访问权限控制机制

Cloud Data Fusion 使用 Identity and Access Management (IAM) 进行访问权限控制。

当应用调用 Google Cloud API 时,IAM 会检查调用者身份是否具有使用资源所需的权限。

您可以在项目级控制 Cloud Data Fusion 的访问权限。例如,您可以向一组开发者授予对某个项目中的所有 Cloud Data Fusion 资源的访问权限。

如需了解详情,请参阅授予、更改和撤消对资源的访问权限

每种 Cloud Data Fusion API 方法都要求调用者拥有必要的权限。

授予角色

您可以使用 Google Cloud Console,Resource Manager API 或 gcloud 命令行工具,在项目级层向用户授予角色。如需了解相关说明,请参阅授予、更改和撤消项目成员的访问权限

所需权限

运行 Cloud Data Fusion 需要具备以下权限。启用 Cloud Data Fusion API 时自动授予权限。

角色 说明 权限
Compute Engine 和网络 允许用户在客户和租户项目之间创建对等互连网络 compute.globalOperations.get
compute.networks.addPeering
compute.networks.removePeering
compute.networks.update
compute.networks.get
Dataproc 授予创建和管理 Dataproc 集群的权限 dataproc.editor
compute.networkViewer
各种存储 为 Google Cloud Storage 服务提供无缝数据集成体验 storage.admin
bigquery.dataOwner
bigquery.jobUser
spanner.databaseUser
spanner.viewer
bigtable.admin

Cloud Data Fusion 角色

Cloud Data Fusion 具有以下角色。您可以向角色授予的最低级层资源是项目。

角色 说明 权限
Cloud Data Fusion Admin (roles/datafusion.admin)
  • 拥有 Viewer 的所有权限,以及创建、更新和删除 Cloud Data Fusion 实例的权限。
  • 拥有对 Cloud Data Fusion 界面的完整访问权限。可以开发和运行流水线。
datafusion.instances.get
datafusion.instances.list
datafusion.instances.create
datafusion.instances.delete
datafusion.instances.update
datafusion.operations.get
datafusion.operations.list
datafusion.operations.cancel
resourcemanager.projects.get
resourcemanager.projects.list
Cloud Data Fusion Viewer (roles/datafusion.viewer)
  • 拥有对 Cloud Data Fusion 界面的完整访问权限。拥有查看、创建、管理和运行流水线的权限。
  • 无法创建、更新或删除 Cloud Data Fusion 实例。
datafusion.instances.get
datafusion.instances.list
datafusion.operations.get
datafusion.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
Cloud Data Fusion Runner (roles/datafusion.runner) 授予 Dataproc 服务帐号,以授权 Dataproc 将流水线运行时信息(如状态、日志和指标)传送给在租户项目中运行的 Cloud Data Fusion 服务。 datafusion.instances.runtime

Cloud Data Fusion API 权限

运行 Cloud Data Fusion API 需要具备以下权限。

API 权限
instances.create datafusion.instances.create
instances.delete datafusion.instances.delete
instances.list datafusion.instances.list
instances.get datafusion.instances.get
instances.update datafusion.instances.update
operations.cancel datafusion.operations.cancel
operations.list datafusion.operations.list
operations.get datafusion.operations.get

执行常见任务的权限

这些常见任务需要以下权限:

任务 权限
访问受 Identity-Aware Proxy 保护的 Cloud Data Fusion 界面 datafusion.instances.get
在 Cloud Console 中打开 Cloud Data Fusion 的实例页面。 datafusion.instances.list
访问实例的详情页面 datafusion.instances.get
创建新实例 datafusion.instances.create
更新标签和高级选项以自定义实例 datafusion.instances.update
删除实例 datafusion.instances.delete