Controle de acesso

O Cloud Data Fusion usa gerenciamento de identidade e acesso (IAM, na sigla em inglês) para controle de acesso.

Quando um aplicativo chama uma API do Google Cloud, o IAM verifica se o autor da chamada tem uma identidade com as permissões necessárias para usar o recurso.

Você controla o acesso do Cloud Data Fusion no nível do projeto. Por exemplo, conceda acesso a todos os recursos do Cloud Data Fusion em um projeto para um grupo de desenvolvedores.

Saiba mais em Como conceder, alterar e revogar acesso a recursos.

Cada método da API do Cloud Data Fusion requer que o autor da chamada tenha as permissões necessárias.

Conceder papéis

É possível conceder papéis a usuários no nível do projeto usando o Console do Google Cloud, a API Resource Manager ou a ferramenta de linha de comando gcloud. Para mais instruções, consulte Como conceder, alterar e revogar o acesso dos membros do projeto.

Permissões necessárias

As permissões a seguir são necessárias para executar o Cloud Data Fusion. Essas permissões são concedidas automaticamente quando você ativa a API Cloud Data Fusion.

Papel Descrição Permissões
Compute Engine e rede Permite que os usuários criem redes com peering entre projetos de clientes e locatários compute.globalOperations.get
compute.networks.addPeering
compute.networks.removePeering
compute.networks.update
compute.networks.get
Dataproc Concede permissão para criar e gerenciar clusters do Dataproc dataproc.editor
compute.networkViewer
Vários armazenamentos Oferece uma experiência de integração de dados de serviços de armazenamento do Google Cloud storage.admin
bigquery.dataOwner
bigquery.jobUser
spanner.databaseUser
spanner.viewer
bigtable.admin

Papéis do Cloud Data Fusion

O Cloud Data Fusion tem os papéis a seguir. O recurso de nível mais baixo ao qual é possível conceder um papel é um projeto.

Papel Descrição Permissões
Administrador do Cloud Data Fusion (roles/datafusion.admin)
  • Todas as permissões de visualizador e mais permissões para criar, atualizar e excluir instâncias do Cloud Data Fusion.
  • Tem acesso total à IU do Cloud Data Fusion. Pode desenvolver e executar pipelines.
datafusion.instances.get
datafusion.instances.list
datafusion.instances.create
datafusion.instances.delete
datafusion.instances.update
datafusion.operations.get
datafusion.operations.list
datafusion.operations.cancel
resourcemanager.projects.get
resourcemanager.projects.list
Visualizador do Cloud Data Fusion (roles/datafusion.viewer)
  • Tem acesso total à IU do Cloud Data Fusion. Permissões para visualizar, criar, gerenciar e executar pipelines.
  • Não pode criar, atualizar ou excluir instâncias do Cloud Data Fusion.
datafusion.instances.get
datafusion.instances.list
datafusion.operations.get
datafusion.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
Executor do Cloud Data Fusion (roles/datafusion.runner) Concedido à conta de serviço do Dataproc para que o Dataproc tenha autorização para comunicar informações do ambiente de execução do pipeline, como status, registros e métricas aos serviços do Cloud Data Fusion em execução no projeto de locatário. datafusion.instances.runtime

Permissões da API do Cloud Data Fusion

As permissões a seguir são necessárias para executar a API Cloud Data Fusion.

API Permissão
instances.create datafusion.instances.create
instances.delete datafusion.instances.delete
instances.list datafusion.instances.list
instances.get datafusion.instances.get
instances.update datafusion.instances.update
operations.cancel datafusion.operations.cancel
operations.list datafusion.operations.list
operations.get datafusion.operations.get

Permissões para tarefas comuns

Essas tarefas comuns exigem as seguintes permissões:

Tarefa Permissões
Como acessar a IU do Cloud Data Fusion protegida pelo Identity-Aware Proxy datafusion.instances.get
Como acessar a página Instâncias do Cloud Data Fusion no Console do Cloud datafusion.instances.list
Como acessar a página Detalhes de uma instância datafusion.instances.get
Criar uma nova instância datafusion.instances.create
Como atualizar rótulos e opções avançadas para personalizar uma instância datafusion.instances.update
Excluir uma instância datafusion.instances.delete