Cloud Data Fusion 服务账号所需的最低权限

本文档介绍了在创建允许 Cloud Data Fusion 服务账号访问您的资源的自定义角色时，应向该服务账号授予哪些权限。

默认情况下，Cloud Data Fusion API Service Agent (roles/datafusion.serviceAgent) Identity and Access Management 角色会分配给 Cloud Data Fusion 服务账号。此角色具有高度的许可性。 不过，您可以使用自定义角色来仅提供服务账号主账号所需的权限。

如需详细了解 Cloud Data Fusion 服务账号，请参阅 Cloud Data Fusion 中的服务账号。

如需详细了解如何创建自定义角色，请参阅创建自定义角色。

Cloud Data Fusion 服务账号所需的权限

为 Cloud Data Fusion 服务账号创建自定义角色时，请根据您计划在实例中执行的任务授予以下权限。这样一来，Cloud Data Fusion 就可以访问您的资源。

任务	所需权限
获取 Dataproc 集群	dataproc.clusters.get
为每个 Cloud Data Fusion 实例创建 Cloud Storage 存储桶 并上传文件以执行 Dataproc 作业	storage.buckets.get storage.objects.get storage.buckets.create storage.objects.create storage.objects.update storage.buckets.delete storage.objects.delete
将日志发布到 Cloud Logging	logging.logEntries.create
将 Cloud 指标发布到 Cloud Monitoring	monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.timeSeries.create
创建具有 VPC 对等互连的 Cloud Data Fusion 实例	compute.globalOperations.get compute.networks.addPeering compute.networks.removePeering compute.networks.update compute.networks.get
在客户项目和租户项目之间创建具有 DNS 对等互连区域的 Cloud Data Fusion 实例	dns.managedZones.create dns.managedZones.delete dns.managedZones.get dns.managedZones.list dns.networks.bindPrivateDNSZone dns.networks.targetWithPeeringZone
创建配置了 Private Service Connect 的 Cloud Data Fusion 实例	compute.networkAttachments.get compute.networkAttachments.update compute.networkAttachments.list

后续步骤

• 详细了解如何创建和管理自定义角色。
• 详细了解 Cloud Data Fusion 中的访问权限控制选项。