Control de acceso con IAM

Cloud Data Fusion usa la administración de identidades y accesos (IAM) para el control de acceso.

Cuando una aplicación llama a una API de Google Cloud, IAM verifica que el llamador tenga una identidad con los permisos necesarios para usar el recurso.

Puedes controlar el acceso a Cloud Data Fusion a nivel de proyecto. Por ejemplo, puedes otorgar a un grupo de desarrolladores acceso a todos los recursos de Cloud Data Fusion dentro de un proyecto.

Para obtener más información, consulta Otorga, cambia y revoca el acceso a los recursos.

Cada método de la API de Cloud Data Fusion requiere que el emisor tenga los permisos necesarios.

Otorgar funciones

Puedes otorgar funciones a los usuarios a nivel de proyecto mediante Google Cloud Console, la API de Resource Manager o la CLI de Google Cloud. Para obtener instrucciones, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos.

Permisos necesarios

Los siguientes permisos son necesarios para ejecutar Cloud Data Fusion. Estos permisos se otorgan automáticamente cuando habilitas la API de Cloud Data Fusion.

Rol Descripción Permisos
Compute Engine y Herramientas de redes Permite a los usuarios crear redes de intercambio de tráfico entre proyectos de cliente y de usuario compute.globalOperations.get
compute.networks.addPeering
compute.networks.removePeering
compute.networks.update
compute.networks.get
Dataproc Otorga permiso para crear y administrar clústeres de Dataproc. dataproc.editor
compute.networkViewer
Varios almacenamientos Proporciona una experiencia de integración de datos sin problemas para los servicios de almacenamiento de Google Cloud. storage.admin
bigquery.dataOwner
bigquery.jobUser
spanner.databaseUser
spanner.viewer
bigtable.admin

Funciones de Cloud Data Fusion

Cloud Data Fusion tiene las siguientes funciones. El recurso de nivel más bajo al que puedes otorgar una función es un proyecto.

Rol Descripción Permisos
Administrador de Cloud Data Fusion (roles/datafusion.admin)
  • Todos los permisos de visualizador, además de los permisos para crear, actualizar y borrar las instancias de Cloud Data Fusion.
  • Tiene acceso completo a la IU de Cloud Data Fusion. Puede desarrollar y ejecutar canalizaciones.
datafusion.instances.get
datafusion.instances.list
datafusion.instances.create
datafusion.instances.delete
datafusion.instances.update
datafusion.operations.get
datafusion.operations.list
datafusion.operations.cancel
resourcemanager.projects.get
resourcemanager.projects.list
Visualizador de Cloud Data Fusion (roles/datafusion.viewer)
  • Tiene acceso completo a la IU de Cloud Data Fusion. Permisos para ver, crear, administrar y ejecutar canalizaciones.
  • No puede crear, actualizar ni borrar instancias de Cloud Data Fusion.
datafusion.instances.get
datafusion.instances.list
datafusion.operations.get
datafusion.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
Ejecutor de Cloud Data Fusion (roles/datafusion.runner) Se otorga a la cuenta de servicio de Dataproc para que Dataproc esté autorizado a comunicar la información del entorno de ejecución de la canalización, como el estado, los registros y las métricas, a los servicios de Cloud Data Fusion que se ejecutan en el proyecto de usuario. datafusion.instances.runtime

Permisos de la API de Cloud Data Fusion

Los siguientes permisos necesarios para ejecutar la API de Cloud Data Fusion.

API Permiso
instances.create datafusion.instances.create
instances.delete datafusion.instances.delete
instances.list datafusion.instances.list
instances.get datafusion.instances.get
instances.update datafusion.instances.update
operations.cancel datafusion.operations.cancel
operations.list datafusion.operations.list
operations.get datafusion.operations.get

Permisos para tareas comunes

Estas tareas comunes requieren los siguientes permisos:

Tarea Permisos
Acceder a la IU de Cloud Data Fusion protegida por Identity-Aware Proxy datafusion.instances.get
Acceder a la página Instancias de Cloud Data Fusion en Google Cloud Console datafusion.instances.list
Acceder a la página Detalles de una instancia datafusion.instances.get
Crea una instancia nueva datafusion.instances.create
Actualizar etiquetas y opciones avanzadas para personalizar una instancia datafusion.instances.update
Borra una instancia datafusion.instances.delete