Este documento explica quais permissões conceder à conta de serviço do Cloud Data Fusion ao criar um papel personalizado que permite o acesso aos seus recursos.
Por padrão, o papel do Identity and Access Management do agente de serviço da API Cloud Data Fusion (roles/datafusion.serviceAgent) é atribuído à conta de serviço do Cloud Data Fusion. Essa função é altamente permissiva.
Em vez disso, use papéis personalizados para fornecer apenas as permissões necessárias ao
principal da conta de serviço.
Para mais informações sobre as contas de serviço do Cloud Data Fusion, consulte Contas de serviço no Cloud Data Fusion.
Para mais informações sobre como criar papéis personalizados, consulte Criar um papel personalizado.
Permissões necessárias para a conta de serviço do Cloud Data Fusion
Ao criar um papel personalizado para a conta de serviço do Cloud Data Fusion, conceda as seguintes permissões com base nas tarefas que você planeja realizar na instância. Isso permite que o Cloud Data Fusion acesse seus recursos.
| Tarefa | Permissões necessárias |
|---|---|
| Receber clusters do Dataproc |
|
| Crie um bucket do Cloud Storage por instância do Cloud Data Fusion e faça upload de arquivos para execução de jobs do Dataproc |
|
| Publicar registros no Cloud Logging |
|
| Publicar métricas do Cloud no Cloud Monitoring |
|
| Criar uma instância do Cloud Data Fusion com peering de VPC |
|
| Crie uma instância do Cloud Data Fusion com uma zona de peering de DNS entre projetos de clientes e locatários. |
|
| Crie uma instância do Cloud Data Fusion com o Private Service Connect |
|
A seguir
- Saiba mais sobre como criar e gerenciar papéis personalizados.
- Saiba mais sobre as opções de controle de acesso no Cloud Data Fusion.