Cloud Data Fusion 服务账号所需的最低权限

本文档介绍了在创建可让 Cloud Data Fusion 服务账号访问您资源的自定义角色时，应向该服务账号授予哪些权限。

默认情况下，系统会将 Cloud Data Fusion API Service Agent (roles/datafusion.serviceAgent) Identity and Access Management 角色分配给 Cloud Data Fusion 服务账号。此角色的权限非常宽松。不过，您可以使用自定义角色，仅提供服务账号主账号所需的权限。

如需详细了解 Cloud Data Fusion 服务账号，请参阅 Cloud Data Fusion 中的服务账号。

如需详细了解如何创建自定义角色，请参阅创建自定义角色。

Cloud Data Fusion 服务账号所需的权限

为 Cloud Data Fusion 服务账号创建自定义角色时，请根据您计划在实例中执行的任务授予以下权限。这样，Cloud Data Fusion 便可以访问您的资源。

任务	所需权限
创建 Cloud Data Fusion 实例	datafusion.instances.setIamPolicy datafusion.instances.getIamPolicy
获取 Dataproc 集群	dataproc.clusters.get
为每个 Cloud Data Fusion 实例创建 Cloud Storage 存储分区，并上传文件以便执行 Dataproc 作业	storage.buckets.get storage.objects.get storage.buckets.create storage.objects.create storage.objects.update storage.buckets.delete storage.objects.delete
将日志发布到 Cloud Logging	logging.logEntries.create
将 Cloud 指标发布到 Cloud Monitoring	monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.timeSeries.create
使用 VPC 对等互连创建 Cloud Data Fusion 实例	compute.globalOperations.get compute.networks.addPeering compute.networks.removePeering compute.networks.update compute.networks.get
创建一个 Cloud Data Fusion 实例，并在客户项目和租户项目之间创建 DNS 对等互连区域	dns.managedZones.create dns.managedZones.delete dns.managedZones.get dns.managedZones.list dns.networks.bindPrivateDNSZone dns.networks.targetWithPeeringZone
创建配置了 Private Service Connect 的 Cloud Data Fusion 实例	compute.networkAttachments.get compute.networkAttachments.update compute.networkAttachments.list

后续步骤

• 详细了解如何创建和管理自定义角色。
• 详细了解 Cloud Data Fusion 中的访问权限控制选项。