이 페이지에서는 역할 기반 액세스 제어(RBAC)가 사용 설정된 Cloud Data Fusion 인스턴스에서 사용하는 역할 및 권한을 설명합니다.
네임스페이스 수준 이하에서 세분화된 액세스 적용을 위해 RBAC와 함께 이러한 데이터 영역 리소스 및 권한을 사용하세요.
리소스 계층 구조
Cloud Data Fusion 리소스에는 다음과 같은 리소스 계층 구조가 있습니다.
이 그림은 Google Cloud 프로젝트, 위치, Cloud Data Fusion 인스턴스, 네임스페이스와 같이 내림차순으로 리소스 계층 구조를 보여줍니다(가장 광범위한 것부터 가장 좁은 것까지). 네임스페이스 아래에는 순서 없이 연결, 보안 키, 파이프라인, 아티팩트(예: 플러그인, 드라이버, 애플리케이션), 컴퓨팅 프로필이 있습니다.
네임스페이스, 연결, 보안 키, 파이프라인, 아티팩트, 컴퓨팅 프로필은 REST API 또는 Cloud Data Fusion Studio에서 제어하는 Cloud Data Fusion 데이터 영역 리소스입니다.
RBAC의 사전 정의된 역할
Cloud Data Fusion RBAC에는 사전 정의된 역할이 몇 가지 포함되어 있습니다.
- 인스턴스 액세스 역할(
datafusion.accessor
) - Cloud Data Fusion 인스턴스에 대한 주 구성원 액세스 권한을 부여하지만 인스턴스 내 리소스에 대한 액세스 권한을 부여하지 않습니다. 이 역할을 다른 네임스페이스별 역할과 함께 사용하여 네임스페이스에 대한 세분화된 액세스 권한을 제공합니다.
- 뷰어 역할(
datafusion.viewer
) - 네임스페이스 하나의 주 구성원에게 파이프라인을 볼 수 있지만 파이프라인을 작성하거나 실행할 수 없는 액세스 권한을 부여합니다.
- 운영자 역할(
datafusion.operator
) - 네임스페이스 하나의 주 구성원에게 파이프라인에 액세스하여 실행하거나 컴퓨팅 프로필을 변경하거나 컴퓨팅 프로필을 만들거나 아티팩트를 업로드할 수 있는 액세스 권한을 부여합니다. 파이프라인 미리보기를 제외하고 개발자와 같은 작업을 수행할 수 있습니다.
- 개발자 역할(
datafusion.developer
) - 네임스페이스 하나의 주 구성원에게 네임스페이스 내에서 파이프라인과 같은 제한된 리소스를 만들고 수정할 수 있는 액세스 권한을 부여합니다.
- 편집자 역할(
datafusion.editor
) - 주 구성원에게 Cloud Data Fusion 인스턴스 하나에 있는 네임스페이스 하나의 모든 Cloud Data Fusion 리소스에 대한 전체 액세스 권한을 부여합니다. 이 역할은 주 구성원에게 인스턴스 접근자 역할과 함께 부여되어야 합니다. 주 구성원은 이 역할을 사용하여 네임스페이스의 리소스를 생성, 삭제, 수정할 수 있습니다.
- 인스턴스 관리자 역할(
datafusion.admin
) - Cloud Data Fusion 인스턴스 내 모든 리소스에 대한 액세스 권한을 부여합니다. IAM을 통해 할당됩니다. RBAC를 통해 네임스페이스 수준에서 할당되지 않습니다.
작업 | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
---|---|---|---|---|---|---|
인스턴스 | ||||||
인스턴스 액세스 | ||||||
네임스페이스 | ||||||
네임스페이스 만들기 | * | |||||
명시적 액세스 권한이 부여된 액세스 네임스페이스 | ||||||
명시적 액세스 권한이 부여되지 않은 네임스페이스 액세스 | * | |||||
네임스페이스 수정 | ||||||
네임스페이스 삭제 | ||||||
네임스페이스 서비스 계정 | ||||||
서비스 계정 추가 | ||||||
서비스 계정 수정 | ||||||
서비스 계정 삭제 | ||||||
서비스 계정 사용 | ||||||
RBAC | ||||||
네임스페이스에서 다른 주 구성원에 대한 권한 부여 또는 취소 | * | |||||
일정 | ||||||
일정 만들기 | ||||||
일정 보기 | ||||||
일정 변경 | ||||||
컴퓨팅 프로필 | ||||||
컴퓨팅 프로필 만들기 | ||||||
컴퓨팅 프로필 보기 | ||||||
컴퓨팅 프로필 수정 | ||||||
컴퓨팅 프로필 삭제 | ||||||
연결 | ||||||
연결 만들기 | ||||||
연결 보기 | ||||||
연결 수정 | ||||||
연결 삭제 | ||||||
연결 사용 | ||||||
파이프라인 | ||||||
파이프라인 만들기 | ||||||
파이프라인 보기 | ||||||
파이프라인 수정 | ||||||
파이프라인 삭제 | ||||||
파이프라인 미리보기 | ||||||
파이프라인 배포 | ||||||
파이프라인 실행 | ||||||
보안 키 | ||||||
보안 키 만들기 | ||||||
보안 키 보기 | ||||||
보안 키 삭제 | ||||||
태그 | ||||||
태그 만들기 | ||||||
태그 보기 | ||||||
태그 삭제 | ||||||
Cloud Data Fusion 허브 | ||||||
플러그인 배포 | ||||||
소스 제어 관리(SCM) | ||||||
소스 제어 저장소 구성 | ||||||
네임스페이스에서 파이프라인 동기화 | ||||||
계보 | ||||||
계보 보기 | ||||||
로그 | ||||||
로그 보기 |
Cloud Data Fusion의 사전 정의된 역할에 포함된 권한의 전체 목록은 Cloud Data Fusion 사전 정의된 역할을 참고하세요.
