Questa pagina descrive come concedere il ruolo Utente service account all'agente di servizio Cloud Data Fusion sul service account Dataproc per consentirgli di eseguire il provisioning e l'esecuzione di pipeline sui cluster Dataproc.
Per i service account utilizzati da Dataproc, devi anche
concedere l'autorizzazione datafusion.instances.runtime per accedere
alle risorse di runtime di Cloud Data Fusion.
Che tu utilizzi un account di servizio gestito dall'utente o il account di servizio Compute Engine predefinito sulle macchine virtuali di un cluster, devi concedere il ruolo Utente service account a Cloud Data Fusion. In caso contrario, Cloud Data Fusion non può eseguire il provisioning di un cluster Dataproc e viene visualizzato il seguente errore quando esegui una pipeline di dati:
PROVISION task failed in REQUESTING_CREATE state for program run [pipeline-name] due to Dataproc operation failure: INVALID_ARGUMENT: User not authorized to act as service account '[service-account-name]'
Recupera il nome del account di servizio
- Nella console Google Cloud , vai alla pagina Identity and Access Management.
Vai alla pagina IAM - Nel selettore di progetti nella parte superiore della pagina, scegli il progetto, la cartella o l'organizzazione a cui appartiene l'istanza di Cloud Data Fusion.
- Trova e copia il nome dell'account di servizio Cloud Data Fusion. Utilizza il formato seguente:
service-[project-number]@gcp-sa-datafusion.iam.gserviceaccount.com.
Concedi l'autorizzazione utente al account di servizio
- Nella console Google Cloud , vai alla pagina Service Accounts.
Vai alla pagina Service account - Fai clic su Seleziona un progetto, scegli un progetto in cui si trova il account di servizio che vuoi utilizzare per il cluster Dataproc e poi fai clic su Apri.
Fai clic sull'indirizzo email del service account Dataproc.
Fai clic sulla scheda Entità con accesso. La pagina mostra un elenco di entità a cui sono stati concessi ruoli per ilaccount di serviziot.
Fai clic su Concedi l'accesso.
Nel campo Nuove entità, incolla il nome del service account Cloud Data Fusion che hai copiato in precedenza.
Seleziona il ruolo Service Account User.
Fai clic su Salva.
Concedi ruoli agli account di servizio Dataproc
Concedere l'autorizzazione del ruolo di esecutore
Concedi il ruolo Runner Cloud Data Fusion
(roles/datafusion.runner) agli account di servizio utilizzati da
Dataproc. In questo modo l'account di servizio Dataproc è autorizzato a eseguire pipeline Cloud Data Fusion nel tuo progetto.
Per ulteriori informazioni, consulta Richiedere l'autorizzazione per collegare service account alle risorse.
Concedere l'autorizzazione di amministratore di Cloud Storage
Nelle versioni 6.2.0 e successive di Cloud Data Fusion, concedi il ruolo Amministratore Cloud Storage (roles/storage.admin) ai service account utilizzati da Dataproc nel tuo progetto.
Passaggi successivi
- Scopri di più sul controllo dell'accesso in Cloud Data Fusion.
- Scopri di più sui service account di Cloud Data Fusion.