In diesem Dokument wird erläutert, welche Berechtigungen Sie dem Cloud Data Fusion-Dienstkonto erteilen müssen, wenn Sie eine benutzerdefinierte Rolle erstellen, mit der es auf Ihre Ressourcen zugreifen kann.
.Standardmäßig wird dem Cloud Data Fusion-Dienstkonto Identity and Access Management-Rolle Cloud Data Fusion API Service Agent (roles/datafusion.serviceAgent) zugewiesen. Diese Rolle ist sehr permissiv.
Stattdessen können Sie benutzerdefinierte Rollen verwenden, um nur die Berechtigungen bereitzustellen, die das Dienstkonto-Hauptkonto benötigt.
Weitere Informationen zu den Cloud Data Fusion-Dienstkonten finden Sie unter Dienstkonten in Cloud Data Fusion.
Weitere Informationen zum Erstellen benutzerdefinierter Rollen finden Sie unter Benutzerdefinierte Rolle erstellen.
Erforderliche Berechtigungen für das Cloud Data Fusion-Dienstkonto
Wenn Sie eine benutzerdefinierte Rolle für das Cloud Data Fusion-Dienstkonto erstellen, weisen Sie die folgenden Berechtigungen basierend auf den Aufgaben zu, die Sie in Ihrer Instanz ausführen möchten. Dadurch kann Cloud Data Fusion auf Ihre Ressourcen zugreifen.
| Aufgabe | Erforderliche Berechtigungen |
|---|---|
| Dataproc-Cluster abrufen |
|
| Cloud Storage-Bucket pro Cloud Data Fusion-Instanz erstellen und Dateien für die Ausführung von Dataproc-Jobs hochladen |
|
| Logs in Cloud Logging veröffentlichen |
|
| Cloud-Messwerte in Cloud Monitoring veröffentlichen |
|
| Cloud Data Fusion-Instanz mit VPC-Peering erstellen |
|
| Cloud Data Fusion-Instanz mit DNS-Peering-Zone zwischen Kunden- und Mandantenprojekten erstellen |
|
| Cloud Data Fusion-Instanz mit Private Service Connect erstellen |
|
Nächste Schritte
- Weitere Informationen zum Erstellen und Verwalten benutzerdefinierter Rollen
- Weitere Informationen zu den Optionen für die Zugriffssteuerung in Cloud Data Fusion