In questa pagina vengono descritti i ruoli e le autorizzazioni utilizzati da Cloud Data Fusion di Compute Engine con controllo degli accessi basato su ruoli (RBAC) abilitato.
Per un'applicazione granulare dell'accesso a livello dello spazio dei nomi e a livelli inferiori, utilizza questi le risorse e le autorizzazioni del piano dati con RBAC.
Gerarchia delle risorse
Le risorse Cloud Data Fusion hanno la seguente gerarchia:
Questa figura mostra la gerarchia delle risorse in ordine decrescente (dal valore più ampio a più ristretta): progetto Google Cloud, località, istanza Cloud Data Fusion e spazi dei nomi. Sotto gli spazi dei nomi, in ordine, ci sono connessioni, chiavi di sicurezza pipeline, artefatti (come plug-in, driver e applicazioni) profili.
Le seguenti risorse sono risorse del piano dati di Cloud Data Fusion che puoi controllare con l'API REST o in Cloud Data Fusion Studio: spazi dei nomi, connessioni, chiavi sicure, pipeline, elementi e profili di calcolo.
Ruoli predefiniti per RBAC
Il RBAC di Cloud Data Fusion include diversi ruoli predefiniti che puoi utilizzare:
- Ruolo di accesso all'istanza (
datafusion.accessor) - Concede all'account principale l'accesso a un'istanza Cloud Data Fusion, ma non alle risorse al suo interno. Utilizza questo ruolo in combinazione con altri ruoli specifici per lo spazio dei nomi per fornire un accesso granulare allo spazio dei nomi.
- Ruolo Visualizzatore (
datafusion.viewer) - Concede a un'entità in uno spazio dei nomi l'accesso per visualizzare le pipeline, ma non per autoriarle o eseguirle.
- Ruolo dell'operatore (
datafusion.operator) - Concede a un principale in uno spazio dei nomi l'accesso ed esecuzione di pipeline, la modifica del profilo di calcolo, la creazione di profili di calcolo o il caricamento di artefatti. Può eseguire le stesse azioni di uno sviluppatore, ad eccezione di e l'anteprima delle pipeline.
- Ruolo sviluppatore (
datafusion.developer) - Concede l'accesso a un'entità su uno spazio dei nomi per creare e modificare un come le pipeline, all'interno dello spazio dei nomi.
- Ruolo di Editor (
datafusion.editor) - Concede al principale l'accesso completo a tutte le risorse Cloud Data Fusion in uno spazio dei nomi all'interno di un'istanza Cloud Data Fusion. Questo ruolo deve oltre al ruolo Funzione di accesso istanza per l'entità. Con questo ruolo, l'entità può creare, eliminare e modificare le risorse nello spazio dei nomi.
- Ruolo di amministratore dell'istanza (
datafusion.admin) - Concede l'accesso a tutte le risorse all'interno di un'istanza Cloud Data Fusion. Assegnato tramite IAM. Non assegnato a livello di spazio dei nomi tramite RBAC.
| Operazione | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
|---|---|---|---|---|---|---|
| Istanze | ||||||
| Istanza di accesso | ||||||
| Spazi dei nomi | ||||||
| Crea spazio dei nomi | * | |||||
| Accedi allo spazio dei nomi con accesso esplicito concesso | ||||||
| Accedi allo spazio dei nomi senza un accesso esplicito concesso | * | |||||
| Modifica spazio dei nomi | ||||||
| Eliminazione spazio dei nomi | ||||||
| Account di servizio dello spazio dei nomi | ||||||
| Aggiungi service account | ||||||
| Modifica account di servizio | ||||||
| Rimuovi account di servizio | ||||||
| Utilizza l'account di servizio | ||||||
| RBAC | ||||||
| Concedi o revoca le autorizzazioni per altre entità nello spazio dei nomi | * | |||||
| Programmazioni | ||||||
| Crea pianificazione | ||||||
| Visualizza pianificazione | ||||||
| Modifica programmazione | ||||||
| Profili Compute | ||||||
| Crea profili di calcolo | ||||||
| Visualizza profili di calcolo | ||||||
| Modifica profili di calcolo | ||||||
| Eliminare i profili di calcolo | ||||||
| Connessioni | ||||||
| Creare connessioni | ||||||
| Visualizza connessioni | ||||||
| Modificare le connessioni | ||||||
| Eliminazione delle connessioni | ||||||
| Utilizzare le connessioni | ||||||
| Pipeline | ||||||
| Creare pipeline | ||||||
| Visualizza pipeline | ||||||
| Modificare le pipeline | ||||||
| Elimina pipeline | ||||||
| Visualizza le pipeline in anteprima | ||||||
| Esegui il deployment delle pipeline | ||||||
| Esegui pipeline | ||||||
| Chiavi sicure | ||||||
| Creare chiavi sicure | ||||||
| Visualizza chiavi sicure | ||||||
| Eliminare le chiavi sicure | ||||||
| Tag | ||||||
| Creare tag | ||||||
| Visualizza tag | ||||||
| Elimina tag | ||||||
| Cloud Data Fusion Hub | ||||||
| Deployment di plug-in | ||||||
| Gestione del controllo del codice sorgente | ||||||
| Configura il repository del controllo del codice sorgente | ||||||
| Sincronizza le pipeline da uno spazio dei nomi | ||||||
| Derivazione | ||||||
| Visualizza derivazione | ||||||
| Log | ||||||
| Visualizza i log | ||||||
Per un elenco completo delle autorizzazioni incluse ruolo predefinito, consulta Ruoli predefiniti di Cloud Data Fusion.
