissez les champs suivants:

Console

Il n'est pas possible de définir un compte de service de VM Dataproc dans la console Google Cloud. Vous pouvez définir la portée d'accès cloud-platform sur les VM du cluster lorsque vous le créez en cliquant sur "Active la portée de la plate-forme cloud pour ce cluster" dans la section Accès au projet du panneau Gérer la sécurité sur la page Dataproc Créer un cluster dans la console Google Cloud.

Créer un cluster avec un compte de service de VM personnalisé à partir d'un autre projet

Lorsque vous créez un cluster, vous pouvez spécifier un compte de service de VM personnalisé que votre cluster utilisera pour les opérations de plan de données Dataproc au lieu d'utiliser le compte de service de VM par défaut (vous ne pouvez pas spécifier un compte de service de VM personnalisé après la création du cluster). L'utilisation d'un compte de service de VM personnalisé avec des rôles IAM attribués vous permet de fournir à votre cluster un accès précis aux ressources du projet.

Étapes préliminaires

  1. Dans le projet de compte de service (projet dans lequel se trouve le compte de service de VM personnalisé):

    1. Activez l'association des comptes de service à plusieurs projets.

    2. Enable the Dataproc API.

      Enable the API

  2. Attribuez à votre compte de messagerie (l'utilisateur qui crée le cluster) le rôle Utilisateur du compte de service au niveau du projet de compte de service ou, pour un contrôle plus précis, au niveau du compte de service de VM personnalisé dans le projet de compte de service.

    Pour en savoir plus, consultez Gérer l'accès aux projets, aux dossiers et aux organisations pour attribuer des rôles au niveau du projet et Gérer l'accès aux comptes de service pour attribuer des rôles au niveau du compte de service.

    Exemples de CLI gcloud:

    • L'exemple de commande suivant attribue à l'utilisateur le rôle Utilisateur du compte de service au niveau du projet:
    gcloud projects add-iam-policy-binding SERVICE_ACCOUNT_PROJECT_ID \
    --member=USER_EMAIL \
    --role="roles/iam.serviceAccountUser"

    Remarques : USER_EMAIL: indiquez l'adresse e-mail de votre compte utilisateur, au format : user:user-name@example.com.

    • L'exemple de commande suivant attribue à l'utilisateur le rôle Utilisateur du compte de service au niveau du compte de service:
    gcloud iam service-accounts add-iam-policy-binding VM_SERVICE_ACCOUNT_EMAIL \
    --member=USER_EMAIL \
    --role="roles/iam.serviceAccountUser"

    Remarques : USER_EMAIL: indiquez l'adresse e-mail de votre compte utilisateur, au format : user:user-name@example.com.

  3. Accordez au compte de service de VM personnalisé le rôle Nœud de calcul Dataproc dans le projet de cluster.

    Exemple de CLI gcloud:

    gcloud projects add-iam-policy-binding CLUSTER_PROJECT_ID \
    --member=serviceAccount:SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \
    --role="roles/dataproc.worker"

  4. Attribuez au compte de service de l'agent de service Dataproc du projet de cluster les rôles Utilisateur du compte de service et Créateur de jetons du compte de service au niveau du projet de compte de service ou, pour un contrôle plus précis, au compte de service de VM personnalisé dans le projet de compte de service. Vous autorisez ainsi le compte de service de l'agent de service Dataproc dans le projet de cluster à créer des jetons pour le compte de service de la VM Dataproc personnalisée dans le projet de compte de service.

    Pour en savoir plus, consultez Gérer l'accès aux projets, aux dossiers et aux organisations pour attribuer des rôles au niveau du projet et Gérer l'accès aux comptes de service pour attribuer des rôles au niveau du compte de service.

    Exemples de CLI gcloud:

    • Les exemples de commandes suivants attribuent au compte de service de l'agent de service Dataproc dans le projet de cluster les rôles "Utilisateur du compte de service" et "Créateur de jetons du compte de service" au niveau du projet:
    gcloud projects add-iam-policy-binding SERVICE_ACCOUNT_PROJECT_ID \
    --member=serviceAccount:service-CLUSTER_PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
    --role="roles/iam.serviceAccountUser"
 
    gcloud projects add-iam-policy-binding SERVICE_ACCOUNT_PROJECT_ID \
    --member=serviceAccount:service-CLUSTER_PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
    --role="roles/iam.serviceAccountTokenCreator"
    • Les exemples de commandes suivants attribuent au compte de service de l'agent de service Dataproc dans le projet de cluster les rôles "Utilisateur du compte de service" et "Créateur de jetons du compte de service" au niveau du compte de service de la VM:
    gcloud iam service-accounts add-iam-policy-binding VM_SERVICE_ACCOUNT_EMAIL \
    --member=serviceAccount:service-CLUSTER_PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
    --role="roles/iam.serviceAccountUser"
 
    gcloud iam service-accounts add-iam-policy-binding VM_SERVICE_ACCOUNT_EMAIL \
    --member=serviceAccount:service-CLUSTER_PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
    --role="roles/iam.serviceAccountTokenCreator"

  5. Attribuez au compte de service de l'agent de service Compute Engine dans le projet de cluster le rôle de créateur de jetons du compte de service dans le projet de compte de service ou, pour un contrôle plus précis, le compte de service de VM personnalisé dans le projet de compte de service. Vous autorisez ainsi le compte de service de l'agent de service Compute Agent dans le projet de cluster à créer des jetons pour le compte de service de VM Dataproc personnalisé dans le projet de compte de service.

    Pour en savoir plus, consultez Gérer l'accès aux projets, aux dossiers et aux organisations pour attribuer des rôles au niveau du projet, et Gérer l'accès aux comptes de service pour attribuer des rôles au niveau du compte de service.

    Exemples de CLI gcloud:

    • L'exemple de commande suivant attribue au compte de service Compute Engine Service Agent du projet de cluster le rôle de créateur de jetons de compte de service au niveau du projet:
    gcloud projects add-iam-policy-binding SERVICE_ACCOUNT_PROJECT_ID \
    --member=serviceAccount:service-CLUSTER_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
    --role="roles/iam.serviceAccountTokenCreator"
    • L'exemple de commande suivant attribue au compte de service Compute Engine Service Agent du projet de cluster le rôle de créateur de jetons de compte de service au niveau du compte de service de la VM:
    gcloud iam service-accounts add-iam-policy-binding VM_SERVICE_ACCOUNT_EMAIL \
    --member=serviceAccount:service-CLUSTER_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
    --role="roles/iam.serviceAccountTokenCreator"

Créer le cluster

Étape suivante