Auf dieser Seite werden die Rollen und Berechtigungen beschrieben, die von Cloud Data Fusion-Instanzen mit aktivierter rollenbasierter Zugriffssteuerung (Role-Based Access Control, RBAC) verwendet werden.
Verwenden Sie diese Ressourcen und Berechtigungen der Datenebene mit RBAC, um den Zugriff auf Namespaceebene und darunter detailliert zu steuern.
Ressourcenhierarchie
Cloud Data Fusion-Ressourcen haben die folgende Ressourcenhierarchie:
Diese Abbildung zeigt die Ressourcenhierarchie in absteigender Reihenfolge (von allgemein nach speziell): Google Cloud-Projekt, Standort, Cloud Data Fusion-Instanz und Namespaces. Unter Namespaces finden Sie in ungeordneter Reihenfolge Verbindungen, sichere Schlüssel, Pipelines, Artefakte (z. B. Plug-ins, Treiber und Anwendungen) und Compute-Profile.
Die folgenden Ressourcen sind Cloud Data Fusion-Ressourcen der Datenebenenschicht, die Sie mit der REST API oder in Cloud Data Fusion Studio verwalten: Namespaces, Verbindungen, sichere Schlüssel, Pipelines, Artefakte und Compute-Profile.
Vordefinierte Rollen für die rollenbasierte Zugriffsverwaltung
Cloud Data Fusion RBAC umfasst mehrere vordefinierte Rollen, die Sie verwenden können:
- Rolle „Instanzzugriff” (
datafusion.accessor) - Gewährt dem Hauptzugriff Zugriff auf eine Cloud Data Fusion-Instanz, aber nicht auf Ressourcen innerhalb der Instanz. Verwenden Sie diese Rolle in Kombination mit anderen Namespace-spezifischen Rollen, um einen detaillierten Zugriff auf den Namespace zu ermöglichen.
- Betrachterrolle (
datafusion.viewer) - Gewährt einem Hauptkonto in einem Namespace Zugriff zum Aufrufen von Pipelines, aber nicht zum Erstellen oder Ausführen von Pipelines.
- Operatorrolle (
datafusion.operator) - Gewährt Zugriff auf ein Hauptkonto in einem Namespace, um auf Pipelines zuzugreifen und sie auszuführen, Compute-Profil ändern, Rechenprofile erstellen oder Artefakte hochladen. Kann dieselben Aktionen ausführen wie ein Entwickler, mit Ausnahme von für die Vorschau von Pipelines.
- Entwicklerrolle (
datafusion.developer) - Gewährt einem Hauptkonto Zugriff auf einen Namespace zum Erstellen und Ändern eingeschränkter wie Pipelines innerhalb des Namespace.
- Bearbeiterrolle
datafusion.editor - Gewährt dem Hauptkonto vollständigen Zugriff auf alle Cloud Data Fusion-Ressourcen in einem Namespace innerhalb einer Cloud Data Fusion-Instanz. Diese Rolle muss wird dem Hauptkonto zusätzlich zur Rolle des Instanzzugriffs gewährt. Mit dieser Rolle kann das Hauptkonto Ressourcen im Namespace erstellen, löschen und ändern.
- Rolle „Instanzadministrator” (
datafusion.admin) - Gewährt Zugriff auf alle Ressourcen in einer Cloud Data Fusion-Instanz. Über IAM zugewiesen. Nicht auf Namespace-Ebene zugewiesen über RBAC erstellen.
| Aktion | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
|---|---|---|---|---|---|---|
| Instanzen | ||||||
| Auf Instanz zugreifen | ||||||
| Namespaces | ||||||
| Namespace erstellen | * | |||||
| Namespace mit explizitem Zugriff gewährt | ||||||
| Zugriff auf Namespace ohne expliziten Zugriff | * | |||||
| Namespace bearbeiten | ||||||
| Namespace gelöscht | ||||||
| Namespace-Dienstkonto | ||||||
| Dienstkonto hinzufügen | ||||||
| Dienstkonto bearbeiten | ||||||
| Dienstkonto entfernen | ||||||
| Dienstkonto verwenden | ||||||
| RBAC | ||||||
| Anderen Hauptkonten im Namespace Berechtigungen gewähren oder entziehen | * | |||||
| Zeitpläne | ||||||
| Zeitplan erstellen | ||||||
| Zeitplan ansehen | ||||||
| Zeitplan ändern | ||||||
| Compute-Profile | ||||||
| Compute-Profile erstellen | ||||||
| Compute-Profile ansehen | ||||||
| Compute-Profile bearbeiten | ||||||
| Compute-Profile löschen | ||||||
| Verbindungen | ||||||
| Verbindungen erstellen | ||||||
| Verbindungen ansehen | ||||||
| Verbindungen bearbeiten | ||||||
| Verbindungen löschen | ||||||
| Verbindungen verwenden | ||||||
| Pipelines | ||||||
| Pipelines erstellen | ||||||
| Pipelines ansehen | ||||||
| Pipelines bearbeiten | ||||||
| Pipelines löschen | ||||||
| Pipelines in der Vorschau ansehen | ||||||
| Pipelines implementieren | ||||||
| Pipelines ausführen | ||||||
| Schlüssel sichern | ||||||
| Sichere Schlüssel erstellen | ||||||
| Sichere Schlüssel ansehen | ||||||
| Sichere Schlüssel löschen | ||||||
| Tags | ||||||
| Tags erstellen | ||||||
| Tags anzeigen | ||||||
| Tags löschen | ||||||
| Cloud Data Fusion Hub | ||||||
| Plug-ins bereitstellen | ||||||
| Versionsverwaltung | ||||||
| Repository für die Versionskontrolle konfigurieren | ||||||
| Pipelines aus einem Namespace synchronisieren | ||||||
| Abstammung | ||||||
| Herkunft ansehen | ||||||
| Mehr über Logs erfahren | ||||||
| Logs ansehen | ||||||
Eine vollständige Liste der Berechtigungen, die in Cloud Data Fusion vordefinierte Rolle, siehe Vordefinierte Cloud Data Fusion-Rollen.
