Diese Seite wurde von der Cloud Translation API übersetzt.

Dienstkontorollen für Dataproc gewähren

Auf dieser Seite wird beschrieben, wie Sie dem Cloud Data Fusion-Dienstkonto-Agent die Rolle Dienstkontonutzer für das Dataproc-Dienstkonto zuweisen, damit er Pipelines in Dataproc-Clustern bereitstellen und ausführen kann.

Für Dienstkonten, die von Dataproc verwendet werden, müssen Sie auch die Berechtigung datafusion.instances.runtime für den Zugriff auf Cloud Data Fusion-Laufzeitressourcen erteilen.

Unabhängig davon, ob Sie ein nutzerverwaltetes Dienstkonto oder das Compute Engine-Standarddienstkonto auf den virtuellen Maschinen in einem Cluster verwenden, müssen Sie Cloud Data Fusion die Rolle "Dienstkontonutzer" zuweisen. Andernfalls kann Cloud Data Fusion keinen Dataproc-Cluster bereitstellen und der folgende Fehler wird angezeigt, wenn Sie eine Datenpipeline ausführen:

PROVISION task failed in REQUESTING_CREATE state for program run [pipeline-name] due to Dataproc operation failure: INVALID_ARGUMENT: User not authorized to act as service account '[service-account-name]'

Namen des Dienstkontos abrufen

Rufen Sie in der Google Cloud Console die Seite „Identity and Access Management“ auf.
Zur IAM-Seite
Wählen Sie in der Projektauswahl oben auf der Seite das Projekt, den Ordner oder die Organisation aus, zu der die Cloud Data Fusion-Instanz gehört.
Suchen und kopieren Sie den Namen des Cloud Data Fusion-Dienstkontos. Verwenden Sie das folgende Format: service-[project-number]@gcp-sa-datafusion.iam.gserviceaccount.com.

Dienstkontonutzer die Berechtigung erteilen

Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf.
Zur Seite „Dienstkonten“
Klicken Sie auf Projekt auswählen, wählen Sie ein Projekt aus, in dem sich das Dienstkonto befindet, das Sie für den Dataproc-Cluster verwenden möchten, und klicken Sie dann auf Öffnen.
Klicken Sie auf die E-Mail-Adresse des Dataproc-Dienstkontos.

Wenn Cloud Data Fusion einen Dataproc-Cluster bereitstellt, können Sie angeben, welches nutzerverwaltete Dienstkonto für die virtuellen Dataproc-Maschinen in diesem Cluster verwendet werden soll. Wenn kein Dienstkonto angegeben ist, wird das Compute Engine-Standarddienstkonto verwendet, das das Format [project-number]-compute@developer.gserviceaccount.com hat.
Klicken Sie auf den Tab Hauptkonten mit Zugriff. Auf der Seite wird eine Liste der Hauptkonten angezeigt, denen Rollen für das Dienstkonto zugewiesen wurden.
Klicken Sie auf Zugriffsrechte erteilen.
Fügen Sie im Feld Neue Hauptkonten den Namen des Cloud Data Fusion-Dienstkontos ein, den Sie zuvor kopiert haben.
Wählen Sie die Rolle Dienstkontonutzer aus.
Klicken Sie auf Speichern.

Dataproc-Dienstkonten Rollen zuweisen

Berechtigung für die Rolle „Runner“ gewähren

Weisen Sie die Cloud Data Fusion-Runner-Rolle (roles/datafusion.runner) Dienstkonten zu, die von Dataproc verwendet werden. Dadurch wird das Dataproc-Dienstkonto autorisiert, Cloud Data Fusion-Pipelines in Ihrem Projekt auszuführen. Weitere Informationen finden Sie unter Berechtigung zum Anhängen von Dienstkonten an Ressourcen erfordern.

Cloud Storage-Administratorberechtigung erteilen

Weisen Sie in Cloud Data Fusion-Versionen 6.2.0 und höher Dienstkonten, die von Dataproc in Ihrem Projekt verwendet werden, die Rolle „Cloud Storage-Administrator“ (roles/storage.admin) zu.