このドキュメントでは、Identity and Access Management サービス アカウントのロールを表示および管理する方法について説明します。Dataproc Serverless for Spark のバッチ ワークロードまたはインタラクティブ セッションは、バッチ ワークロードの送信、セッションの作成、セッション ランタイム テンプレートの作成時にカスタム サービス アカウントを指定しない限り、Compute Engine のデフォルト サービス アカウントとして実行されます。
必要な Dataproc ワーカーのロール
Dataproc Serverless ワークロードのサービス アカウントには、Identity and Access Management の Dataproc Worker ロールが必要です。Dataproc Serverless が使用する Compute Engine のデフォルトのサービス アカウント(project_number-compute@developer.gserviceaccount.com)には、デフォルトでこのロールが付与されています。バッチ ワークロード、セッション、またはセッション テンプレートに独自のサービス アカウントを指定する場合は、サービス アカウントに Dataproc ワーカーのロールを付与する必要があります。BigQuery に対するデータの読み取りや書き込みといったその他のオペレーションには、追加のロールが必要になる場合があります。
IAM サービス アカウントのロールを表示、管理する
Dataproc Serverless ワークロード サービス アカウントに付与されているロールを表示して管理するには、次の操作を行います。
Google Cloud コンソールの [IAM] ページに移動します。
[Google 提供のロール付与を含みます] をクリックします。
ワークロード サービス アカウントにリストされているロールを表示します。次の図は、Dataproc Serverless がデフォルトでワークロード サービス アカウントとして使用する Compute Engine のデフォルト サービス アカウント(
project_number-compute@developer.gserviceaccount.com)に必要な Dataproc ワーカーロールを示しています。
サービス アカウントの行に表示される鉛筆アイコンをクリックして、サービス アカウントのロールを付与または削除できます。