Cloud Data Fusion 서비스 계정에 필요한 최소 권한

이 문서에서는 Cloud Data Fusion 서비스 계정이 리소스에 액세스할 수 있는 맞춤 역할을 만들 때 Cloud Data Fusion 서비스 계정에 부여할 권한을 설명합니다.

기본적으로 Cloud Data Fusion API 서비스 에이전트(roles/datafusion.serviceAgent) Identity and Access Management 역할이 Cloud Data Fusion 서비스 계정에 할당됩니다. 이 역할은 매우 관대합니다. 대신 커스텀 역할을 사용하여 서비스 계정 주 구성원에게 필요한 권한만 제공할 수 있습니다.

Cloud Data Fusion 서비스 계정에 관한 자세한 내용은 Cloud Data Fusion의 서비스 계정을 참고하세요.

커스텀 역할 만들기에 대한 자세한 내용은 커스텀 역할 만들기를 참고하세요.

Cloud Data Fusion 서비스 계정에 필요한 권한

Cloud Data Fusion 서비스 계정에 대한 맞춤 역할을 만들 때는 인스턴스에서 실행할 작업에 따라 다음 권한을 부여합니다. 그러면 Cloud Data Fusion이 리소스에 액세스할 수 있습니다.

작업 권한 필요
Cloud Data Fusion 인스턴스 만들기
  • datafusion.instances.setIamPolicy
  • datafusion.instances.getIamPolicy
Dataproc 클러스터 가져오기
  • dataproc.clusters.get
Cloud Data Fusion 인스턴스별로 Cloud Storage 버킷을 만들고 Dataproc 작업 실행을 위한 파일을 업로드합니다.
  • storage.buckets.get
  • storage.objects.get
  • storage.buckets.create
  • storage.objects.create
  • storage.objects.update
  • storage.buckets.delete
  • storage.objects.delete
Cloud Logging에 로그 게시
  • logging.logEntries.create
Cloud Monitoring에 Cloud 측정항목 게시
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.timeSeries.create
VPC 피어링을 사용하여 Cloud Data Fusion 인스턴스 만들기
  • compute.globalOperations.get
  • compute.networks.addPeering
  • compute.networks.removePeering
  • compute.networks.update
  • compute.networks.get
고객 프로젝트와 테넌트 프로젝트 간에 DNS 피어링 영역이 있는 Cloud Data Fusion 인스턴스 만들기
  • dns.managedZones.create
  • dns.managedZones.delete
  • dns.managedZones.get
  • dns.managedZones.list
  • dns.networks.bindPrivateDNSZone
  • dns.networks.targetWithPeeringZone
Private Service Connect를 사용하여 Cloud Data Fusion 인스턴스 만들기
  • compute.networkAttachments.get
  • compute.networkAttachments.update
  • compute.networkAttachments.list

다음 단계