Principales de Cloud Dataproc y sus funciones

Cuando usas el servicio de Cloud Dataproc para crear clústeres y ejecutar trabajos en ellos, el servicio configura los Permisos de Cloud Dataproc y las funciones de IAM de tu proyecto a fin de acceder a los recursos de Google Cloud Platform que necesita para usarlos y realizar estas tareas. Sin embargo, si realizas un trabajo entre proyectos, por ejemplo, para acceder a los datos de otro proyecto, deberás configurar las funciones y los permisos necesarios a fin de acceder a los recursos entre proyectos.

Para ayudarte a realizar con éxito los trabajos entre proyectos, en este documento, se enumeran las diversas principales que usan el servicio de Cloud Dataproc y las funciones y los permisos asociados necesarios para que esas principales accedan a los recursos de GCP y los usen.

Usuario de la API de Cloud Dataproc (identidad de usuario final)

Ejemplo: nombredeusuario@example.com

Este es el usuario final que llama al servicio de Cloud Dataproc. El usuario final suele ser un individuo, pero también puede ser una cuenta de servicio si se invoca a Cloud Dataproc a través de un cliente de API o de otro servicio de Google Cloud Platform como Compute Engine, Cloud Functions o Cloud Composer.

Permisos y funciones relacionados:

Agente del servicio de Cloud Dataproc (identidad del plano de control)

Ejemplo: servicio-proyecto-número@dataproc-accounts.iam.gserviceaccount.com

Cloud Dataproc crea esta cuenta de servicio con la función de agente de servicios de Dataproc en el proyecto de GCP de un usuario de Cloud Dataproc. Esta cuenta de servicio no se puede reemplazar por una cuenta de servicio especificada por el usuario cuando creas un clúster. No debes configurar esta cuenta de servicio, a menos que crees un clúster que use una red de VPC compartida en otro proyecto.

Esta cuenta de servicio se usa para realizar un amplio conjunto de operaciones del sistema, entre ellas:

  • Obtener y enumerar operaciones para confirmar la configuración de recursos como imágenes, firewall, acciones de inicialización de Cloud Dataproc y depósitos de Cloud Storage
  • Crear de forma automática el depósito de etapa de pruebas de Cloud Dataproc si el usuario no lo especificó
  • Escribir metadatos de configuración de clústeres en el depósito de etapa de pruebas
  • Crear recursos de Compute Engine, que incluyen instancias de VM, grupos de instancias y plantillas de instancias

Error relacionado: “La cuenta de servicio no tiene acceso de lectura o enumeración al recurso”.

Permisos y funciones relacionados:

  • Función: agente de servicios de Dataproc

Cuenta de servicio de VM de Cloud Dataproc (identidad del plano de datos)

Ejemplo: proyecto-número-procesamiento@developer.gserviceaccount.com

Las VM de Cloud Dataproc se ejecutan como esta cuenta de servicio. Se otorgan los permisos de esta cuenta de servicio a los trabajos de los usuarios. Si no especificas una cuenta de servicio administrada por el usuario cuando creas un clúster, se usará la cuenta de servicio predeterminada de Compute Engine (como se muestra en el ejemplo anterior).

La cuenta de servicio de VM debe tener permisos para realizar lo siguiente:

  • leer y escribir en el depósito de staging de Cloud Dataproc

La cuenta de servicio de VM puede necesitar permisos de acuerdo con los requisitos de los trabajos para realizar lo siguiente:

  • leer y escribir en Cloud Storage, BigQuery, Stackdriver Logging y en otros recursos de Google Cloud Platform

Permisos y funciones relacionados:

Más información

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Documentación de Cloud Dataproc
Si necesitas ayuda, visita nuestra página de asistencia.