Ruoli e autorizzazioni RBAC

Questa pagina descrive i ruoli e le autorizzazioni utilizzati dalle istanze Cloud Data Fusion con il controllo dell'accesso basato su ruoli (RBAC) abilitato.

Per l'applicazione di controlli granulari dell'accesso a livello di spazio dei nomi e inferiore, utilizza queste risorse e autorizzazioni del piano dati con RBAC.

Gerarchia delle risorse

Le risorse Cloud Data Fusion hanno la seguente gerarchia:

Gerarchia delle risorse del progetto Cloud Data Fusion

Questa figura mostra la gerarchia delle risorse in ordine decrescente (dalla più ampia alla più ristretta): Google Cloud progetto, località, istanza Cloud Data Fusion e spazi dei nomi. Sotto gli spazi dei nomi, in nessun ordine, sono presenti connessioni, chiavi di sicurezza, pipeline, artefatti (come plug-in, driver e applicazioni) e profili di calcolo.

Le seguenti risorse sono risorse del piano dati di Cloud Data Fusion che puoi controllare con l'API REST o in Cloud Data Fusion Studio: spazi dei nomi, connessioni, chiavi sicure, pipeline, elementi e profili di calcolo.

Ruoli predefiniti per RBAC

Il RBAC di Cloud Data Fusion include diversi ruoli predefiniti che puoi utilizzare:

Ruolo di accesso all'istanza (datafusion.accessor)
Concede all'account principale l'accesso a un'istanza Cloud Data Fusion, ma non alle risorse al suo interno. Utilizza questo ruolo in combinazione con altri ruoli specifici per lo spazio dei nomi per fornire un accesso granulare allo spazio dei nomi.
Ruolo Visualizzatore (datafusion.viewer)
Concede a un'entità in uno spazio dei nomi l'accesso per visualizzare le pipeline, ma non per autoriarle o eseguirle.
Ruolo dell'operatore (datafusion.operator)
Concede a un principale in uno spazio dei nomi l'accesso ed esecuzione di pipeline, la modifica del profilo di calcolo, la creazione di profili di calcolo o il caricamento di artefatti. Può eseguire le stesse azioni di uno sviluppatore, ad eccezione della preview delle pipeline.
Ruolo sviluppatore (datafusion.developer)
Concede a un principale in uno spazio dei nomi l'accesso per creare e modificare risorse limitate, come le pipeline, all'interno dello spazio dei nomi.
Ruolo Editor (datafusion.editor)
Concede al principale l'accesso completo a tutte le risorse Cloud Data Fusion in uno spazio dei nomi all'interno di un'istanza Cloud Data Fusion. Questo ruolo deve essere concesso all'entità insieme al ruolo Accesso all'istanza. Con questo ruolo, l'entità può creare, eliminare e modificare le risorse nello spazio dei nomi.
Ruolo Amministratore istanza (datafusion.admin)
Concede l'accesso a tutte le risorse all'interno di un'istanza Cloud Data Fusion. Assegnato tramite IAM. Non assegnati a livello di spazio dei nomi tramite RBAC.
Operazione datafusion.accessor datafusion.viewer datafusion.operator datafusion.developer datafusion.editor datafusion.admin
Istanze
Istanza di accesso
Spazi dei nomi
Crea spazio dei nomi *
Accedi allo spazio dei nomi con accesso esplicito concesso
Accedere allo spazio dei nomi senza che sia stato concesso l'accesso esplicito *
Modifica spazio dei nomi
Eliminazione spazio dei nomi
Account di servizio dello spazio dei nomi
Aggiungi service account
Modifica account di servizio
Rimuovi service account
Utilizza l'account di servizio
RBAC
Concedi o revoca le autorizzazioni per altri principali nello spazio dei nomi *
Programmazioni
Crea pianificazione
Visualizza pianificazione
Modificare la programmazione
Profili Compute
Creare profili di calcolo
Visualizzare i profili di calcolo
Modificare i profili di calcolo
Eliminare i profili di calcolo
Connessioni
Creare connessioni
Visualizza connessioni
Modificare le connessioni
Eliminazione delle connessioni
Utilizzare le connessioni
Pipeline
Creare pipeline
Visualizza le pipeline
Modificare le pipeline
Elimina pipeline
Visualizza le pipeline in anteprima
Esegui il deployment delle pipeline
Esegui pipeline
Chiavi sicure
Creare chiavi sicure
Visualizzare le chiavi sicure
Eliminare le chiavi sicure
Tag
Creare tag
Visualizza tag
Elimina tag
Cloud Data Fusion Hub
Esegui il deployment dei plug-in
Gestione del controllo del codice sorgente
Configura il repository del controllo del codice sorgente
Sincronizzare le pipeline da uno spazio dei nomi
Lineage
Visualizza derivazione
Log
Visualizza i log

* L'entità deve disporre del ruolo IAM Amministratore Data Fusion, non del ruolo RBAC Amministratore istanza.

Per un elenco completo delle autorizzazioni incluse nel ruolo predefinito di Cloud Data Fusion, consulta Ruoli predefiniti di Cloud Data Fusion.

Ruoli personalizzati per RBAC

Alcuni casi d'uso non possono essere implementati utilizzando i ruoli predefiniti per Cloud Data Fusion. In questi casi, crea un ruolo personalizzato.