Ruoli personalizzati per RBAC
Alcuni casi d'uso non possono essere implementati utilizzando i ruoli predefiniti per Cloud Data Fusion. In questi casi, crea un'istanza ruolo personalizzato.
Esempi
I seguenti esempi descrivono come creare ruoli personalizzati per RBAC:
Per creare un ruolo personalizzato che consenta l'accesso solo alle chiavi sicure all'interno di uno spazio dei nomi, crea un ruolo personalizzato con le autorizzazioni
datafusion.namespaces.getedatafusion.secureKeys.*.Per creare un ruolo personalizzato che offra l'accesso in sola lettura alle chiavi protette, crea un ruolo personalizzato con le autorizzazioni
datafusion.namespaces.get,datafusion.secureKeys.getSecretedatafusion.secureKeys.list.
Autorizzazioni per azioni comuni
Una singola autorizzazione predefinita potrebbe non essere sufficiente per eseguire l'azione corrispondente. Ad esempio, per aggiornare le proprietà dello spazio dei nomi, potresti anche dover disporre dell'autorizzazione datafusion.namespaces.get. La tabella seguente descrive le azioni comuni eseguite all'interno di un'istanza Cloud Data Fusion e le autorizzazioni IAM richieste:
| Azione | Autorizzazione obbligatoria |
|---|---|
| Accedere a un'istanza | datafusion.instances.get |
| Crea uno spazio dei nomi | datafusion.namespaces.create |
| Recupera uno spazio dei nomi | datafusion.namespaces.get |
| Aggiornare i metadati dello spazio dei nomi (ad esempio le proprietà) |
|
| Elimina spazio dei nomi (solo con reimpostazione non recuperabile abilitata) |
|
| Visualizza autorizzazioni nello spazio dei nomi | datafusion.namespaces.getIamPolicy |
| Concedi autorizzazioni per lo spazio dei nomi | datafusion.namespaces.setIamPolicy |
| Estrarre i pipeline dalla configurazione SCM dello spazio dei nomi |
|
| Esegui il push delle pipeline al repository SCM per lo spazio dei nomi |
|
| Recupera la configurazione SCM dello spazio dei nomi | datafusion.namespaces.get |
| Aggiorna la configurazione dello SCM dello spazio dei nomi | datafusion.namespaces.updateRepositoryMetadata |
| Imposta un account di servizio per uno spazio dei nomi |
|
| Reimpostare un account di servizio per un ambito |
|
| Provisioning delle credenziali di un account di servizio per uno spazio dei nomi | datafusion.namespaces.provisionCredential |
| Visualizzare una bozza di pipeline | datafusion.namespaces.get |
| Creazione/eliminazione di una bozza di pipeline |
|
| Elenco profili di calcolo | datafusion.profiles.list |
| Crea un profilo di calcolo | datafusion.profiles.create |
| Visualizza un profilo Compute | datafusion.profiles.get |
| Modifica un profilo di calcolo | datafusion.profiles.update |
| Eliminare un profilo di calcolo | datafusion.profiles.delete |
| Crea una connessione |
|
| Visualizzare una connessione |
|
| Modificare una connessione |
|
| Eliminare una connessione |
|
| Sfoglia, prova o visualizza le specifiche di connessione |
|
| Elenco pipeline | datafusion.namespaces.get |
| Creazione della pipeline |
|
| Visualizza pipeline |
|
| Modifica pipeline |
|
| Modificare le proprietà della pipeline |
|
| Eliminazione pipeline |
|
| Pipeline di anteprima | datafusion.pipelines.preview |
| Esecuzione pipeline | datafusion.pipelines.execute |
| Crea pianificazione | datafusion.pipelines.execute |
| Visualizza pianificazione |
|
| Modifica pianificazione | datafusion.pipelines.execute |
| Elenco chiavi di sicurezza |
|
| Creare token di sicurezza |
|
| Visualizza chiavi di sicurezza |
|
| Eliminare le chiavi di sicurezza |
|
| Elenca elementi* |
|
| Creazione di un artefatto* |
|
| Recupera un artefatto* |
|
| Eliminare un artefatto* |
|
| Preferenze, tag e metadati | Preferenze, tag e metadati sono impostati a livello di risorsa per
risorsa specifica (datafusion.RESOURCE.update).
|
| Autorizzazioni del set di dati (deprecate) | datafusion.namespaces.update |
Passaggi successivi
- Scopri di più su RBAC in in Cloud Data Fusion.