Este documento explica quais permissões conceder à conta de serviço do Cloud Data Fusion ao criar um papel personalizado que permite o acesso aos seus recursos.
.Por padrão, o papel de agente de serviço da API Cloud Data Fusion (roles/datafusion.serviceAgent) de gerenciamento de identidade e acesso é atribuído à conta de serviço do Cloud Data Fusion. Esse papel é altamente permissivo.
Em vez disso, use papéis personalizados para fornecer apenas as permissões necessárias para o
principal da conta de serviço.
Para mais informações sobre as contas de serviço do Cloud Data Fusion, consulte Contas de serviço no Cloud Data Fusion.
Para mais informações sobre a criação de papéis personalizados, consulte Criar um papel personalizado.
Permissões necessárias para a conta de serviço do Cloud Data Fusion
Ao criar um papel personalizado para a conta de serviço do Cloud Data Fusion, conceda as permissões abaixo com base nas tarefas que você planeja realizar na instância. Isso permite que o Cloud Data Fusion acesse seus recursos.
| Tarefa | Permissões necessárias |
|---|---|
| crie uma instância do Cloud Data Fusion |
|
| Acessar clusters do Dataproc |
|
| Crie um bucket do Cloud Storage por instância do Cloud Data Fusion e faça upload de arquivos para a execução de jobs do Dataproc |
|
| Publicar registros no Cloud Logging |
|
| Publicar métricas do Cloud no Cloud Monitoring |
|
| Crie uma instância do Cloud Data Fusion com VPC peering. |
|
| Criar uma instância do Cloud Data Fusion com uma zona de peering de DNS entre projetos de clientes e de locatário |
|
| Criar uma instância do Cloud Data Fusion com o Private Service Connect |
|
A seguir
- Saiba mais sobre como criar e gerenciar funções personalizadas.
- Saiba mais sobre as opções de controle de acesso no Cloud Data Fusion.