此页面由 Cloud Translation API 翻译。

Cloud Data Fusion 服务账号所需的最低权限

本文档介绍了在创建允许 Cloud Data Fusion 服务账号访问您的资源的自定义角色时，应向该服务账号授予哪些权限。

默认情况下，Cloud Data Fusion API Service Agent (roles/datafusion.serviceAgent) Identity and Access Management 角色会分配给 Cloud Data Fusion 服务账号。此角色具有高度的许可性。不过，您可以使用自定义角色来仅提供服务账号主账号所需的权限。

如需详细了解 Cloud Data Fusion 服务账号，请参阅 Cloud Data Fusion 中的服务账号。

如需详细了解如何创建自定义角色，请参阅创建自定义角色。

Cloud Data Fusion 服务账号所需的权限

为 Cloud Data Fusion 服务账号创建自定义角色时，请根据您计划在实例中执行的任务授予以下权限。这样一来，Cloud Data Fusion 就可以访问您的资源。

任务	所需权限
获取 Dataproc 集群	`dataproc.clusters.get`
为每个 Cloud Data Fusion 实例创建 Cloud Storage 存储桶并上传文件以执行 Dataproc 作业	`storage.buckets.get` `storage.objects.get` `storage.buckets.create` `storage.objects.create` `storage.objects.update` `storage.buckets.delete` `storage.objects.delete`
将日志发布到 Cloud Logging	`logging.logEntries.create`
将 Cloud 指标发布到 Cloud Monitoring	`monitoring.metricDescriptors.create` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.timeSeries.create`
创建具有 VPC 对等互连的 Cloud Data Fusion 实例	`compute.globalOperations.get` `compute.networks.addPeering` `compute.networks.removePeering` `compute.networks.update` `compute.networks.get`
在客户项目和租户项目之间创建具有 DNS 对等互连区域的 Cloud Data Fusion 实例	`dns.managedZones.create` `dns.managedZones.delete` `dns.managedZones.get` `dns.managedZones.list` `dns.networks.bindPrivateDNSZone` `dns.networks.targetWithPeeringZone`
创建配置了 Private Service Connect 的 Cloud Data Fusion 实例	`compute.networkAttachments.get` `compute.networkAttachments.update` `compute.networkAttachments.list`

后续步骤

详细了解如何创建和管理自定义角色。
详细了解 Cloud Data Fusion 中的访问权限控制选项。