Cette page décrit les rôles et les autorisations utilisés par Cloud Data Fusion des instances avec contrôle des accès basé sur les rôles (RBAC) activé.
Pour une application plus précise des accès au niveau de l'espace de noms et à un niveau inférieur, utilisez ces les ressources et autorisations de plan de données avec RBAC.
Hiérarchie des ressources
Les ressources Cloud Data Fusion ont la hiérarchie de ressources suivante:
Cette figure montre la hiérarchie des ressources par ordre décroissant (de la plus large à le plus restreint): projet Google Cloud, emplacement, instance Cloud Data Fusion et et plusieurs espaces de noms. Sous les espaces de noms se trouvent les connexions, les clés sécurisées, les pipelines, les artefacts (plug-ins, pilotes et applications, par exemple) et les ressources profils.
Les ressources suivantes sont des ressources de plan de données Cloud Data Fusion que vous contrôlez avec l'API REST ou dans Cloud Data Fusion Studio : espaces de noms, connexions, clés sécurisées, pipelines, artefacts et profils de calcul.
Rôles prédéfinis pour RBAC
Cloud Data Fusion RBAC inclut plusieurs rôles prédéfinis que vous pouvez utiliser :
- Rôle d'accès à l'instance (
datafusion.accessor) - Accorde au compte principal un accès à une instance Cloud Data Fusion, mais pas à à toutes les ressources de l'instance. Utilisez ce rôle en association avec d'autres rôles spécifiques à un espace de noms pour fournir un accès précis à l'espace de noms.
- Rôle Lecteur (
datafusion.viewer) - Accorde à un compte principal l'accès à un espace de noms pour afficher les pipelines, mais pas pour créer ou exécuter des pipelines.
- Rôle d'opérateur (
datafusion.operator) - Accorde à un compte principal d'un espace de noms l'accès aux pipelines et leur exécution. modifier le profil de calcul, créer des profils de calcul ou importer des artefacts. Peut effectuer les mêmes actions qu'un développeur, à l'exception des pour prévisualiser les pipelines.
- Rôle de développeur (
datafusion.developer) - Accorde l'accès à un compte principal sur un espace de noms pour créer et modifier des accès aux ressources, telles que les pipelines, dans l'espace de noms.
- Rôle Éditeur (
datafusion.editor) - Accorde au compte principal l'accès complet à toutes les ressources Cloud Data Fusion sous un espace de noms dans une instance Cloud Data Fusion. Ce rôle doit doit être accordé au compte principal, en plus du rôle Accesseur d'instances. Avec ce rôle, le compte principal peut créer, supprimer et modifier les ressources espace de noms.
- Rôle d'administrateur d'instances (
datafusion.admin) - Accorde l'accès à toutes les ressources d'une instance Cloud Data Fusion. Attribué via IAM. Non attribué au niveau de l'espace de noms via RBAC.
| Operation | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
|---|---|---|---|---|---|---|
| Instances | ||||||
| Instance d'accès | ||||||
| Espaces de noms | ||||||
| Créer un espace de noms | * | |||||
| Accès à l'espace de noms avec accès explicite accordé | ||||||
| Accéder à un espace de noms sans autorisation d'accès explicite | * | |||||
| Modifier l'espace de noms | ||||||
| Supprimer l'espace de noms | ||||||
| Compte de service de l'espace de noms | ||||||
| Ajouter un compte de service | ||||||
| Modifier le compte de service | ||||||
| Supprimer le compte de service | ||||||
| Utiliser un compte de service | ||||||
| CABR | ||||||
| Accorder ou révoquer des autorisations pour d'autres comptes principaux de l'espace de noms | * | |||||
| Programmations | ||||||
| Créer une planification | ||||||
| Afficher le calendrier | ||||||
| Modifier la programmation | ||||||
| Compute profiles | ||||||
| Créer des profils de calcul | ||||||
| Afficher les profils de calcul | ||||||
| Modifier les profils de calcul | ||||||
| Supprimer des profils de calcul | ||||||
| Connexions | ||||||
| Créer des connexions | ||||||
| Afficher les connexions | ||||||
| Modifier les connexions | ||||||
| Supprimer des connexions | ||||||
| Utiliser des connexions | ||||||
| Pipelines | ||||||
| Créer des pipelines | ||||||
| Afficher les pipelines | ||||||
| Modifier les pipelines | ||||||
| Supprimer les pipelines | ||||||
| Prévisualiser les pipelines | ||||||
| Déployer des pipelines | ||||||
| Exécuter des pipelines | ||||||
| Clés sécurisées | ||||||
| Créer des clés sécurisées | ||||||
| Afficher les clés sécurisées | ||||||
| Supprimer les clés sécurisées | ||||||
| Tags | ||||||
| Créer des tags | ||||||
| Afficher les tags | ||||||
| Supprimer les tags | ||||||
| Cloud Data Fusion Hub | ||||||
| Déployer des plug-ins | ||||||
| Gestion du contrôle des sources | ||||||
| Configurer un dépôt de contrôle des sources | ||||||
| Synchroniser des pipelines à partir d'un espace de noms | ||||||
| Lignée | ||||||
| Afficher la traçabilité | ||||||
| Journaux | ||||||
| Voir les journaux | ||||||
Pour obtenir la liste complète des autorisations incluses dans le rôle prédéfini de Cloud Data Fusion, consultez la section Rôles prédéfinis de Cloud Data Fusion.
