Cloud Data Fusion 服務帳戶所需的最低權限

本文說明建立自訂角色時,應授予 Cloud Data Fusion 服務帳戶哪些權限,讓該服務帳戶存取您的資源。

根據預設,系統會將「Cloud Data Fusion API 服務代理人」(roles/datafusion.serviceAgent) Identity and Access Management 角色指派給 Cloud Data Fusion 服務帳戶。這個角色的權限非常寬鬆。 您可以改用自訂角色,只提供服務帳戶主體需要的權限。

如要進一步瞭解 Cloud Data Fusion 服務帳戶,請參閱「Cloud Data Fusion 中的服務帳戶」。

如要進一步瞭解如何建立自訂角色,請參閱「建立自訂角色」。

Cloud Data Fusion 服務帳戶的必要權限

為 Cloud Data Fusion 服務帳戶建立自訂角色時,請根據您打算在執行個體中執行的工作,授予下列權限。這樣 Cloud Data Fusion 才能存取您的資源。

工作 必要權限
取得 Dataproc 叢集
  • dataproc.clusters.get
為每個 Cloud Data Fusion 執行個體建立 Cloud Storage bucket,並上傳 Dataproc 工作執行作業的檔案
  • storage.buckets.get
  • storage.objects.get
  • storage.buckets.create
  • storage.objects.create
  • storage.objects.update
  • storage.buckets.delete
  • storage.objects.delete
將記錄檔發布至 Cloud Logging
  • logging.logEntries.create
將 Cloud 指標發布至 Cloud Monitoring
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.timeSeries.create
建立具有 VPC 對等互連的 Cloud Data Fusion 執行個體
  • compute.globalOperations.get
  • compute.networks.addPeering
  • compute.networks.removePeering
  • compute.networks.update
  • compute.networks.get
在客戶和租戶專案之間建立具有 DNS 對等互連可用區的 Cloud Data Fusion 執行個體
  • dns.managedZones.create
  • dns.managedZones.delete
  • dns.managedZones.get
  • dns.managedZones.list
  • dns.networks.bindPrivateDNSZone
  • dns.networks.targetWithPeeringZone
建立使用 Private Service Connect 的 Cloud Data Fusion 執行個體
  • compute.networkAttachments.get
  • compute.networkAttachments.update
  • compute.networkAttachments.list

後續步驟