Se usó la API de Cloud Translation para traducir esta página.

Usa el modo de actuar como estricto

El modo estricto de act-as habilita una verificación de seguridad adicional para las siguientes acciones del usuario en Dataform:

Crea o actualiza un repositorio
Crear o actualizar una configuración de flujo de trabajo
Crea una invocación de flujo de trabajo
Actualiza una configuración de lanzamiento

Esta verificación de seguridad adicional requiere que el usuario que realiza estas acciones tenga el permiso iam.serviceAccounts.actAs en la cuenta de servicio efectiva, que es la cuenta de servicio cuyas credenciales se usan para ejecutar flujos de trabajo. Para obtener más información sobre las cuentas de servicio, consulta Conecta cuentas de servicio a recursos.

Puedes habilitar este modo de las siguientes maneras:

Cuando creas un repositorio
Cuando se actualiza un repositorio existente con la marca strict_act_as_checks

Roles requeridos

Para obtener los permisos que necesitas para completar las tareas de este documento, pídele a tu administrador que te otorgue el rol de IAM de Usuario de la cuenta de servicio (roles/iam.serviceAccountUser) en la cuenta de servicio personalizada. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Determina la cuenta de servicio vigente

Puedes determinar la cuenta de servicio efectiva que ejecuta los flujos de trabajo según el tipo de recurso y las siguientes condiciones:

Tipo de recurso Cuenta de servicio vigente

Repositorios

Tipo de recurso	Cuenta de servicio vigente
Repositorios	Si seleccionas una cuenta de servicio cuando creas el repositorio, se usará la cuenta de servicio `Repository.ServiceAccount`. De lo contrario, se usará de forma predeterminada la cuenta de servicio de Dataform.
Configuración del flujo de trabajo	Puedes seleccionar una cuenta de servicio cuando crees la configuración del flujo de trabajo. De lo contrario, se usará de forma predeterminada la cuenta de servicio de Dataform del repositorio.
Invocación del flujo de trabajo	Si el resultado de la compilación es `WORKFLOW_CONFIG`, se usa la cuenta de servicio efectiva de la configuración del flujo de trabajo. Si creas una invocación de flujo de trabajo a partir de un resultado de compilación, se usa la cuenta de servicio `WorkflowInvocation.InvocationConfig` si está configurada. De lo contrario, se usará de forma predeterminada la cuenta de servicio de Dataform del repositorio.

Si seleccionas una cuenta de servicio cuando creas el repositorio, se usará la cuenta de servicio Repository.ServiceAccount.

De lo contrario, se usará de forma predeterminada la cuenta de servicio de Dataform.

Configuración del flujo de trabajo

Puedes seleccionar una cuenta de servicio cuando crees la configuración del flujo de trabajo.

De lo contrario, se usará de forma predeterminada la cuenta de servicio de Dataform del repositorio.

Invocación del flujo de trabajo

Si el resultado de la compilación es WORKFLOW_CONFIG, se usa la cuenta de servicio efectiva de la configuración del flujo de trabajo.

Si creas una invocación de flujo de trabajo a partir de un resultado de compilación, se usa la cuenta de servicio WorkflowInvocation.InvocationConfig si está configurada.

De lo contrario, se usará de forma predeterminada la cuenta de servicio de Dataform del repositorio.

Otorga el rol de IAM de usuario de cuenta de servicio

El rol de usuario de cuenta de servicio (roles/iam.serviceAccountUser) contiene el permiso iam.serviceAccounts.actAs, que se requiere para el modo de suplantación estricto. Cuando usas la API de Dataform, debes tener el rol de usuario de cuenta de servicio otorgado para la cuenta de servicio efectiva según el método projects.locations.repositories al que llamas:

create o patch
- Si se configura la propiedad Repository.ServiceAccount, debes tener el rol de usuario de cuenta de servicio otorgado para esa propiedad.
- Si llamas al método patch, debes tener el rol de usuario de cuenta de servicio otorgado para todas las cuentas de servicio efectivas en todas las configuraciones del flujo de trabajo del repositorio.
workflowConfigs.create o workflowConfigs.patch
- Debes tener el rol de usuario de cuenta de servicio otorgado para la cuenta de servicio efectiva que se usa en la configuración del flujo de trabajo.
releaseConfigs.patch
- Debes tener el rol de usuario de cuenta de servicio otorgado para todas las cuentas de servicio efectivas que se usen en las configuraciones del flujo de trabajo con esta configuración de versión.
workflowInvocations.create
- Debes tener el rol de usuario de cuenta de servicio otorgado para la cuenta de servicio efectiva que se usa en la invocación del flujo de trabajo.

Para obtener más información, consulta las funciones requeridas para crear una configuración de flujo de trabajo y las funciones requeridas para crear una configuración de versión.

Versiones automáticas para repositorios

Cuando el modo act-as está habilitado, los lanzamientos automáticos se inhabilitan para las configuraciones de lanzamiento del repositorio de Dataform. Esto no se aplica a los repositorios conectados a repositorios de terceros.

Además, si habilitas el modo de suplantación, se realizan verificaciones en el repositorio para determinar si tiene una configuración de lanzamiento automático establecida con la programación de Cron. Esto no se aplica a los repositorios conectados a repositorios de terceros.

¿Qué sigue?

Para obtener más información sobre cómo crear un repositorio, consulta Crea un repositorio.
Para obtener información sobre cómo crear una configuración de flujo de trabajo, consulta Programa ejecuciones.
Para obtener información sobre cómo crear una configuración de lanzamiento, consulta Configura compilaciones.