Rôles personnalisés pour le contrôle RBAC
Certains cas d'utilisation ne peuvent pas être mis en œuvre à l'aide des rôles prédéfinis pour Cloud Data Fusion. Dans ce cas, créez un rôle personnalisé.
Examples
Les exemples suivants décrivent comment créer des rôles personnalisés pour le RBAC :
Pour créer un rôle personnalisé qui n'autorise que l'accès aux clés sécurisées d'un espace de noms, créez un rôle personnalisé avec les autorisations
datafusion.namespaces.getetdatafusion.secureKeys.*.Pour créer un rôle personnalisé qui accorde un accès en lecture seule aux clés sécurisées, créez un un rôle personnalisé avec
datafusion.namespaces.get,datafusion.secureKeys.getSecretetdatafusion.secureKeys.listautorisations.
Autorisations pour les actions courantes
Une seule autorisation prédéfinie peut ne pas être suffisante pour effectuer l'opération
l'action correspondante. Par exemple, pour mettre à jour les propriétés d'un espace de noms, vous devrez peut-être également disposer de l'autorisation datafusion.namespaces.get. Le tableau suivant décrit les actions courantes effectuées dans une instance Cloud Data Fusion et les autorisations IAM requises :
| Action | Autorisation requise |
|---|---|
| Accéder à une instance | datafusion.instances.get |
| Créer un espace de noms | datafusion.namespaces.create |
| Obtenir un espace de noms | datafusion.namespaces.get |
| Mettre à jour les métadonnées d'un espace de noms (telles que les propriétés) |
|
| Supprimer l'espace de noms (uniquement lorsque la réinitialisation irréversible est activée) |
|
| Afficher les autorisations sur l'espace de noms | datafusion.namespaces.getIamPolicy |
| Accorder des autorisations sur un espace de noms | datafusion.namespaces.setIamPolicy |
| Extraire les pipelines de la configuration SCM de l'espace de noms |
|
| Transférer les pipelines vers le dépôt SCM pour l'espace de noms |
|
| Obtenir la configuration SCM de l'espace de noms | datafusion.namespaces.get |
| Mettre à jour la configuration SCM de l'espace de noms | datafusion.namespaces.updateRepositoryMetadata |
| Définir un compte de service pour un espace de noms |
|
| Définir un compte de service pour un espace de noms |
|
| Provisionner des identifiants de compte de service pour un espace de noms | datafusion.namespaces.provisionCredential |
| Afficher un brouillon de pipeline | datafusion.namespaces.get |
| Créer/Supprimer un brouillon de pipeline |
|
| Répertorier les profils de calcul | datafusion.profiles.list |
| Créer un profil de calcul | datafusion.profiles.create |
| Afficher un profil de calcul | datafusion.profiles.get |
| Modifier un profil de calcul | datafusion.profiles.update |
| Supprimer un profil de calcul | datafusion.profiles.delete |
| Créez un lien |
|
| Afficher une connexion |
|
| Modifier une connexion |
|
| Supprimer une connexion |
|
| Parcourir, consulter ou afficher les spécifications de connexion |
|
| Répertorier les pipelines | datafusion.namespaces.get |
| Créer un pipeline |
|
| Afficher le pipeline |
|
| Modifier le pipeline |
|
| Modifier les propriétés du pipeline |
|
| Supprimer le pipeline |
|
| Pipeline Preview | datafusion.pipelines.preview |
| Exécuter le pipeline | datafusion.pipelines.execute |
| Créer une planification | datafusion.pipelines.execute |
| Afficher le calendrier |
|
| Modifier le calendrier | datafusion.pipelines.execute |
| Répertorier les clés de sécurité |
|
| Créer des clés sécurisées |
|
| Afficher les clés de sécurité |
|
| Supprimer des clés sécurisées |
|
| Lister les artefacts* |
|
| Créer un artefact* |
|
| Obtenir un artefact* |
|
| Supprimer un artefact* |
|
| Préférences, tags et métadonnées | Les préférences, les balises et les métadonnées sont définies au niveau de la ressource pour la ressource en question (datafusion.RESOURCE.update).
|
| Autorisations d'ensemble de données (obsolète) | datafusion.namespaces.update |
Étape suivante
- En savoir plus sur le contrôle RBAC dans Cloud Data Fusion