Cloud Data Fusion サービス アカウントに必要な最小限の権限

このドキュメントでは、Cloud Data Fusion サービス アカウントにリソースへのアクセスできるようにするカスタムロールを作成するときに、Cloud Data Fusion サービス アカウントに付与する権限について説明します。

デフォルトでは、Cloud Data Fusion API サービス エージェントroles/datafusion.serviceAgent)の Identity and Access Management ロールが Cloud Data Fusion サービス アカウントに割り当てられています。このロールは非常に許容度が高いロールです。代わりに、カスタムロールを使用して、サービス アカウント プリンシパルに必要な権限のみを付与できます。

Cloud Data Fusion サービス アカウントの詳細については、Cloud Data Fusion のサービス アカウントをご覧ください。

カスタムロールの作成の詳細については、カスタムロールを作成するをご覧ください。

Cloud Data Fusion サービス アカウントに必要な権限

Cloud Data Fusion サービス アカウントのカスタムロールを作成する場合は、インスタンスで実行する予定のタスクに基づいて次の権限を付与します。これにより、Cloud Data Fusion はリソースにアクセスできます。

タスク 必要な権限
Cloud Data Fusion インスタンスを作成する
  • datafusion.instances.setIamPolicy
  • datafusion.instances.getIamPolicy
Dataproc クラスタを取得する
  • dataproc.clusters.get
Cloud Data Fusion インスタンスごとに Cloud Storage バケットを作成し、Dataproc ジョブの実行用にファイルをアップロードする
  • storage.buckets.get
  • storage.objects.get
  • storage.buckets.create
  • storage.objects.create
  • storage.objects.update
  • storage.buckets.delete
  • storage.objects.delete
ログを Cloud Logging にパブリッシュする
  • logging.logEntries.create
Cloud 指標を Cloud Monitoring にパブリッシュする
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.timeSeries.create
VPC ピアリングで Cloud Data Fusion インスタンスを作成する
  • compute.globalOperations.get
  • compute.networks.addPeering
  • compute.networks.removePeering
  • compute.networks.update
  • compute.networks.get
お客様のプロジェクトとテナント プロジェクトの間に DNS ピアリング ゾーンで Cloud Data Fusion インスタンスを作成する
  • dns.managedZones.create
  • dns.managedZones.delete
  • dns.managedZones.get
  • dns.managedZones.list
  • dns.networks.bindPrivateDNSZone
  • dns.networks.targetWithPeeringZone
Private Service Connect で Cloud Data Fusion インスタンスを作成する
  • compute.networkAttachments.get
  • compute.networkAttachments.update
  • compute.networkAttachments.list

次のステップ