Controle de acesso

O Cloud Data Fusion usa o gerenciamento de identidade e acesso (IAM, na sigla em inglês) para o controle de acesso.

Quando um aplicativo chama uma API do Google Cloud, o IAM verifica se o autor da chamada tem uma identidade com as permissões necessárias para usar o recurso.

Você controla o acesso ao Cloud Data Fusion no nível do projeto. Por exemplo, é possível conceder acesso a todos os recursos do Cloud Data Fusion de um projeto a um grupo de desenvolvedores.

Saiba mais em Como conceder, alterar e revogar acesso a recursos.

Cada método da API do Cloud Data Fusion requer que o autor da chamada tenha as permissões necessárias.

Conceder papéis

É possível conceder papéis aos usuários no nível do projeto usando o Console do Google Cloud, a API Resource Manager ou a ferramenta de linha de comando gcloud. Para instruções, consulte Como conceder, alterar e revogar acesso.

Permissões necessárias

As permissões a seguir são necessárias para executar o Cloud Data Fusion. Essas permissões são concedidas automaticamente quando você ativa a API Cloud Data Fusion.

Papel Descrição Permissões
Compute Engine e rede Permite que os usuários criem redes em peering entre projetos de cliente e locatário compute.globalOperations.get
compute.networks.addPeering
compute.networks.removePeering
compute.networks.update
compute.networks.get
Dataproc Concede permissão para criar e gerenciar clusters do Dataproc dataproc.editor
compute.networkViewer
Vários armazenamentos Oferece uma experiência de integração de dados perfeita para os serviços de armazenamento do Google Cloud. storage.admin
bigquery.dataOwner
bigquery.jobUser
spanner.databaseUser
spanner.viewer
bigtable.admin

Papéis do Cloud Data Fusion

O Cloud Data Fusion tem os papéis a seguir. O recurso de nível mais baixo ao qual é possível conceder um papel é um projeto.

Papel Descrição Permissões
Administrador do Cloud Data Fusion (roles/datafusion.admin)
  • Todas as permissões do leitor e as permissões para criar, atualizar e excluir instâncias do Cloud Data Fusion.
  • Tem acesso total à IU do Cloud Data Fusion. Pode desenvolver e executar pipelines.
datafusion.instances.get
datafusion.instances.list
datafusion.instances.create
datafusion.instances.delete
datafusion.instances.update
datafusion.operations.get
datafusion.operations.list
datafusion.operations.cancel
resourcemanager.projects.get
resourcemanager.projects.list
Leitor do Cloud Data Fusion (roles/datafusion.viewer)
  • Tem acesso total à IU do Cloud Data Fusion. Permissões para visualizar, criar, gerenciar e executar pipelines.
  • Não pode criar, atualizar ou excluir instâncias do Cloud Data Fusion.
datafusion.instances.get
datafusion.instances.list
datafusion.operations.get
datafusion.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
Executor do Cloud Data Fusion (roles/datafusion.runner) Concedido à conta de serviço do Dataproc para que o Dataproc tenha autorização para comunicar informações do ambiente de execução do pipeline, como status, registros e métricas aos serviços do Cloud Data Fusion em execução no projeto de locatário. datafusion.instances.runtime

Permissões da API do Cloud Data Fusion

As permissões a seguir são necessárias para executar a API Cloud Data Fusion.

API Permissão
instances.create datafusion.instances.create
instances.delete datafusion.instances.delete
instances.list datafusion.instances.list
instances.get datafusion.instances.get
instances.update datafusion.instances.update
operations.cancel datafusion.operations.cancel
operations.list datafusion.operations.list
operations.get datafusion.operations.get

Permissões para tarefas comuns

Essas tarefas comuns exigem as seguintes permissões:

Tarefa Permissões
Como acessar a IU do Cloud Data Fusion protegida pelo Identity-Aware Proxy datafusion.instances.get
Como acessar a página Instâncias do Cloud Data Fusion no Console do Cloud datafusion.instances.list
Como acessar a página Detalhes de uma instância datafusion.instances.get
Criar uma nova instância datafusion.instances.create
Como atualizar rótulos e opções avançadas para personalizar uma instância datafusion.instances.update
Excluir uma instância datafusion.instances.delete