Cloud Data Fusion 中的服務帳戶

本頁說明如何在 Cloud Data Fusion 中使用服務帳戶。詳情請參閱「使用服務帳戶」。

用戶群和客戶專案

Cloud Data Fusion 會設定服務帳戶,以便存取下列專案中的資源:

用戶群專案

Cloud Data Fusion 會建立用戶群專案,用來保留代管資源和服務,以便代替您管理管道。例如:在客戶專案中的 Dataproc 叢集上執行管道。系統不會向您顯示用戶群專案,不過建立私人執行個體時,您可能需要使用用戶群專案名稱來設定虛擬私有雲對等互連。

詳情請參閱服務基礎架構說明文件,瞭解租用戶專案

客戶專案

您建立並擁有這個專案。根據預設,Cloud Data Fusion 會在這個專案中建立臨時 Dataproc 叢集,以便執行管道。

下圖顯示在租用戶專案中執行的 Cloud Data Fusion 執行個體,以及在客戶專案的 Dataproc 叢集中執行的管道。

在 Cloud Data Fusion 中部署管道。

Cloud Data Fusion 中的服務帳戶

服務帳戶會為 Cloud Data Fusion 提供身分,讓 Cloud Data Fusion 存取您的資源。

啟用 Cloud Data Fusion API 並建立 Cloud Data Fusion 執行個體後,系統會在專案中新增服務帳戶,以便存取 Service Networking、Dataproc、Cloud Storage、BigQuery、Spanner 和 Bigtable 等資源。這個服務帳戶稱為「Cloud Data Fusion API 服務代理人」。系統會自動將角色授予這個服務代理。

每個服務帳戶均使用不重複的電子郵件地址做為識別。

Cloud Data Fusion 會使用下列類型的服務帳戶。詳情請參閱「服務帳戶類型」。

服務帳戶 說明
service-CUSTOMER_PROJECT_NUMBER@gcp-sa- datafusion.iam.gserviceaccount.com

服務代理人 (稱為 Cloud Data Fusion API 服務代理人) 是 Cloud Data Fusion 建立的服務,可取得客戶資源的存取權,以便代表客戶採取行動。用於用戶群專案,存取客戶專案資源。例如,預覽會在記憶體中執行,而不是在 Dataproc 叢集中執行。

預設指派給 Cloud Data Fusion 服務帳戶的 Cloud Data Fusion API 服務代理人 (roles/datafusion.serviceAgent) 身分與存取權管理角色,包含額外權限,可確保最佳使用者體驗。為提升安全性,您可以建立自訂角色,並為該角色指派一組任務的最低權限,然後指派給 Cloud Data Fusion 服務帳戶。
CUSTOMER_PROJECT_NUMBER- compute@developer.gserviceaccount.com Cloud Data Fusion 建立的預設 Compute Engine 服務帳戶,用於部署可存取其他 Google Cloud 資源的工作。根據預設,它會連結至 Dataproc 叢集 VM,讓 Cloud Data Fusion 在管道執行期間存取 Dataproc 資源。在 Cloud Data Fusion 企業版中,您可以透過使用者管理的服務帳戶執行管道,方法是透過 Cloud Data Fusion 主控台→系統管理員→「設定」分頁建立設定檔,然後新增自訂服務帳戶。在 6.2.3 以上版本中,您可以在建立 Cloud Data Fusion 執行個體時,選擇要附加至 Dataproc 叢集的自訂服務帳戶。詳情請參閱「 Dataproc 中的服務帳戶」。

後續步驟