Nesta página, descrevemos as opções de controle de acesso no Cloud Data Fusion.
É possível controlar o acesso aos recursos no Cloud Data Fusion das seguintes maneiras:
controlar o acesso a operações do plano de controle, como criar e atualizar usando o console do Google Cloud, A Google Cloud CLI e a API REST, use Identity and Access Management (IAM), conforme descrito nesta página.
Para conceder acesso a serviços de dados do Google Cloud, como o BigQuery ou o Cloud Storage, a uma conta de serviço em que os pipelines estão em execução, use o IAM.
Para controlar permissões granulares para ações realizadas no do Compute Engine, conhecido como plano de dados operações, como iniciar pipelines, usar controle de acesso baseados em papéis (RBAC).
Para saber mais sobre a arquitetura e os recursos envolvidos no controle de acesso do Cloud Data Fusion, consulte Redes. Para informações sobre como conceder papéis e permissões, consulte Gerenciar o acesso a projetos, pastas e organizações.
Sobre a IAM no Cloud Data Fusion
Para controlar o acesso aos recursos do Cloud Data Fusion, conceda e as permissões do IAM para contas de serviço e outros principais do seu projeto do Google Cloud.
Para conceder acesso detalhado a contas de usuário para que elas possam usar a interface da Web do Cloud Data Fusion, use o RBAC.
Por padrão, o Cloud Data Fusion usa as seguintes contas de serviço:
Conta de serviços do Cloud Data Fusion:
A conta de serviço do Cloud Data Fusion é um agente de serviço gerenciado pelo Google que podem acessar os recursos do cliente no momento do projeto do pipeline. Este agente de serviço é adicionado automaticamente a um projeto quando você ativa a API Cloud Data Fusion. Ele é usado para todas as instâncias no projeto.
O agente de serviço tem as seguintes responsabilidades:
Comunicar-se com outros serviços, como o Cloud Storage, o BigQuery ou o Datastream durante o design do pipeline.
Ativar a execução provisionando clusters do Dataproc para enviar jobs de pipeline.
Papéis da conta de serviço do Cloud Data Fusion
Por padrão, a conta de serviço do Cloud Data Fusion tem apenas o
Papel de agente de serviço da API Cloud Data Fusion
(roles/datafusion.serviceAgent
).
O nome principal deste agente de serviço é
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-datafusion.iam.gserviceaccount.com
:
Os recursos padrão a seguir estão associados à API Data Fusion e o papel de Agente de serviço.
Papel | Recurso | Permissões |
---|---|---|
Agente de serviço da API Cloud Data Fusion | Serviços associados:
|
Consulte o Agente de serviço da API Cloud Data Fusion do Google Cloud. |
Conta de serviço padrão ou personalizada do Compute Engine
A conta de serviço do Compute Engine é a conta padrão que o Cloud Data Fusion usa para implantar e executar jobs que acessam outros recursos do Google Cloud. Por padrão, ele é anexado a um VM do cluster do Dataproc para permitir que o Cloud Data Fusion acesse do Dataproc durante uma execução de pipeline.
É possível escolher uma conta de serviço personalizada para anexar ao cluster do Dataproc ao criar uma instância do Cloud Data Fusion ou ao criar novos perfis de computação na interface da Web do Cloud Data Fusion.
Para mais informações, consulte Contas de serviço no Cloud Data Fusion.
Papéis para a conta de serviço do Compute Engine
Por padrão, para acessar recursos (como origens e destinos) ao executar um pipeline, o Cloud Data Fusion usa a conta de serviço padrão do Compute Engine.
É possível configurar uma conta de serviço personalizada gerenciada pelo usuário para as instâncias do Cloud Data Fusion e conceder um papel a ela. Depois, é possível escolher essa conta de serviço ao criar novas instâncias.
Função de executor do Cloud Data Fusion
No projeto que contém a instância do Cloud Data Fusion, para contas de serviço personalizadas padrão
e gerenciadas pelo usuário, conceda o papel de executor do Cloud Data Fusion
(datafusion.runner
).
Papel | Descrição | Permissão |
---|---|---|
Executor do Data Fusion (datafusion.runner) |
Permite que a conta de serviço do Compute Engine se comunique com os serviços do Cloud Data Fusion no projeto do locatário | datafusion.instances.runtime |
Papel Usuário da conta de serviço
Na conta de serviço padrão ou gerenciada pelo usuário do projeto em que
Os clusters do Dataproc são iniciados quando você executa pipelines, concede
Conta de serviço do Cloud Data Fusion com o papel de usuário da conta de serviço
(roles/iam.serviceAccountUser
).
Para mais informações, consulte Conceder permissão à conta de serviço.
Função de worker do Dataproc
Para executar os jobs em clusters do Dataproc, conceda o papel de worker do Dataproc (roles/dataproc.worker
) às contas de serviço padrão ou gerenciadas pelo usuário usadas pelos pipelines do Cloud Data Fusion.
