Questa pagina descrive i ruoli e le autorizzazioni utilizzati dalle istanze Cloud Data Fusion con il controllo dell'accesso basato su ruoli (RBAC) abilitato.
Per l'applicazione di controlli granulari dell'accesso a livello di spazio dei nomi e inferiore, utilizza queste risorse e autorizzazioni del piano dati con RBAC.
Gerarchia delle risorse
Le risorse Cloud Data Fusion hanno la seguente gerarchia:
Questa figura mostra la gerarchia delle risorse in ordine decrescente (dalla più ampia alla più ristretta): Google Cloud progetto, località, istanza Cloud Data Fusion e spazi dei nomi. Sotto gli spazi dei nomi, in nessun ordine, sono presenti connessioni, chiavi di sicurezza, pipeline, artefatti (come plug-in, driver e applicazioni) e profili di calcolo.
Le seguenti risorse sono risorse del piano dati di Cloud Data Fusion che puoi controllare con l'API REST o in Cloud Data Fusion Studio: spazi dei nomi, connessioni, chiavi sicure, pipeline, elementi e profili di calcolo.
Ruoli predefiniti per RBAC
Il RBAC di Cloud Data Fusion include diversi ruoli predefiniti che puoi utilizzare:
- Ruolo di accesso all'istanza (
datafusion.accessor) - Concede all'account principale l'accesso a un'istanza Cloud Data Fusion, ma non alle risorse al suo interno. Utilizza questo ruolo in combinazione con altri ruoli specifici per lo spazio dei nomi per fornire un accesso granulare allo spazio dei nomi.
- Ruolo Visualizzatore (
datafusion.viewer) - Concede a un'entità in uno spazio dei nomi l'accesso per visualizzare le pipeline, ma non per autoriarle o eseguirle.
- Ruolo dell'operatore (
datafusion.operator) - Concede a un principale in uno spazio dei nomi l'accesso ed esecuzione di pipeline, la modifica del profilo di calcolo, la creazione di profili di calcolo o il caricamento di artefatti. Può eseguire le stesse azioni di uno sviluppatore, ad eccezione della preview delle pipeline.
- Ruolo sviluppatore (
datafusion.developer) - Concede a un principale in uno spazio dei nomi l'accesso per creare e modificare risorse limitate, come le pipeline, all'interno dello spazio dei nomi.
- Ruolo Editor (
datafusion.editor) - Concede al principale l'accesso completo a tutte le risorse Cloud Data Fusion in uno spazio dei nomi all'interno di un'istanza Cloud Data Fusion. Questo ruolo deve essere concesso all'entità insieme al ruolo Accesso all'istanza. Con questo ruolo, l'entità può creare, eliminare e modificare le risorse nello spazio dei nomi.
- Ruolo Amministratore istanza (
datafusion.admin) - Concede l'accesso a tutte le risorse all'interno di un'istanza Cloud Data Fusion. Assegnato tramite IAM. Non assegnati a livello di spazio dei nomi tramite RBAC.
| Operazione | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
|---|---|---|---|---|---|---|
| Istanze | ||||||
| Istanza di accesso | ||||||
| Spazi dei nomi | ||||||
| Crea spazio dei nomi | * | |||||
| Accedi allo spazio dei nomi con accesso esplicito concesso | ||||||
| Accedere allo spazio dei nomi senza che sia stato concesso l'accesso esplicito | * | |||||
| Modifica spazio dei nomi | ||||||
| Eliminazione spazio dei nomi | ||||||
| Account di servizio dello spazio dei nomi | ||||||
| Aggiungi service account | ||||||
| Modifica account di servizio | ||||||
| Rimuovi service account | ||||||
| Utilizza l'account di servizio | ||||||
| RBAC | ||||||
| Concedi o revoca le autorizzazioni per altri principali nello spazio dei nomi | * | |||||
| Programmazioni | ||||||
| Crea pianificazione | ||||||
| Visualizza pianificazione | ||||||
| Modificare la programmazione | ||||||
| Profili Compute | ||||||
| Creare profili di calcolo | ||||||
| Visualizzare i profili di calcolo | ||||||
| Modificare i profili di calcolo | ||||||
| Eliminare i profili di calcolo | ||||||
| Connessioni | ||||||
| Creare connessioni | ||||||
| Visualizza connessioni | ||||||
| Modificare le connessioni | ||||||
| Eliminazione delle connessioni | ||||||
| Utilizzare le connessioni | ||||||
| Pipeline | ||||||
| Creare pipeline | ||||||
| Visualizza le pipeline | ||||||
| Modificare le pipeline | ||||||
| Elimina pipeline | ||||||
| Visualizza le pipeline in anteprima | ||||||
| Esegui il deployment delle pipeline | ||||||
| Esegui pipeline | ||||||
| Chiavi sicure | ||||||
| Creare chiavi sicure | ||||||
| Visualizzare le chiavi sicure | ||||||
| Eliminare le chiavi sicure | ||||||
| Tag | ||||||
| Creare tag | ||||||
| Visualizza tag | ||||||
| Elimina tag | ||||||
| Cloud Data Fusion Hub | ||||||
| Esegui il deployment dei plug-in | ||||||
| Gestione del controllo del codice sorgente | ||||||
| Configura il repository del controllo del codice sorgente | ||||||
| Sincronizzare le pipeline da uno spazio dei nomi | ||||||
| Lineage | ||||||
| Visualizza derivazione | ||||||
| Log | ||||||
| Visualizza i log | ||||||
Per un elenco completo delle autorizzazioni incluse nel ruolo predefinito di Cloud Data Fusion, consulta Ruoli predefiniti di Cloud Data Fusion.
