Rôles et identités Identity and Access Management pour Dataproc sur GKE

Identité du plan de données

Dataproc sur GKE utilise l'identité de charge de travail GKE pour permettre aux pods du cluster Dataproc sur GKE d'agir avec l'autorité du compte de service de VM Dataproc par défaut (identité du plan de données). L'identité de charge de travail nécessite les autorisations suivantes pour mettre à jour les stratégies IAM sur le GSA utilisé par votre cluster virtuel Dataproc sur GKE :

compute.projects.get
iam.serviceAccounts.getIamPolicy
iam.serviceAccounts.setIamPolicy

L'identité de charge de travail GKE associe les comptes de service GKE (KSA) suivants au compte de service de VM Dataproc :

agent KSA (interagit avec le plan de contrôle Dataproc) :
serviceAccount:${PROJECT}.svc.id.goog[${DPGKE_NAMESPACE}/agent]
KSA spark-driver (exécute les pilotes Spark) :
serviceAccount:${PROJECT}.svc.id.goog[${DPGKE_NAMESPACE}/spark-driver]
KSA spark-executor (exécute les exécuteurs Spark) :
serviceAccount:${PROJECT}.svc.id.goog[${DPGKE_NAMESPACE}/spark-executor]

Utilisez l'option gcloud dataproc clusters gke create --setup-workload-identity lorsque vous créez un cluster Dataproc sur GKE pour créer les liaisons d'identité de charge de travail requises pour le cluster.

Attribuer des rôles

Accordez des autorisations au compte de service de VM Dataproc pour permettre aux spark-driver et spark-executor d'accéder aux ressources de projet, aux sources de données, aux récepteurs de données et à tous les autres services requis par votre charge de travail.

Exemple :

La commande suivante attribue des rôles au compte de service de VM Dataproc par défaut pour permettre aux charges de travail Spark exécutées sur des VM de cluster Dataproc sur GKE d'accéder aux buckets Cloud Storage et aux ensembles de données BigQuery du projet.

gcloud projects add-iam-policy-binding \
    --role=roles/storage.objectAdmin \
    --role=roles/bigquery.dataEditor \
    --member="project-number-compute@developer.gserviceaccount.com" \
    "${PROJECT}"

Configuration IAM personnalisée

Dataproc sur GKE utilise l'identité de charge de travail GKE pour lier le compte de service de VM Dataproc par défaut (identité du plan de données) aux trois comptes de service GKE (KSA).

Pour créer et utiliser un autre compte de service Google (GSA) à lier à les KSA :

Créez le GSA (consultez Créer et gérer des comptes de service).

Exemple gcloud CLI :
```
gcloud iam service-accounts create "dataproc-${USER}" \
    --description "Used by Dataproc on GKE workloads."
```
Remarques :
- L'exemple définit le nom du GSA sur "dataproc-${USER}", mais vous pouvez utiliser un autre nom.
Définissez les variables d'environnement :
```
PROJECT=project-id \
  DPGKE_GSA="dataproc-${USER}@${PROJECT}.iam.gserviceaccount.com"
  DPGKE_NAMESPACE=GKE namespace
```
Remarques :
- DPGKE_GSA : les exemples définissent et utilisent DPGKE_GSA comme nom de la variable qui contient l'adresse e-mail de votre GSA. Vous pouvez définir et utiliser un autre nom de variable.
- DPGKE_NAMESPACE : l'espace de noms GKE par défaut est le nom de votre cluster Dataproc sur GKE.

Lorsque vous créez le cluster Dataproc sur GKE, ajoutez les propriétés suivantes pour que Dataproc utilise votre GSA au lieu du GSA par défaut :

--properties "dataproc:dataproc.gke.agent.google-service-account=${DPGKE_GSA}" \
--properties "dataproc:dataproc.gke.spark.driver.google-service-account=${DPGKE_GSA}" \
--properties "dataproc:dataproc.gke.spark.executor.google-service-account=${DPGKE_GSA}" \

Exécutez les commandes suivantes pour attribuer les autorisations Workload Identity nécessaires aux comptes de service :

Attribuez le rôle dataproc.worker à votre GSA pour lui permettre d'agir en tant qu'agent :

gcloud projects add-iam-policy-binding \
    --role=roles/dataproc.worker \
    --member="serviceAccount:${DPGKE_GSA}" \
    "${PROJECT}"

Attribuez le KSA agent le rôle iam.workloadIdentityUser pour lui permettre d'agir en tant que GSA :

gcloud iam service-accounts add-iam-policy-binding \
    --role=roles/iam.workloadIdentityUser \
    --member="serviceAccount:${PROJECT}.svc.id.goog[${DPGKE_NAMESPACE}/agent]" \
    "${DPGKE_GSA}"

Attribuez le rôle iam.workloadIdentityUser au KSA spark-driver pour lui permettre d'agir en tant que GSA :

gcloud iam service-accounts add-iam-policy-binding \
    --role=roles/iam.workloadIdentityUser \
    --member="serviceAccount:${PROJECT}.svc.id.goog[${DPGKE_NAMESPACE}/spark-driver]" \
    "${DPGKE_GSA}"

Attribuez le rôle iam.workloadIdentityUser au KSA spark-executor pour lui permettre d'agir en tant que GSA :

gcloud iam service-accounts add-iam-policy-binding \
    --role=roles/iam.workloadIdentityUser \
    --member="serviceAccount:${PROJECT}.svc.id.goog[${DPGKE_NAMESPACE}/spark-executor]" \
    "${DPGKE_GSA}"

Rôles et identités Identity and Access Management pour Dataproc sur GKE Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Identité du plan de données

Attribuer des rôles

Configuration IAM personnalisée

Rôles et identités Identity and Access Management pour Dataproc sur GKE