Ce document explique les autorisations à accorder au compte de service Cloud Data Fusion lorsque vous créez un rôle personnalisé lui permettant d'accéder à vos ressources.
Par défaut, le rôle IAM (Identity and Access Management) Agent de service de l'API Cloud Data Fusion (roles/datafusion.serviceAgent) est attribué au compte de service Cloud Data Fusion. Ce rôle est très permissif.
À la place, vous pouvez utiliser des rôles personnalisés pour n'accorder que les autorisations dont le compte principal du compte de service a besoin.
Pour en savoir plus sur les comptes de service Cloud Data Fusion, consultez Comptes de service dans Cloud Data Fusion.
Pour en savoir plus sur la création de rôles personnalisés, consultez Créer un rôle personnalisé.
Autorisations requises pour le compte de service Cloud Data Fusion
Lorsque vous créez un rôle personnalisé pour le compte de service Cloud Data Fusion, accordez les autorisations suivantes en fonction des tâches que vous prévoyez d'effectuer dans votre instance. Cela permet à Cloud Data Fusion d'accéder à vos ressources.
| Tâche | les autorisations requises pour l'extension ; |
|---|---|
| Obtenir des clusters Dataproc |
|
| Créer un bucket Cloud Storage par instance Cloud Data Fusion et importer des fichiers pour l'exécution des jobs Dataproc |
|
| Publier des journaux dans Cloud Logging |
|
| Publier des métriques Cloud sur Cloud Monitoring |
|
| Créer une instance Cloud Data Fusion avec l'appairage de VPC |
|
| Créez une instance Cloud Data Fusion avec une zone d'appairage DNS entre les projets client et locataire. |
|
| Créez une instance Cloud Data Fusion avec Private Service Connect. |
|
Étapes suivantes
- Découvrez comment créer et gérer des rôles personnalisés.
- En savoir plus sur les options de contrôle des accès dans Cloud Data Fusion