Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Esta página descreve como as contas de serviço são usadas no Cloud Data Fusion. Para
mais informações, consulte Usar contas de serviço.
Projetos de locatário e cliente
O Cloud Data Fusion configura contas de serviço para acessar recursos nos
seguintes projetos:
Projeto de locatário
O Cloud Data Fusion cria um projeto de locatário para manter os recursos e
serviços necessários para gerenciar pipelines em seu nome. Por exemplo: executar
pipelines nos clusters do Dataproc que residam no projeto
do cliente. Um projeto de locatário não é exposto para você, mas ao criar uma
instância particular, talvez seja necessário usar o nome do projeto de locatário para configurar o peering
de VPC.
Para mais informações, consulte a documentação da infraestrutura de serviços sobre
projetos de locatário.
Projeto do cliente
Você cria e é proprietário deste projeto. Por padrão, o Cloud Data Fusion cria um cluster temporário do Dataproc neste projeto para executar os pipelines.
O diagrama a seguir mostra uma instância do Cloud Data Fusion em execução em um
projeto de locatário. Além disso, apresenta um pipeline em execução em um cluster do Dataproc em um
projeto de cliente.
Contas de serviço no Cloud Data Fusion
Uma conta de serviço fornece uma identidade para o Cloud Data Fusion, que oferece
acesso ao Cloud aos seus recursos.
Quando você ativa a API Cloud Data Fusion e cria uma instância do Cloud Data Fusion, uma conta de serviço é adicionada ao projeto para acessar recursos como o Service Networking, o Dataproc, o Cloud Storage, o BigQuery, o Spanner e o Bigtable. Essa conta de serviço é chamada de
Agente de serviço da API Cloud Data Fusion.
Os papéis são concedidos automaticamente a esse agente de serviço.
Uma conta de serviço é identificada por seu endereço de e-mail, que é exclusivo.
Os seguintes tipos de contas de serviço são usados no Cloud Data Fusion. Para
mais informações, consulte Tipos de contas de serviço.
O agente de serviço, chamado de
agente de serviço da API Cloud Data Fusion, que
o Cloud Data Fusion cria para ter acesso aos recursos do cliente a fim de
agir em nome do cliente. Ela é usada no projeto de
locatário para acessar os recursos do projeto do cliente. Por exemplo,
a visualização é executada na memória, e não em um cluster do Dataproc.
O papel de
Agente de serviço da API Cloud Data Fusion
(roles/datafusion.serviceAgent) do Identity and Access Management atribuído à
conta de serviço do Cloud Data Fusion por padrão inclui outras
permissões para garantir uma experiência de usuário ideal. Para aumentar a segurança, você pode criar um papel personalizado com um conjunto de permissões mínimas necessárias para uma tarefa e atribuí-lo à conta de serviço do Cloud Data Fusion.
A conta de serviço padrão do Compute Engine que
o Cloud Data Fusion cria para implantar jobs que acessam outros
recursos Google Cloud . Por padrão, ele é anexado a uma
VM de cluster do Dataproc para permitir que o Cloud Data Fusion
acesse recursos do Dataproc durante uma execução de pipeline. Na
edição Enterprise do Cloud Data Fusion,
é possível executar pipelines de uma conta de serviço gerenciada pelo usuário
criando um perfil no console do Cloud Data Fusion → Administrador do sistema → guia "Configuração" e adicionando a conta de serviço
personalizada. Nas versões 6.2.3 e posteriores, é possível escolher uma conta de serviço
personalizada para anexar ao cluster do Dataproc ao criar uma
instância do Cloud Data Fusion. Para mais informações, consulte
Contas de serviço no Dataproc.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-12 UTC."],[[["\u003cp\u003eCloud Data Fusion uses service accounts to access resources in both tenant and customer projects, enabling it to manage pipelines on the user's behalf.\u003c/p\u003e\n"],["\u003cp\u003eThe Cloud Data Fusion API Service Agent is a service account created automatically when enabling the Cloud Data Fusion API, granting it access to resources like Service Networking, Dataproc, Cloud Storage, and others.\u003c/p\u003e\n"],["\u003cp\u003eA default Compute Engine service account is also created to deploy jobs that access other Google Cloud resources, which can attach to a Dataproc cluster VM to enable Cloud Data Fusion to access Dataproc resources during pipeline runs.\u003c/p\u003e\n"],["\u003cp\u003eIn Cloud Data Fusion Enterprise edition, pipelines can run from a user-managed service account by creating a profile in the Cloud Data Fusion console, enhancing control and customization.\u003c/p\u003e\n"],["\u003cp\u003eCustomer project is owned by the customer and is the location where the ephemeral Dataproc cluster is located in order to run the user's pipelines.\u003c/p\u003e\n"]]],[],null,["# Service accounts in Cloud Data Fusion\n\nThis page describes how service accounts are used in Cloud Data Fusion. For\nmore information, see [Use service accounts](/iam/docs/service-accounts).\n\n### Tenant and customer projects\n\nCloud Data Fusion sets up service accounts to access resources in the\nfollowing projects:\n\nTenant project\n\n: Cloud Data Fusion creates a tenant project to hold the resources and\n services it needs to manage pipelines on your behalf. For example: running\n pipelines on your Dataproc clusters that reside in your customer\n project. A tenant project is not exposed to you, but when you create a\n private instance, you might need to use the tenant project name to set up VPC\n peering.\n\n For more information, see the Service Infrastructure documentation about\n [tenant projects](/service-infrastructure/docs/glossary#tenant).\n\nCustomer project\n\n: You create and own this project. By default, Cloud Data Fusion creates an\n ephemeral Dataproc cluster in this project to run the your\n pipelines.\n\nThe following diagram shows a Cloud Data Fusion instance running in a\ntenant project and a pipeline running on a Dataproc cluster in a\ncustomer project.\n\nService accounts in Cloud Data Fusion\n-------------------------------------\n\nA service account provides an identity for Cloud Data Fusion, which gives\nCloud Data Fusion access to your resources.\n\nWhen you enable the Cloud Data Fusion API and create a\nCloud Data Fusion instance, a service account is added to your project to\naccess resources like Service Networking,\nDataproc, Cloud Storage, BigQuery, Spanner,\nand Bigtable. This service account is called the\n[Cloud Data Fusion API Service Agent](/iam/docs/understanding-roles#datafusion.serviceAgent).\nRoles are automatically granted to this service agent.\n\nA service account is identified by its email address, which is unique to the\naccount.\n\nThe following types of service accounts are used in Cloud Data Fusion. For\nmore information, see [Types of service accounts](/iam/docs/service-account-types).\n\nWhat's next\n-----------\n\n- Learn about [controlling access to data](/data-fusion/docs/access-control).\n- [Give Service Account User permissions](/data-fusion/docs/how-to/granting-service-account-permission).\n- See Cloud Data Fusion [pricing](/data-fusion/pricing)."]]
