Halaman ini menjelaskan peran dan izin yang digunakan oleh instance Cloud Data Fusion dengan role-based access control (RBAC) yang diaktifkan.
Untuk penerapan akses terperinci di tingkat namespace dan yang lebih rendah, gunakan resource dan izin data plane ini dengan RBAC.
Hierarki resource
Resource Cloud Data Fusion memiliki hierarki resource berikut:
Gambar ini menunjukkan hierarki resource dalam urutan menurun (terluas hingga tersempit): project Google Cloud, lokasi, instance Cloud Data Fusion, dan namespace. Di bawah namespace, tanpa urutan, adalah koneksi, kunci aman, pipeline, artefak (seperti plugin, driver, dan aplikasi), dan profil komputasi.
Resource berikut adalah resource data plane Cloud Data Fusion yang Anda kontrol dengan REST API atau di Cloud Data Fusion Studio: namespace, koneksi, kunci aman, pipeline, artefak, dan profil komputasi.
Peran standar untuk RBAC
RBAC Cloud Data Fusion mencakup beberapa peran standar yang dapat Anda gunakan:
- Peran Akses Instance (
datafusion.accessor) - Memberikan akses akun utama ke instance Cloud Data Fusion, tetapi tidak ke resource apa pun dalam instance. Gunakan peran ini bersama dengan peran khusus namespace lainnya untuk memberikan akses terperinci ke namespace.
- Peran Pelihat (
datafusion.viewer) - Memberikan akses ke akun utama di namespace untuk melihat pipeline, tetapi tidak untuk menulis atau menjalankan pipeline.
- Peran Operator (
datafusion.operator) - Memberikan akses ke akun utama di namespace untuk mengakses dan menjalankan pipeline, mengubah profil komputasi, membuat profil komputasi, atau mengupload artefak. Dapat melakukan tindakan yang sama seperti developer, dengan pengecualian melihat pratinjau pipeline.
- Peran Developer (
datafusion.developer) - Memberikan akses ke akun utama di namespace untuk membuat dan mengubah resource terbatas, seperti pipeline, dalam namespace.
- Peran Editor (
datafusion.editor) - Memberikan akses penuh kepada akun utama ke semua resource Cloud Data Fusion dalam namespace dalam instance Cloud Data Fusion. Peran ini harus diberikan selain peran Instance Accessor kepada akun utama. Dengan peran ini, akun utama dapat membuat, menghapus, dan mengubah resource di namespace.
- Peran Instance Admin (
datafusion.admin) - Memberikan akses ke semua resource dalam instance Cloud Data Fusion. Ditugaskan melalui IAM. Tidak ditetapkan di tingkat namespace melalui RBAC.
| Operasi | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
|---|---|---|---|---|---|---|
| Instance | ||||||
| Instance akses | ||||||
| Namespace | ||||||
| Buat namespace | * | |||||
| Namespace akses dengan akses eksplisit yang diberikan | ||||||
| Mengakses namespace tanpa memberikan akses eksplisit | * | |||||
| Mengedit namespace | ||||||
| Menghapus namespace | ||||||
| Akun layanan namespace | ||||||
| Tambahkan akun layanan | ||||||
| Edit akun layanan | ||||||
| Hapus akun layanan | ||||||
| Menggunakan akun layanan | ||||||
| RBAC | ||||||
| Memberikan atau mencabut izin untuk akun utama lain di namespace | * | |||||
| Jadwal | ||||||
| Buat jadwal | ||||||
| Lihat jadwal | ||||||
| Mengubah jadwal | ||||||
| Profil komputasi | ||||||
| Membuat profil komputasi | ||||||
| Melihat profil komputasi | ||||||
| Mengedit profil komputasi | ||||||
| Menghapus profil komputasi | ||||||
| Koneksi | ||||||
| Membuat koneksi | ||||||
| Melihat koneksi | ||||||
| Mengedit koneksi | ||||||
| Menghapus koneksi | ||||||
| Menggunakan koneksi | ||||||
| Pipelines | ||||||
| Membuat pipeline | ||||||
| Melihat pipeline | ||||||
| Mengedit pipeline | ||||||
| Menghapus pipeline | ||||||
| Melihat pratinjau pipeline | ||||||
| Men-deploy pipeline | ||||||
| Menjalankan pipeline | ||||||
| Kunci aman | ||||||
| Membuat kunci yang aman | ||||||
| Melihat kunci aman | ||||||
| Menghapus kunci aman | ||||||
| Tag | ||||||
| Membuat tag | ||||||
| Melihat tag | ||||||
| Menghapus tag | ||||||
| Cloud Data Fusion Hub | ||||||
| Men-deploy plugin | ||||||
| Pengelolaan Kontrol Sumber | ||||||
| Mengonfigurasi repositori kontrol sumber | ||||||
| Menyinkronkan pipeline dari namespace | ||||||
| Linimasa | ||||||
| Melihat silsilah | ||||||
| Log | ||||||
| Lihat log | ||||||
Untuk mengetahui daftar lengkap izin yang disertakan dalam peran yang telah ditetapkan Cloud Data Fusion, lihat Peran yang telah ditetapkan Cloud Data Fusion.