Ruoli personalizzati per RBAC
Alcuni casi d'uso non possono essere implementati utilizzando i ruoli predefiniti per Cloud Data Fusion. In questi casi, crea un ruolo personalizzato.
Esempi
Gli esempi riportati di seguito descrivono come creare ruoli personalizzati per l'accesso in base al ruolo:
Per creare un ruolo personalizzato che consenta l'accesso solo alle chiavi sicure all'interno di uno spazio dei nomi, crea un ruolo personalizzato con le autorizzazioni
datafusion.namespaces.getedatafusion.secureKeys.*.Per creare un ruolo personalizzato che offra l'accesso in sola lettura alle chiavi protette, crea un ruolo personalizzato con le autorizzazioni
datafusion.namespaces.get,datafusion.secureKeys.getSecretedatafusion.secureKeys.list.
Autorizzazioni per azioni comuni
Una singola autorizzazione predefinita potrebbe non essere sufficiente per eseguire l'azione corrispondente. Ad esempio, per aggiornare le proprietà dello spazio dei nomi, potresti anche dover disporre dell'autorizzazione datafusion.namespaces.get. La tabella seguente descrive le azioni comuni eseguite all'interno di un'istanza Cloud Data Fusion e le autorizzazioni IAM richieste:
| Azione | Autorizzazione richiesta |
|---|---|
| Accedere a un'istanza | datafusion.instances.get |
| Crea uno spazio dei nomi | datafusion.namespaces.create |
| Recupera uno spazio dei nomi | datafusion.namespaces.get |
| Aggiorna i metadati dello spazio dei nomi (ad es. le proprietà) |
|
| Elimina spazio dei nomi (solo con reimpostazione non recuperabile abilitata) |
|
| Visualizza autorizzazioni nel namespace | datafusion.namespaces.getIamPolicy |
| Concedi autorizzazioni allo spazio dei nomi | datafusion.namespaces.setIamPolicy |
| Estrarre i pipeline dalla configurazione SCM dello spazio dei nomi |
|
| Esegui il push delle pipeline nel repository SCM per lo spazio dei nomi |
|
| Ottieni la configurazione SCM dello spazio dei nomi | datafusion.namespaces.get |
| Aggiorna la configurazione dello SCM dello spazio dei nomi | datafusion.namespaces.updateRepositoryMetadata |
| Impostare un account di servizio per uno spazio dei nomi |
|
| Reimpostare un account di servizio per uno spazio dei nomi |
|
| Esegui il provisioning di una credenziale dell'account di servizio per uno spazio dei nomi | datafusion.namespaces.provisionCredential |
| Visualizzare una bozza di pipeline | datafusion.namespaces.get |
| Creare/eliminare una bozza di pipeline |
|
| Elenco profili di calcolo | datafusion.profiles.list |
| Creare un profilo di calcolo | datafusion.profiles.create |
| Visualizzare un profilo di calcolo | datafusion.profiles.get |
| Modificare un profilo di calcolo | datafusion.profiles.update |
| Eliminare un profilo di calcolo | datafusion.profiles.delete |
| Creare una connessione |
|
| Visualizzare una connessione |
|
| Modificare una connessione |
|
| Eliminare una connessione |
|
| Sfogliare, campionare o visualizzare le specifiche di connessione |
|
| Elenco pipeline |
|
| Creazione della pipeline |
|
| Visualizza pipeline |
|
| Modifica pipeline |
|
| Modificare le proprietà della pipeline |
|
| Eliminazione pipeline |
|
| Pipeline di anteprima | datafusion.pipelines.preview |
| Esecuzione pipeline | datafusion.pipelines.execute |
| Crea pianificazione | datafusion.pipelines.execute |
| Visualizza pianificazione |
|
| Modifica pianificazione | datafusion.pipelines.execute |
| Elenca chiavi di sicurezza |
|
| Creare token di sicurezza |
|
| Visualizza le chiavi sicure |
|
| Eliminare le chiavi di sicurezza |
|
| Elenco elementi* |
|
| Crea un artefatto* |
|
| Recupera un artefatto* |
|
| Eliminare un artefatto* |
|
| Preferenze, tag e metadati | Le preferenze, i tag e i metadati vengono impostati a livello di risorsa per la
risorsa specifica (datafusion.RESOURCE.update).
|
| Autorizzazioni set di dati (ritirate) | datafusion.namespaces.update |
Passaggi successivi
- Scopri di più sul modello RBAC in Cloud Data Fusion.