Funções para usuários
Para acionar qualquer operação no Cloud Data Fusion, você (o principal) precisa ter permissões suficientes. As permissões individuais são agrupadas em papéis, e você concede papéis a esse principal.
Se o RBAC não estiver ativado ou se você estiver usando uma edição do Cloud Data Fusion que
não oferece suporte ao RBAC, os usuários com contas do IAM do Cloud Data
têm acesso total ao Cloud Data Fusion da Web
interface gráfica do usuário. A função de administrador só permite que os usuários gerenciem a instância, como
Create
, Update
, Upgrade
e Delete
.
Conceda os seguintes papéis aos principais, dependendo das permissões que eles necessárias no Cloud Data Fusion.
Papel | Descrição | Permissões |
---|---|---|
Administrador do Cloud Data Fusion (roles/datafusion.admin ) |
Todas as permissões de leitor e permissões para criar, atualizar e excluir instâncias do Cloud Data Fusion. |
|
Leitor do Cloud Data Fusion (roles/datafusion.viewer ) |
|
|
Acessar recursos em outro projeto no momento do design
Esta seção descreve o controle de acesso a recursos localizados em um projeto do Google Cloud diferente da sua instância do Cloud Data Fusion no momento da criação.
Quando você projeta pipelines na Web do Cloud Data Fusion interface, você pode usar funções, como Wrangler ou Prévia, que acessar recursos em outros projetos.
As seções a seguir descrevem como determinar a conta de serviço no seu ambiente e conceder as permissões adequadas.
Determinar a conta de serviço do ambiente
O nome da conta de serviço é "Conta de serviço do Cloud Data Fusion", e o principal
para esse agente de serviço é
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-datafusion.iam.gserviceaccount.com
.
Conceder permissão para acessar recursos em outro projeto
Para conceder as funções que dão permissão para acessar vários recursos, siga estas etapas:
- No projeto em que o recurso de destino existe, adicione a
conta de serviço do Cloud Data Fusion (
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-datafusion.iam.gserviceaccount.com
) como principal. - Conceda papéis à conta de serviço do Cloud Data Fusion no destino no projeto em que o recurso de destino existe.
Depois de conceder os papéis, você pode acessar recursos em um projeto diferente em o tempo de design da mesma forma que você acessa recursos do projeto instância está localizada.
Acessar recursos em outro projeto no ambiente de execução
Esta seção descreve o controle de acesso em recursos localizados em um um projeto do Google Cloud diferente da sua instância do Cloud Data Fusion, o ambiente de execução.
No momento da execução, você executa o pipeline em um cluster do Dataproc, que pode acessar recursos em outros projetos. Por padrão, o cluster do Dataproc é iniciado no mesmo projeto da instância do Cloud Data Fusion, mas é possível usar clusters em outro projeto.
Para acessar os recursos em outros projetos do Google Cloud, siga estas etapas:
- Determine a conta de serviço do seu projeto.
- No projeto em que o recurso está, conceda papéis do IAM à conta de serviço padrão do Compute Engine para dar acesso a recursos em outro projeto.
Determinar a conta de serviço do Compute Engine
Para mais informações sobre a conta de serviço do Compute Engine, consulte Sobre o IAM no Cloud Data Fusion.
Conceder acesso a recursos do IAM em outro projeto
A conta de serviço padrão do Compute Engine requer permissões para acessar recursos em outro projeto. Essas funções e permissões podem ser diferentes dependendo do recurso que você quer acessar.
Para acessar os recursos, siga estas etapas:
- Conceda papéis e permissões, especificando sua conta de serviço do Compute Engine como principal no projeto em que o recurso de destino existe.
- Adicionar papéis apropriados para acessar o recurso.
Permissões da API do Cloud Data Fusion
As seguintes permissões são necessárias para executar o API Cloud Data Fusion.
Chamada de API | Permissão |
---|---|
instances.create |
datafusion.instances.create |
instances.delete |
datafusion.instances.delete |
instances.list |
datafusion.instances.list |
instances.get |
datafusion.instances.get |
instances.update |
datafusion.instances.update |
operations.cancel |
datafusion.operations.cancel |
operations.list |
datafusion.operations.list |
operations.get |
datafusion.operations.get |
Permissões para tarefas comuns
As tarefas comuns no Cloud Data Fusion exigem as seguintes permissões:
Tarefa | Permissões |
---|---|
Como acessar a interface da Web do Cloud Data Fusion | datafusion.instances.get |
Acesse a página Instâncias do Cloud Data Fusion em o console do Google Cloud | datafusion.instances.list |
Como acessar a página Detalhes de uma instância | datafusion.instances.get |
Criar uma nova instância | datafusion.instances.create |
Como atualizar rótulos e opções avançadas para personalizar uma instância | datafusion.instances.update |
Como excluir uma instância | datafusion.instances.delete |
A seguir
- Saiba mais sobre o controle de acesso entre vários projetos.