Peran khusus untuk RBAC
Beberapa kasus penggunaan tidak dapat diterapkan menggunakan peran bawaan untuk Cloud Data Fusion. Dalam hal ini, buat peran kustom.
Contoh
Contoh berikut menjelaskan cara membuat peran khusus untuk RBAC:
Untuk membuat peran khusus yang hanya memberikan akses ke kunci aman dalam namespace, buat peran khusus dengan izin
datafusion.namespaces.getdandatafusion.secureKeys.*.Untuk membuat peran khusus yang memberikan akses hanya baca ke kunci aman, buat peran khusus dengan izin
datafusion.namespaces.get,datafusion.secureKeys.getSecret, dandatafusion.secureKeys.list.
Izin untuk tindakan umum
Satu izin standar mungkin tidak memadai untuk melakukan
tindakan yang sesuai. Misalnya, untuk memperbarui properti namespace, Anda mungkin juga memerlukan izin datafusion.namespaces.get. Tabel berikut menjelaskan tindakan umum yang dilakukan dalam instance Cloud Data Fusion dan izin IAM yang diperlukan:
| Tindakan | Izin yang diperlukan |
|---|---|
| Mengakses Instance | datafusion.instances.get |
| Membuat Namespace | datafusion.namespaces.create |
| Mendapatkan Namespace | datafusion.namespaces.get |
| Memperbarui Metadata Namespace (seperti properti) |
|
| Menghapus Namespace (Hanya dengan Reset yang Tidak Dapat Dipulihkan Diaktifkan) |
|
| Melihat Izin di Namespace | datafusion.namespaces.getIamPolicy |
| Memberikan Izin di Namespace | datafusion.namespaces.setIamPolicy |
| Menarik Pipeline dari Konfigurasi SCM Namespace |
|
| Mendorong Pipeline ke Repositori SCM untuk Namespace |
|
| Mendapatkan Konfigurasi SCM Namespace | datafusion.namespaces.get |
| Memperbarui Konfigurasi SCM Namespace | datafusion.namespaces.updateRepositoryMetadata |
| Menetapkan Akun Layanan untuk Namespace |
|
| Membatalkan Penetapan Akun Layanan untuk Namespace |
|
| Menyediakan Kredensial Akun Layanan untuk Namespace | datafusion.namespaces.provisionCredential |
| Melihat Draf Pipeline | datafusion.namespaces.get |
| Membuat/Menghapus Draf Pipeline |
|
| Mencantumkan Profil Compute | datafusion.profiles.list |
| Membuat Profil Komputasi | datafusion.profiles.create |
| Melihat Profil Compute | datafusion.profiles.get |
| Mengedit Profil Komputasi | datafusion.profiles.update |
| Menghapus Profil Komputasi | datafusion.profiles.delete |
| Membuat Koneksi |
|
| Melihat Koneksi |
|
| Mengedit Koneksi |
|
| Menghapus Koneksi |
|
| Menjelajahi, Melihat Contoh, atau Melihat Spesifikasi Koneksi |
|
| Mencantumkan Pipeline | datafusion.namespaces.get |
| Membuat Pipeline |
|
| Melihat Pipeline |
|
| Mengedit Pipeline |
|
| Mengedit Properti Pipeline |
|
| Menghapus Pipeline |
|
| Pratinjau Pipeline | datafusion.pipelines.preview |
| Menjalankan Pipeline | datafusion.pipelines.execute |
| Buat Jadwal | datafusion.pipelines.execute |
| Melihat Jadwal |
|
| Ubah Jadwal | datafusion.pipelines.execute |
| Mencantumkan Kunci Keamanan |
|
| Membuat Kunci Aman |
|
| Melihat Kunci Aman |
|
| Menghapus Kunci Keamanan |
|
| Mencantumkan Artefak* |
|
| Membuat Artefak* |
|
| Mendapatkan Artefak* |
|
| Menghapus Artefak* |
|
| Preferensi, Tag, dan Metadata | Preferensi, tag, dan metadata ditetapkan di tingkat resource untuk resource tertentu (datafusion.RESOURCE.update).
|
| Izin Set Data (Tidak digunakan lagi) | datafusion.namespaces.update |
Langkah selanjutnya
- Pelajari RBAC lebih lanjut di Cloud Data Fusion.