RBAC 역할 및 권한

이 페이지에서는 역할 기반 액세스 제어(RBAC)가 사용 설정된 Cloud Data Fusion 인스턴스에서 사용하는 역할 및 권한을 설명합니다.

네임스페이스 수준 이하에서 세분화된 액세스 적용을 위해 RBAC와 함께 이러한 데이터 영역 리소스 및 권한을 사용하세요.

리소스 계층 구조

Cloud Data Fusion 리소스에는 다음과 같은 리소스 계층 구조가 있습니다.

Cloud Data Fusion 프로젝트 리소스 계층 구조

이 그림은 Google Cloud 프로젝트, 위치, Cloud Data Fusion 인스턴스, 네임스페이스와 같이 내림차순으로 리소스 계층 구조를 보여줍니다(가장 광범위한 것부터 가장 좁은 것까지). 네임스페이스 아래에는 순서 없이 연결, 보안 키, 파이프라인, 아티팩트(예: 플러그인, 드라이버, 애플리케이션), 컴퓨팅 프로필이 있습니다.

네임스페이스, 연결, 보안 키, 파이프라인, 아티팩트, 컴퓨팅 프로필은 REST API 또는 Cloud Data Fusion Studio에서 제어하는 Cloud Data Fusion 데이터 영역 리소스입니다.

RBAC의 사전 정의된 역할

Cloud Data Fusion RBAC에는 사전 정의된 역할이 몇 가지 포함되어 있습니다.

인스턴스 액세스 역할(datafusion.accessor)
Cloud Data Fusion 인스턴스에 대한 주 구성원 액세스 권한을 부여하지만 인스턴스 내 리소스에 대한 액세스 권한을 부여하지 않습니다. 이 역할을 다른 네임스페이스별 역할과 함께 사용하여 네임스페이스에 대한 세분화된 액세스 권한을 제공합니다.
뷰어 역할(datafusion.viewer)
네임스페이스 하나의 주 구성원에게 파이프라인을 볼 수 있지만 파이프라인을 작성하거나 실행할 수 없는 액세스 권한을 부여합니다.
운영자 역할(datafusion.operator)
네임스페이스 하나의 주 구성원에게 파이프라인에 액세스하여 실행하거나 컴퓨팅 프로필을 변경하거나 컴퓨팅 프로필을 만들거나 아티팩트를 업로드할 수 있는 액세스 권한을 부여합니다. 파이프라인 미리보기를 제외하고 개발자와 같은 작업을 수행할 수 있습니다.
개발자 역할(datafusion.developer)
네임스페이스 하나의 주 구성원에게 네임스페이스 내에서 파이프라인과 같은 제한된 리소스를 만들고 수정할 수 있는 액세스 권한을 부여합니다.
편집자 역할(datafusion.editor)
주 구성원에게 Cloud Data Fusion 인스턴스 하나에 있는 네임스페이스 하나의 모든 Cloud Data Fusion 리소스에 대한 전체 액세스 권한을 부여합니다. 이 역할은 주 구성원에게 인스턴스 접근자 역할과 함께 부여되어야 합니다. 주 구성원은 이 역할을 사용하여 네임스페이스의 리소스를 생성, 삭제, 수정할 수 있습니다.
인스턴스 관리자 역할(datafusion.admin)
Cloud Data Fusion 인스턴스 내 모든 리소스에 대한 액세스 권한을 부여합니다. IAM을 통해 할당됩니다. RBAC를 통해 네임스페이스 수준에서 할당되지 않습니다.
작업 datafusion.accessor datafusion.viewer datafusion.operator datafusion.developer datafusion.editor datafusion.admin
인스턴스
인스턴스 액세스
네임스페이스
네임스페이스 만들기 *
명시적 액세스 권한이 부여된 액세스 네임스페이스
명시적 액세스 권한이 부여되지 않은 네임스페이스 액세스 *
네임스페이스 수정
네임스페이스 삭제
네임스페이스 서비스 계정
서비스 계정 추가
서비스 계정 수정
서비스 계정 삭제
서비스 계정 사용
RBAC
네임스페이스에서 다른 주 구성원에 대한 권한 부여 또는 취소 *
일정
일정 만들기
일정 보기
일정 변경
컴퓨팅 프로필
컴퓨팅 프로필 만들기
컴퓨팅 프로필 보기
컴퓨팅 프로필 수정
컴퓨팅 프로필 삭제
연결
연결 만들기
연결 보기
연결 수정
연결 삭제
연결 사용
파이프라인
파이프라인 만들기
파이프라인 보기
파이프라인 수정
파이프라인 삭제
파이프라인 미리보기
파이프라인 배포
파이프라인 실행
보안 키
보안 키 만들기
보안 키 보기
보안 키 삭제
태그
태그 만들기
태그 보기
태그 삭제
Cloud Data Fusion 허브
플러그인 배포
소스 제어 관리(SCM)
소스 제어 저장소 구성
네임스페이스에서 파이프라인 동기화
계보
계보 보기
로그
로그 보기

* 주 구성원에게 인스턴스 관리자 RBAC 역할이 아닌 데이터 융합 관리자 IAM 역할이 있어야 합니다.

Cloud Data Fusion의 사전 정의된 역할에 포함된 권한의 전체 목록은 Cloud Data Fusion 사전 정의된 역할을 참고하세요.

RBAC의 커스텀 역할

일부 사용 사례는 Cloud Data Fusion의 사전 정의된 역할을 사용하여 구현할 수 없습니다. 이 경우 맞춤 역할을 만듭니다.

