En este documento, se explica qué permisos debes otorgar a la cuenta de servicio de Cloud Data Fusion cuando creas un rol personalizado que le permita acceder a tus recursos.
De forma predeterminada, el rol de administración de identidades y accesos de Agente de servicio de la API de Cloud Data Fusion (roles/datafusion.serviceAgent) se asigna a la cuenta de servicio de Cloud Data Fusion. Este rol es muy permisivo.
En su lugar, puedes usar roles personalizados para proporcionar solo los permisos que necesita el principal de la cuenta de servicio.
Para obtener más información sobre las cuentas de servicio de Cloud Data Fusion, consulta Cuentas de servicio en Cloud Data Fusion.
Para obtener más información sobre cómo crear roles personalizados, consulta Crea un rol personalizado.
Permisos necesarios para la cuenta de servicio de Cloud Data Fusion
Cuando crees un rol personalizado para la cuenta de servicio de Cloud Data Fusion, otorga los siguientes permisos según las tareas que planeas realizar en tu instancia. Esto permite que Cloud Data Fusion acceda a tus recursos.
| Tarea | Permisos necesarios |
|---|---|
| Cree una instancia de Cloud Data Fusion |
|
| Obtén clústeres de Dataproc |
|
| Crea un bucket de Cloud Storage por instancia de Cloud Data Fusion y sube archivos para la ejecución de trabajos de Dataproc |
|
| Publica registros en Cloud Logging |
|
| Publica métricas de Cloud en Cloud Monitoring |
|
| Crea una instancia de Cloud Data Fusion con vinculación de VPC |
|
| Crea una instancia de Cloud Data Fusion con una zona de intercambio de tráfico de DNS entre los proyectos de cliente y usuario |
|
| Crea una instancia de Cloud Data Fusion con Private Service Connect |
|
¿Qué sigue?
- Obtén más información para crear y administrar roles personalizados.
- Obtén más información sobre las opciones de control de acceso en Cloud Data Fusion.