Esta página descreve as funções e as autorizações usadas pelas instâncias do Cloud Data Fusion com o controlo de acesso baseado em funções (RBAC) ativado.
Para uma aplicação detalhada do acesso ao nível do espaço de nomes e inferior, use estes recursos e autorizações do plano de dados com o RBAC.
Hierarquia de recursos
Os recursos do Cloud Data Fusion têm a seguinte hierarquia de recursos:
Esta figura mostra a hierarquia de recursos por ordem descendente (do mais amplo para o mais restrito): Google Cloud projeto, localização, instância do Cloud Data Fusion e espaços de nomes. Os espaços de nomes abaixo, sem ordem específica, são ligações, chaves seguras, pipelines, artefactos (como plug-ins, controladores e aplicações) e perfis de computação.
Os seguintes recursos são recursos do plano de dados do Cloud Data Fusion que controla com a API REST ou no Cloud Data Fusion Studio: espaços de nomes, associações, chaves seguras, pipelines, artefactos e perfis de computação.
Funções predefinidas para RBAC
O RBAC do Cloud Data Fusion inclui várias funções predefinidas que pode usar:
- Função de acesso à instância (
datafusion.accessor) - Concede ao principal acesso a uma instância do Cloud Data Fusion, mas não a quaisquer recursos na instância. Use esta função em combinação com outras funções específicas do espaço de nomes para fornecer acesso detalhado ao espaço de nomes.
- Função de visitante (
datafusion.viewer) - Concede acesso a um principal num espaço de nomes para ver pipelines, mas não para criar nem executar pipelines.
- Função de operador (
datafusion.operator) - Concede acesso a um principal num espaço de nomes para aceder e executar pipelines, alterar o perfil de computação, criar perfis de computação ou carregar artefactos. Pode realizar as mesmas ações que um programador, com exceção da pré-visualização de pipelines.
- Função de programador (
datafusion.developer) - Concede acesso a um principal num espaço de nomes para criar e modificar recursos limitados, como pipelines, no espaço de nomes.
- Função Editor (
datafusion.editor) - Concede ao principal acesso total a todos os recursos do Cloud Data Fusion num espaço de nomes numa instância do Cloud Data Fusion. Esta função tem de ser concedida ao principal, além da função Instance Accessor. Com esta função, o principal pode criar, eliminar e modificar recursos no espaço de nomes.
- Função de administrador da instância (
datafusion.admin) - Concede acesso a todos os recursos numa instância do Cloud Data Fusion. Atribuídas através do IAM. Não atribuído ao nível do espaço de nomes através do RBAC.
| Operação | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
|---|---|---|---|---|---|---|
| Instâncias | ||||||
| Aceda à instância | ||||||
| Espaços de nomes | ||||||
| Crie um espaço de nomes | * | |||||
| Aceda ao espaço de nomes com acesso explícito concedido | ||||||
| Aceda ao espaço de nomes sem acesso explícito concedido | * | |||||
| Edite o espaço de nomes | ||||||
| Elimine o espaço de nomes | ||||||
| Conta de serviço do espaço de nomes | ||||||
| Adicionar conta de serviço | ||||||
| Editar conta de serviço | ||||||
| Remover conta de serviço | ||||||
| Usar conta de serviço | ||||||
| RBAC | ||||||
| Conceder ou revogar autorizações para outros responsáveis no espaço de nomes | * | |||||
| Horários | ||||||
| Criar programação | ||||||
| Ver horários | ||||||
| Alterar horário | ||||||
| Perfis de computação | ||||||
| Crie perfis de computação | ||||||
| Veja perfis de computação | ||||||
| Edite perfis de computação | ||||||
| Elimine perfis de computação | ||||||
| Ligações | ||||||
| Crie associações | ||||||
| Veja associações | ||||||
| Edite associações | ||||||
| Elimine associações | ||||||
| Use associações | ||||||
| Espaços de trabalho do Wrangler | ||||||
| Crie espaços de trabalho | ||||||
| Ver espaços de trabalho | ||||||
| Edite espaços de trabalho | ||||||
| Elimine espaços de trabalho | ||||||
| Use espaços de trabalho | ||||||
| Pipelines | ||||||
| Crie pipelines | ||||||
| Ver pipelines | ||||||
| Edite pipelines | ||||||
| Elimine pipelines | ||||||
| Pré-visualizar pipelines | ||||||
| Implemente pipelines | ||||||
| Executar pipelines | ||||||
| Teclas seguras | ||||||
| Crie chaves seguras | ||||||
| Veja chaves seguras | ||||||
| Elimine chaves seguras | ||||||
| Etiquetas | ||||||
| Crie etiquetas | ||||||
| Ver etiquetas | ||||||
| Elimine etiquetas | ||||||
| Cloud Data Fusion Hub | ||||||
| Implemente plug-ins | ||||||
| Gestão de controlo de origem | ||||||
| Configure o repositório de controlo de origem | ||||||
| Sincronize pipelines a partir de um espaço de nomes | ||||||
| Lineage | ||||||
| Ver linhagem | ||||||
| Registos | ||||||
| Ver registos | ||||||
Para ver uma lista completa das autorizações incluídas na função predefinida do Cloud Data Fusion, consulte o artigo Funções predefinidas do Cloud Data Fusion.
