Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Managed Service for Apache Spark のサービスアカウントのロールを付与する

このページでは、Managed Service for Apache Spark サービスアカウントに対するサービスアカウントユーザーのロールを Cloud Data Fusion サービスエージェントに付与して、Managed Service for Apache Spark クラスタでパイプラインをプロビジョニングおよび実行できるようにする方法について説明します。

Managed Service for Apache Spark で使用されるサービスアカウントには、Cloud Data Fusion ランタイムリソースにアクセスするための権限datafusion.instances.runtimeを付与することも必要です。

ユーザー管理のサービスアカウントを使用するか、クラスタ内の仮想マシンでデフォルトの Compute Engine サービスアカウントを使用するかにかかわらず、サービスアカウントのユーザーロールを Cloud Data Fusion に付与する必要があります。それ以外の場合、Cloud Data Fusion は Managed Service for Apache Spark クラスタをプロビジョニングできず、データパイプラインの実行時に次のエラーが発生します。

PROVISION task failed in REQUESTING_CREATE state for program run [pipeline-name] due to Managed Service for Apache Spark operation failure: INVALID_ARGUMENT: User not authorized to act as service account '[service-account-name]'

サービスアカウント名を取得する

コンソールで、[Identity and Access Management] ページに移動します。 Google Cloud
[IAM] ページに移動
ページの上部にあるプロジェクトセレクタから、Cloud Data Fusion インスタンスが属するプロジェクト、フォルダ、または組織を選択します。
Cloud Data Fusion サービスアカウント名を見つけてコピーします。service-[project-number]@gcp-sa-datafusion.iam.gserviceaccount.com 形式を使用します。

サービスアカウントにユーザー権限を付与する

コンソールで、[サービスアカウント] ページに移動します。 Google Cloud
[サービスアカウント] ページに移動
[プロジェクトを選択] をクリックし、Managed Service for Apache Spark クラスタに使用するサービスアカウントがあるプロジェクトを選択して、 [開く] をクリックします。
Managed Service for Apache Spark サービスアカウントのメールアドレスをクリックします。

Cloud Data Fusion が Managed Service for Apache Spark クラスタをプロビジョニングする場合は、対象クラスタ内の Managed Service for Apache Spark 仮想マシンに使用するユーザー管理サービスアカウントを指定できます。サービスアカウントを指定しなかった場合は、デフォルトの Compute Engine サービスアカウントが使用されます。形式は [project-number]-compute@developer.gserviceaccount.com です。
[アクセス権を持つプリンシパル] タブをクリックします。ページに、サービスアカウントにロールが付与されたプリンシパルのリストが表示されます。
[**アクセスを許可**] をクリックします。
[新しいプリンシパル] フィールドに、先ほどコピーした Cloud Data Fusion サービスアカウント名を貼り付けます。
サービスアカウントユーザーのロールを選択します。
[保存] をクリックします。

Managed Service for Apache Spark サービスアカウントにロールを付与する

ランナーのロールの権限を付与する

Cloud Data Fusion ランナーのロール (roles/datafusion.runner) を Managed Service for Apache Spark で使用するサービスアカウントに付与します。これにより、Managed Service for Apache Spark サービスアカウントがプロジェクト内で Cloud Data Fusion パイプラインを実行することが認可されます。詳細については、サービスアカウントをリソースに関連付ける権限を要求するをご覧ください。

Cloud Storage 管理者の権限を付与する

Cloud Data Fusion バージョン 6.2.0 以降で、 Cloud Storage 管理者のロール (roles/storage.admin) をプロジェクト内の Managed Service for Apache Spark で使用するサービスアカウントに付与します。

次のステップ

Cloud Data Fusion でのアクセス制御の詳細を確認する。
Cloud Data Fusion サービスアカウントの詳細を確認する。

Managed Service for Apache Spark のサービス アカウントのロールを付与する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

サービス アカウント名を取得する

サービス アカウントにユーザー権限を付与する

Managed Service for Apache Spark サービス アカウントにロールを付与する