RBAC의 커스텀 역할
일부 사용 사례는 Cloud Data Fusion의 사전 정의된 역할을 사용하여 구현할 수 없습니다. 이 경우 맞춤 역할을 만듭니다.
예시
다음 예에서는 RBAC용 맞춤 역할을 만드는 방법을 설명합니다.
네임스페이스 내의 보안 키에만 액세스 권한을 부여하는 커스텀 역할을 만들려면
datafusion.namespaces.get
및datafusion.secureKeys.*
권한이 있는 커스텀 역할을 만드세요.보안 키에 대한 읽기 전용 액세스 권한을 부여하는 커스텀 역할을 만들려면
datafusion.namespaces.get
,datafusion.secureKeys.getSecret
,datafusion.secureKeys.list
권한이 있는 커스텀 역할을 만듭니다.
일반적인 작업에 대한 권한
사전 정의된 단일 권한으로는 상응하는 작업을 수행하기에 충분하지 않을 수 있습니다. 예를 들어 네임스페이스 속성을 업데이트하려면 datafusion.namespaces.get
권한도 필요할 수 있습니다. 다음 표에는 Cloud Data Fusion 인스턴스 내에서 실행되는 일반적인 작업과 필요한 IAM 권한이 설명되어 있습니다.
작업 | 필요한 권한 |
---|---|
인스턴스 액세스 | datafusion.instances.get |
네임스페이스 만들기 | datafusion.namespaces.create |
네임스페이스 가져오기 | datafusion.namespaces.get |
네임스페이스 메타데이터(예: 속성) 업데이트 |
|
네임스페이스 삭제(복구 불가능한 재설정이 사용 설정된 경우에만) |
|
네임스페이스의 권한 보기 | datafusion.namespaces.getIamPolicy |
네임스페이스에 권한 부여 | datafusion.namespaces.setIamPolicy |
네임스페이스 SCM 구성에서 파이프라인 가져오기 |
|
네임스페이스의 SCM 저장소에 파이프라인 푸시 |
|
네임스페이스 SCM 구성 가져오기 | datafusion.namespaces.get |
네임스페이스 SCM 구성 업데이트 | datafusion.namespaces.updateRepositoryMetadata |
네임스페이스의 서비스 계정 설정 |
|
네임스페이스의 서비스 계정 설정 해제 |
|
네임스페이스에 대한 서비스 계정 사용자 인증 정보 프로비저닝 | datafusion.namespaces.provisionCredential |
파이프라인 초안 보기 | datafusion.namespaces.get |
파이프라인 초안 만들기/삭제 |
|
컴퓨팅 프로필 나열 | datafusion.profiles.list |
컴퓨팅 프로필 만들기 | datafusion.profiles.create |
컴퓨팅 프로필 보기 | datafusion.profiles.get |
컴퓨팅 프로필 수정 | datafusion.profiles.update |
컴퓨팅 프로필 삭제 | datafusion.profiles.delete |
연결 만들기 |
|
연결 보기 |
|
연결 수정 |
|
연결 삭제 |
|
연결 사양 탐색, 샘플링 또는 보기 |
|
파이프라인 나열 | datafusion.namespaces.get |
파이프라인 만들기 |
|
파이프라인 보기 |
|
파이프라인 수정 |
|
파이프라인 속성 수정 |
|
파이프라인 삭제 |
|
파이프라인 미리보기 | datafusion.pipelines.preview |
파이프라인 실행 | datafusion.pipelines.execute |
일정 만들기 | datafusion.pipelines.execute |
일정 보기 |
|
일정 변경 | datafusion.pipelines.execute |
보안 키 나열 |
|
보안 키 만들기 |
|
보안 키 보기 |
|
보안 키 삭제 |
|
List Artifacts* |
|
아티팩트 만들기* |
|
아티팩트 가져오기* |
|
아티팩트 삭제* |
|
환경설정, 태그, 메타데이터 | 환경설정, 태그, 메타데이터는 특정 리소스(datafusion.RESOURCE.update )의 리소스 수준에서 설정됩니다.
|
데이터 세트 권한(지원 중단됨) | datafusion.namespaces.update |
다음 단계
- Cloud Data Fusion의 RBAC 자세히 알아보기