Funções personalizadas para RBAC
Não é possível implementar alguns exemplos de utilização com as funções predefinidas para o Cloud Data Fusion. Nestes casos, crie uma função personalizada.
Exemplos
Os exemplos seguintes descrevem como criar funções personalizadas para o RBAC:
Para criar uma função personalizada que apenas conceda acesso às chaves seguras num espaço de nomes, crie uma função personalizada com as autorizações
datafusion.namespaces.getedatafusion.secureKeys.*.Para criar uma função personalizada que conceda acesso só de leitura a chaves seguras, crie uma função personalizada com as autorizações
datafusion.namespaces.get,datafusion.secureKeys.getSecretedatafusion.secureKeys.list.
Autorizações para ações comuns
Uma única autorização predefinida pode não ser suficiente para realizar a ação correspondente. Por exemplo, para atualizar as propriedades do espaço de nomes, também pode precisar da autorização datafusion.namespaces.get. A tabela seguinte descreve as ações comuns realizadas numa instância do Cloud Data Fusion e as autorizações do IAM necessárias:
| Ação | Autorização necessária |
|---|---|
| Aceda a uma instância | datafusion.instances.get |
| Crie um espaço de nomes | datafusion.namespaces.create |
| Obtenha um espaço de nomes | datafusion.namespaces.get |
| Atualize os metadados do espaço de nomes (como propriedades) |
|
| Eliminar espaço de nomes (apenas com a reposição irrecuperável ativada) |
|
| Ver autorizações no espaço de nomes | datafusion.namespaces.getIamPolicy |
| Conceda autorizações no espaço de nomes | datafusion.namespaces.setIamPolicy |
| Extraia pipelines da configuração de SCM do espaço de nomes |
|
| Envie pipelines para o repositório de SCM para o espaço de nomes |
|
| Obter configuração de SCM do espaço de nomes | datafusion.namespaces.get |
| Atualize a configuração do SCM do espaço de nomes | datafusion.namespaces.updateRepositoryMetadata |
| Defina uma conta de serviço para um espaço de nomes |
|
| Anule a definição de uma conta de serviço para um espaço de nomes |
|
| Aprovisione uma credencial de conta de serviço para um espaço de nomes | datafusion.namespaces.provisionCredential |
| Veja um rascunho de pipeline | datafusion.namespaces.get |
| Crie/elimine um rascunho de pipeline |
|
| Apresentar perfis de computação | datafusion.profiles.list |
| Crie um perfil de computação | datafusion.profiles.create |
| Veja um perfil de computação | datafusion.profiles.get |
| Edite um perfil de computação | datafusion.profiles.update |
| Elimine um perfil de computação | datafusion.profiles.delete |
| Crie uma ligação |
|
| Veja uma associação |
|
| Edite uma associação |
|
| Elimine uma associação |
|
| Explore, experimente ou veja as especificações de associação |
|
| Crie um espaço de trabalho do Wrangler |
|
| Veja um espaço de trabalho do Wrangler |
|
| Edite ou volte a amostrar um espaço de trabalho do Wrangler |
|
| Elimine um espaço de trabalho do Wrangler |
|
| Aplique um conjunto de diretivas num espaço de trabalho do Wrangler |
|
| Liste pipelines |
|
| Crie um pipeline |
|
| Ver pipeline |
|
| Edite o pipeline |
|
| Edite as propriedades do pipeline |
|
| Eliminar pipeline |
|
| Pré-visualizar pipeline | datafusion.pipelines.preview |
| Executar pipeline | datafusion.pipelines.execute |
| Criar programação | datafusion.pipelines.execute |
| Ver programação |
|
| Alterar horário | datafusion.pipelines.execute |
| Listar chaves seguras |
|
| Crie chaves seguras |
|
| Veja chaves seguras |
|
| Elimine chaves seguras |
|
| List Artifacts* |
|
| Crie um artefacto* |
|
| Obtenha um artefacto* |
|
| Elimine um artefacto* |
|
| Preferências, etiquetas e metadados | As preferências, as etiquetas e os metadados são definidos ao nível do recurso para o recurso específico (datafusion.RESOURCE.update).
|
| Autorizações do conjunto de dados (descontinuadas) | datafusion.namespaces.update |
O que se segue?
- Saiba mais sobre o RBAC no Cloud Data Fusion.