예시

다음 예에서는 RBAC용 맞춤 역할을 만드는 방법을 설명합니다.

  • 네임스페이스 내의 보안 키에만 액세스 권한을 부여하는 커스텀 역할을 만들려면 datafusion.namespaces.getdatafusion.secureKeys.* 권한이 있는 커스텀 역할을 만드세요.

  • 보안 키에 대한 읽기 전용 액세스 권한을 부여하는 커스텀 역할을 만들려면 datafusion.namespaces.get, datafusion.secureKeys.getSecret, datafusion.secureKeys.list 권한이 있는 커스텀 역할을 만듭니다.

일반적인 작업에 대한 권한

사전 정의된 단일 권한으로는 상응하는 작업을 수행하기에 충분하지 않을 수 있습니다. 예를 들어 네임스페이스 속성을 업데이트하려면 datafusion.namespaces.get 권한도 필요할 수 있습니다. 다음 표에는 Cloud Data Fusion 인스턴스 내에서 실행되는 일반적인 작업과 필요한 IAM 권한이 설명되어 있습니다.

작업 필요한 권한
인스턴스 액세스 datafusion.instances.get
네임스페이스 만들기 datafusion.namespaces.create
네임스페이스 가져오기 datafusion.namespaces.get
네임스페이스 메타데이터(예: 속성) 업데이트
  • datafusion.namespaces.get
  • datafusion.namespaces.update
네임스페이스 삭제(복구 불가능한 재설정이 사용 설정된 경우에만)
  • datafusion.namespaces.get
  • datafusion.namespaces.delete
네임스페이스의 권한 보기 datafusion.namespaces.getIamPolicy
네임스페이스에 권한 부여 datafusion.namespaces.setIamPolicy
네임스페이스 SCM 구성에서 파이프라인 가져오기
  • datafusion.namespaces.get
  • datafusion.namespaces.readRepository
  • datafusion.pipelines.create
네임스페이스의 SCM 저장소에 파이프라인 푸시
  • datafusion.namespaces.get
  • datafusion.namespaces.writeRepository
네임스페이스 SCM 구성 가져오기 datafusion.namespaces.get
네임스페이스 SCM 구성 업데이트 datafusion.namespaces.updateRepositoryMetadata
네임스페이스의 서비스 계정 설정
  • datafusion.namespaces.get
  • datafusion.namespaces.setServiceAccount
네임스페이스의 서비스 계정 설정 해제
  • datafusion.namespaces.get
  • datafusion.namespaces.unsetServiceAccount
네임스페이스에 대한 서비스 계정 사용자 인증 정보 프로비저닝 datafusion.namespaces.provisionCredential
파이프라인 초안 보기 datafusion.namespaces.get
파이프라인 초안 만들기/삭제
  • datafusion.namespaces.get
  • datafusion.namespaces.update
컴퓨팅 프로필 나열 datafusion.profiles.list
컴퓨팅 프로필 만들기 datafusion.profiles.create
컴퓨팅 프로필 보기 datafusion.profiles.get
컴퓨팅 프로필 수정 datafusion.profiles.update
컴퓨팅 프로필 삭제 datafusion.profiles.delete
연결 만들기
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.create
연결 보기
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.get
연결 수정
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.update
연결 삭제
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.delete
연결 사양 탐색, 샘플링 또는 보기
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.use
파이프라인 나열 datafusion.namespaces.get
파이프라인 만들기
  • datafusion.namespaces.get
  • datafusion.pipelines.create
파이프라인 보기
  • datafusion.namespaces.get
  • datafusion.pipelines.get
파이프라인 수정
  • datafusion.namespaces.get
  • datafusion.pipelines.create
파이프라인 속성 수정
  • datafusion.namespaces.get
  • datafusion.pipelines.update
파이프라인 삭제
  • datafusion.namespaces.get
  • datafusion.pipelines.delete
파이프라인 미리보기 datafusion.pipelines.preview
파이프라인 실행 datafusion.pipelines.execute
일정 만들기 datafusion.pipelines.execute
일정 보기
  • datafusion.namespaces.get
  • datafusion.pipelines.get
일정 변경 datafusion.pipelines.execute
보안 키 나열
  • datafusion.namespaces.get
  • datafusion.secureKeys.list
보안 키 만들기
  • datafusion.namespaces.get
  • datafusion.secureKeys.update
보안 키 보기
  • datafusion.namespaces.get
  • datafusion.secureKeys.getSecret
보안 키 삭제
  • datafusion.namespaces.get
  • datafusion.secureKeys.delete
List Artifacts*
  • datafusion.namespaces.get
  • datafusion.artifacts.list
아티팩트 만들기*
  • datafusion.namespaces.get
  • datafusion.artifacts.create
  • datafusion.artifacts.update
아티팩트 가져오기*
  • datafusion.namespaces.get
  • datafusion.artifacts.get
아티팩트 삭제*
  • datafusion.namespaces.get
  • datafusion.artifacts.delete
환경설정, 태그, 메타데이터 환경설정, 태그, 메타데이터는 특정 리소스(datafusion.RESOURCE.update)의 리소스 수준에서 설정됩니다.
데이터 세트 권한(지원 중단됨) datafusion.namespaces.update

* 플러그인 및 드라이버와 같은 아티팩트는 파이프라인을 개발하기 위해 Cloud Data Fusion에 업로드하는 항목입니다.

다음 단계

  • Cloud Data Fusion의 RBAC 자세히 알아보기