Esempi

Gli esempi riportati di seguito descrivono come creare ruoli personalizzati per l'accesso in base al ruolo:

  • Per creare un ruolo personalizzato che consenta l'accesso solo alle chiavi sicure all'interno di uno spazio dei nomi, crea un ruolo personalizzato con le autorizzazioni datafusion.namespaces.get e datafusion.secureKeys.*.

  • Per creare un ruolo personalizzato che offra l'accesso in sola lettura alle chiavi protette, crea un ruolo personalizzato con le autorizzazioni datafusion.namespaces.get,datafusion.secureKeys.getSecret e datafusion.secureKeys.list.

Autorizzazioni per azioni comuni

Una singola autorizzazione predefinita potrebbe non essere sufficiente per eseguire l'azione corrispondente. Ad esempio, per aggiornare le proprietà dello spazio dei nomi, potresti anche dover disporre dell'autorizzazione datafusion.namespaces.get. La tabella seguente descrive le azioni comuni eseguite all'interno di un'istanza Cloud Data Fusion e le autorizzazioni IAM richieste:

Azione Autorizzazione richiesta
Accedere a un'istanza datafusion.instances.get
Crea uno spazio dei nomi datafusion.namespaces.create
Recupera uno spazio dei nomi datafusion.namespaces.get
Aggiorna i metadati dello spazio dei nomi (ad es. le proprietà)
  • datafusion.namespaces.get
  • datafusion.namespaces.update
Elimina spazio dei nomi (solo con reimpostazione non recuperabile abilitata)
  • datafusion.namespaces.get
  • datafusion.namespaces.delete
Visualizza autorizzazioni nel namespace datafusion.namespaces.getIamPolicy
Concedi autorizzazioni allo spazio dei nomi datafusion.namespaces.setIamPolicy
Estrarre i pipeline dalla configurazione SCM dello spazio dei nomi
  • datafusion.namespaces.get
  • datafusion.namespaces.readRepository
  • datafusion.pipelines.create
Esegui il push delle pipeline nel repository SCM per lo spazio dei nomi
  • datafusion.namespaces.get
  • datafusion.namespaces.writeRepository
Ottieni la configurazione SCM dello spazio dei nomi datafusion.namespaces.get
Aggiorna la configurazione dello SCM dello spazio dei nomi datafusion.namespaces.updateRepositoryMetadata
Impostare un account di servizio per uno spazio dei nomi
  • datafusion.namespaces.get
  • datafusion.namespaces.setServiceAccount
Reimpostare un account di servizio per uno spazio dei nomi
  • datafusion.namespaces.get
  • datafusion.namespaces.unsetServiceAccount
Esegui il provisioning di una credenziale dell'account di servizio per uno spazio dei nomi datafusion.namespaces.provisionCredential
Visualizzare una bozza di pipeline datafusion.namespaces.get
Creare/eliminare una bozza di pipeline
  • datafusion.namespaces.get
  • datafusion.namespaces.update
Elenco profili di calcolo datafusion.profiles.list
Creare un profilo di calcolo datafusion.profiles.create
Visualizzare un profilo di calcolo datafusion.profiles.get
Modificare un profilo di calcolo datafusion.profiles.update
Eliminare un profilo di calcolo datafusion.profiles.delete
Creare una connessione
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.create
Visualizzare una connessione
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.get
Modificare una connessione
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.update
Eliminare una connessione
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.delete
Sfogliare, campionare o visualizzare le specifiche di connessione
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.use
Elenco pipeline
  • datafusion.namespaces.get
  • datafusion.pipelines.list
Creazione della pipeline
  • datafusion.namespaces.get
  • datafusion.pipelines.create
Visualizza pipeline
  • datafusion.namespaces.get
  • datafusion.pipelines.get
Modifica pipeline
  • datafusion.namespaces.get
  • datafusion.pipelines.create
Modificare le proprietà della pipeline
  • datafusion.namespaces.get
  • datafusion.pipelines.update
Eliminazione pipeline
  • datafusion.namespaces.get
  • datafusion.pipelines.delete
Pipeline di anteprima datafusion.pipelines.preview
Esecuzione pipeline datafusion.pipelines.execute
Crea pianificazione datafusion.pipelines.execute
Visualizza pianificazione
  • datafusion.namespaces.get
  • datafusion.pipelines.get
Modifica pianificazione datafusion.pipelines.execute
Elenca chiavi di sicurezza
  • datafusion.namespaces.get
  • datafusion.secureKeys.list
Creare token di sicurezza
  • datafusion.namespaces.get
  • datafusion.secureKeys.update
Visualizza le chiavi sicure
  • datafusion.namespaces.get
  • datafusion.secureKeys.getSecret
Eliminare le chiavi di sicurezza
  • datafusion.namespaces.get
  • datafusion.secureKeys.delete
Elenco elementi*
  • datafusion.namespaces.get
  • datafusion.artifacts.list
Crea un artefatto*
  • datafusion.namespaces.get
  • datafusion.artifacts.create
  • datafusion.artifacts.update
Recupera un artefatto*
  • datafusion.namespaces.get
  • datafusion.artifacts.get
Eliminare un artefatto*
  • datafusion.namespaces.get
  • datafusion.artifacts.delete
Preferenze, tag e metadati Le preferenze, i tag e i metadati vengono impostati a livello di risorsa per la risorsa specifica (datafusion.RESOURCE.update).
Autorizzazioni set di dati (ritirate) datafusion.namespaces.update

* Gli elementi, come plug-in e driver, sono elementi caricati in Cloud Data Fusion per lo sviluppo delle pipeline.

Passaggi successivi