En este documento se explica qué permisos debes conceder a la cuenta de servicio de Cloud Data Fusion cuando creas un rol personalizado que le permite acceder a tus recursos.
De forma predeterminada, el rol de Gestión de Identidades y Accesos Agente de servicio de la API de Cloud Data Fusion (roles/datafusion.serviceAgent) se asigna a la cuenta de servicio de Cloud Data Fusion. Este rol tiene muchos permisos.
En su lugar, puedes usar roles personalizados para proporcionar solo los permisos que necesite el principal de la cuenta de servicio.
Para obtener más información sobre las cuentas de servicio de Cloud Data Fusion, consulta el artículo Cuentas de servicio en Cloud Data Fusion.
Para obtener más información sobre cómo crear roles personalizados, consulta el artículo Crear un rol personalizado.
Permisos necesarios para la cuenta de servicio de Cloud Data Fusion
Cuando crees un rol personalizado para la cuenta de servicio de Cloud Data Fusion, otorga los siguientes permisos en función de las tareas que vayas a realizar en tu instancia. De esta forma, Cloud Data Fusion puede acceder a tus recursos.
| Tarea | Los permisos que requiere |
|---|---|
| Obtener clústeres de Dataproc |
|
| Crea un segmento de Cloud Storage por instancia de Cloud Data Fusion y sube archivos para la ejecución de tareas de Dataproc. |
|
| Publicar registros en Cloud Logging |
|
| Publicar métricas de Cloud en Cloud Monitoring |
|
| Crea una instancia de Cloud Data Fusion con emparejamiento de VPC. |
|
| Crear una instancia de Cloud Data Fusion con una zona de peering de DNS entre los proyectos del cliente y del arrendatario |
|
| Crea una instancia de Cloud Data Fusion con Private Service Connect. |
|
Siguientes pasos
- Consulta más información sobre cómo crear y gestionar roles personalizados.
- Consulta más información sobre las opciones de control de acceso en Cloud Data Fusion.