本頁說明 Cloud Data Fusion 如何使用服務帳戶。詳情請參閱使用服務帳戶。
用戶端和客戶專案
Cloud Data Fusion 會設定服務帳戶,以存取下列專案中的資源:
- 用戶群專案
Cloud Data Fusion 會建立租戶專案,存放代管管道所需的資源和服務。舉例來說,在您客戶專案中的 Dataproc 叢集上執行管道。系統不會向您顯示租戶專案,不過建立私人執行個體時,您可能需要使用租戶專案名稱設定虛擬私有雲對等互連。
詳情請參閱服務基礎架構說明文件中的租戶專案。
- 客戶專案
您是這個專案的建立者和擁有者。根據預設,Cloud Data Fusion 會在這個專案中建立臨時 Dataproc 叢集,以執行管道。
下圖顯示在用戶群專案中執行的 Cloud Data Fusion 執行個體,以及在客戶專案中 Dataproc 叢集上執行的管道。
Cloud Data Fusion 中的服務帳戶
服務帳戶會為 Cloud Data Fusion 提供身分,讓 Cloud Data Fusion 能夠存取您的資源。
啟用 Cloud Data Fusion API 並建立 Cloud Data Fusion 執行個體後,系統會將服務帳戶新增至專案,以便存取 Service Networking、Dataproc、Cloud Storage、BigQuery、Spanner 和 Bigtable 等資源。這個服務帳戶稱為「Cloud Data Fusion API 服務代理人」。系統會自動將角色授予這個服務代理。
每個服務帳戶均使用不重複的電子郵件地址做為識別。
Cloud Data Fusion 會使用下列類型的服務帳戶。詳情請參閱「服務帳戶類型」。
| 服務帳戶 | 說明 |
|---|---|
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-
datafusion.iam.gserviceaccount.com |
服務代理人 (稱為「Cloud Data Fusion API 服務代理人」),Cloud Data Fusion 會建立這個代理人來取得客戶資源的存取權,以便代表客戶執行動作。用於用戶群專案,存取客戶專案資源。舉例來說,預覽會在記憶體中執行,而不是在 Dataproc 叢集中執行。 「Cloud Data Fusion API 服務代理人」( |
CUSTOMER_PROJECT_NUMBER-
compute@developer.gserviceaccount.com |
Cloud Data Fusion 建立的預設 Compute Engine 服務帳戶,用於部署會存取其他 Google Cloud 資源的工作。根據預設,這項服務會附加至 Dataproc 叢集 VM,讓 Cloud Data Fusion 在管道執行期間存取 Dataproc 資源。在 Cloud Data Fusion Enterprise 版中,您可以透過使用者管理的服務帳戶執行管道,方法是從 Cloud Data Fusion 控制台建立設定檔,然後依序點選「System Admin」→「Configuration」分頁標籤,並新增自訂服務帳戶。在 6.2.3 以上版本中,建立 Cloud Data Fusion 執行個體時,您可以選擇要附加至 Dataproc 叢集的自訂服務帳戶。詳情請參閱 Dataproc 中的服務帳戶。 |
後續步驟
- 瞭解如何控管資料存取權。
- 授予服務帳戶使用者權限。
- 請參閱 Cloud Data Fusion 定價。