Benutzerdefinierte Rollen für die rollenbasierte Zugriffssteuerung
Einige Anwendungsfälle können nicht mit den vordefinierten Rollen für Cloud Data Fusion implementiert werden. Erstellen Sie in diesen Fällen eine benutzerdefinierte Rolle.
Beispiele
In den folgenden Beispielen wird beschrieben, wie Sie benutzerdefinierte Rollen für die RBAC erstellen:
Wenn Sie eine benutzerdefinierte Rolle erstellen möchten, die nur Zugriff auf die sicheren Schlüssel innerhalb eines Namespaces gewährt, erstellen Sie eine benutzerdefinierte Rolle mit den Berechtigungen
datafusion.namespaces.getunddatafusion.secureKeys.*.Um eine benutzerdefinierte Rolle zu erstellen, die Lesezugriff auf sichere Schlüssel gewährt, erstellen Sie eine benutzerdefinierte Rolle mit dem
datafusion.namespaces.get,datafusion.secureKeys.getSecretunddatafusion.secureKeys.listBerechtigungen.
Berechtigungen für gängige Aktionen
Eine vordefinierte Berechtigung reicht unter Umständen nicht aus, um die
die entsprechende Aktion ausführen. Zum Aktualisieren der Namespace-Attribute könnten Sie beispielsweise
benötigen außerdem die Berechtigung datafusion.namespaces.get. In der folgenden Tabelle werden gängige Aktionen in einer Cloud Data Fusion-Instanz und die erforderlichen IAM-Berechtigungen beschrieben:
| Aktion | Erforderliche Berechtigung |
|---|---|
| Auf eine Instanz zugreifen | datafusion.instances.get |
| Namespace erstellen | datafusion.namespaces.create |
| Namespace abrufen | datafusion.namespaces.get |
| Namespace-Metadaten (z. B. Properties) aktualisieren |
|
| Namespace löschen (nur bei aktiviertem nicht wiederherstellbarem Zurücksetzen) |
|
| Berechtigungen für Namespace ansehen | datafusion.namespaces.getIamPolicy |
| Berechtigungen für Namespace erteilen | datafusion.namespaces.setIamPolicy |
| Pipelines aus der SCM-Konfiguration des Namespaces abrufen |
|
| Pipelines in das SCM-Repository für Namespace übertragen |
|
| SCM-Konfiguration für Namespace abrufen | datafusion.namespaces.get |
| SCM-Konfiguration des Namespace aktualisieren | datafusion.namespaces.updateRepositoryMetadata |
| Dienstkonto für einen Namespace festlegen |
|
| Dienstkonto für einen Namespace aufheben |
|
| Anmeldedaten für ein Dienstkonto für einen Namespace bereitstellen | datafusion.namespaces.provisionCredential |
| Pipelineentwurf ansehen | datafusion.namespaces.get |
| Pipelineentwurf erstellen/löschen |
|
| Compute-Profile auflisten | datafusion.profiles.list |
| Compute-Profil erstellen | datafusion.profiles.create |
| Compute-Profil aufrufen | datafusion.profiles.get |
| Compute-Profil bearbeiten | datafusion.profiles.update |
| Compute-Profil löschen | datafusion.profiles.delete |
| Verbindung herstellen |
|
| Verbindung ansehen |
|
| Verbindung bearbeiten |
|
| Verbindung löschen |
|
| Verbindungsspezifikationen ansehen, Beispiele ansehen oder herunterladen |
|
| Pipelines auflisten | datafusion.namespaces.get |
| Pipeline erstellen |
|
| Pipeline ansehen |
|
| Pipeline bearbeiten |
|
| Pipeline-Eigenschaften bearbeiten |
|
| Pipeline löschen |
|
| Vorschau der Pipeline anzeigen | datafusion.pipelines.preview |
| Pipeline ausführen | datafusion.pipelines.execute |
| Zeitplan erstellen | datafusion.pipelines.execute |
| Zeitplan ansehen |
|
| Zeitplan ändern | datafusion.pipelines.execute |
| Sichere Schlüssel auflisten |
|
| Sichere Schlüssel erstellen |
|
| Sichere Schlüssel ansehen |
|
| Sichere Schlüssel löschen |
|
| Artefakte auflisten* |
|
| Artefakt erstellen* |
|
| Artefakt erhalten* |
|
| Artefakt löschen* |
|
| Einstellungen, Tags und Metadaten | Einstellungen, Tags und Metadaten werden auf Ressourcenebene für die jeweilige Ressource (datafusion.RESOURCE.update) festgelegt.
|
| Dataset-Berechtigungen (verworfen) | datafusion.namespaces.update |