Questa pagina descrive come concedere il ruolo Utente service account nel service account Managed Service for Apache Spark al service agent Cloud Data Fusion per consentirgli di eseguire il provisioning ed eseguire pipeline nei cluster Managed Service for Apache Spark.
Per i service account utilizzati da Managed Service for Apache Spark, devi anche
concedere l'autorizzazione datafusion.instances.runtime per accedere
alle risorse di runtime di Cloud Data Fusion.
Se utilizzi un account di servizio gestito dall'utente o il account di servizio Compute Engine predefinito sulle macchine virtuali di un cluster, devi concedere il ruolo Utente service account a Cloud Data Fusion. In caso contrario, Cloud Data Fusion non può eseguire il provisioning di un cluster Managed Service per Apache Spark e viene visualizzato il seguente errore quando esegui una pipeline di dati:
PROVISION task failed in REQUESTING_CREATE state for program run [pipeline-name] due to Managed Service for Apache Spark operation failure: INVALID_ARGUMENT: User not authorized to act as service account '[service-account-name]'
Recupera il nome del account di servizio
- Nella console Google Cloud , vai alla pagina Identity and Access Management.
Vai alla pagina IAM - Nel selettore di progetti nella parte superiore della pagina, scegli il progetto, la cartella o l'organizzazione a cui appartiene l'istanza di Cloud Data Fusion.
- Trova e copia il nome del service account Cloud Data Fusion. Utilizza il formato seguente:
service-[project-number]@gcp-sa-datafusion.iam.gserviceaccount.com.
Concedi l'autorizzazione dell'utente al account di servizio
- Nella console Google Cloud , vai alla pagina Service account.
Vai alla pagina Service account - Fai clic su Seleziona un progetto, scegli un progetto in cui si trova il account di servizio che vuoi utilizzare per il cluster Managed Service for Apache Spark, quindi fai clic su Apri.
Fai clic sull'indirizzo email dell'account di servizio Managed Service for Apache Spark.
Fai clic sulla scheda Entità con accesso. La pagina mostra un elenco di principal a cui sono stati concessi ruoli per ilaccount di serviziot.
Fai clic su Concedi l'accesso.
Nel campo Nuove entità, incolla il nome del service account Cloud Data Fusion che hai copiato in precedenza.
Seleziona il ruolo Service Account User.
Fai clic su Salva.
Concedi ruoli agli account di servizio Managed Service for Apache Spark
Concedere l'autorizzazione del ruolo di esecutore
Concedi il ruolo runner di Cloud Data Fusion
(roles/datafusion.runner) ai service account utilizzati da
Managed Service for Apache Spark. In questo modo, l'account di servizio Managed Service for Apache Spark
è autorizzato a eseguire le pipeline Cloud Data Fusion nel tuo progetto.
Per saperne di più, consulta Richiedere l'autorizzazione per collegare service account alle risorse.
Concedere l'autorizzazione amministrativa di Cloud Storage
Nelle versioni 6.2.0 e successive di Cloud Data Fusion, concedi il ruolo Amministratore Cloud Storage (roles/storage.admin) agli account di servizio utilizzati da Managed Service for Apache Spark nel tuo progetto.
Passaggi successivi
- Scopri di più sul controllo dell'accesso in Cloud Data Fusion.
- Scopri di più sui service account di Cloud Data Fusion.