Cette page décrit les rôles et les autorisations utilisés par Cloud Data Fusion des instances avec contrôle des accès basé sur les rôles (RBAC) activé.
Pour une application plus précise des accès au niveau de l'espace de noms et à un niveau inférieur, utilisez ces les ressources et autorisations de plan de données avec RBAC.
Hiérarchie des ressources
Les ressources Cloud Data Fusion ont la hiérarchie de ressources suivante:
Cette figure montre la hiérarchie des ressources par ordre décroissant (de la plus large à le plus restreint): projet Google Cloud, emplacement, instance Cloud Data Fusion et et plusieurs espaces de noms. Sous les espaces de noms se trouvent des connexions, des clés sécurisées, les pipelines, les artefacts (par exemple, les plug-ins, les pilotes et les applications) et le calcul profils.
Les ressources suivantes correspondent au plan de données Cloud Data Fusion. des ressources que vous contrôlez à l'aide de l'API REST ou de Cloud Data Fusion Studio: espaces de noms, connexions, clés sécurisées, pipelines, artefacts et calcul profils.
Rôles prédéfinis pour RBAC
Cloud Data Fusion RBAC inclut plusieurs rôles prédéfinis que vous pouvez utiliser :
- Rôle d'accès à l'instance (
datafusion.accessor) - Accorde au compte principal un accès à une instance Cloud Data Fusion, mais pas à à toutes les ressources de l'instance. Utilisez ce rôle en association avec d'autres rôles spécifiques à un espace de noms pour fournir un accès précis à l'espace de noms.
- Rôle Lecteur (
datafusion.viewer) - Accorde l'accès à un compte principal sur un espace de noms pour afficher les pipelines, mais pas créer ou exécuter des pipelines.
- Rôle d'opérateur (
datafusion.operator) - Accorde à un compte principal d'un espace de noms l'accès aux pipelines et leur exécution. modifier le profil de calcul, créer des profils de calcul ou importer des artefacts. Peut effectuer les mêmes actions qu'un développeur, à l'exception des pour prévisualiser les pipelines.
- Rôle de développeur (
datafusion.developer) - Accorde l'accès à un compte principal sur un espace de noms pour créer et modifier des accès aux ressources, telles que les pipelines, dans l'espace de noms.
- Rôle Éditeur (
datafusion.editor) - Accorde au compte principal un accès complet à toutes les ressources Cloud Data Fusion sous un espace de noms dans une instance Cloud Data Fusion. Ce rôle doit doit être accordé au compte principal, en plus du rôle Accesseur d'instances. Avec ce rôle, le compte principal peut créer, supprimer et modifier les ressources espace de noms.
- Rôle d'administrateur d'instances (
datafusion.admin) - Accorde l'accès à toutes les ressources d'une instance Cloud Data Fusion. Attribué via IAM. Non attribué au niveau de l'espace de noms via RBAC.
| Operation | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
|---|---|---|---|---|---|---|
| Instances | ||||||
| Instance d'accès | ||||||
| Espaces de noms | ||||||
| Créer un espace de noms | * | |||||
| Espace de noms d'accès avec accès explicite accordé | ||||||
| Espace de noms d'accès sans accès explicite accordé | * | |||||
| Modifier l'espace de noms | ||||||
| Supprimer l'espace de noms | ||||||
| Compte de service d'espace de noms | ||||||
| Ajouter un compte de service | ||||||
| Modifier le compte de service | ||||||
| Supprimer le compte de service | ||||||
| Utiliser le compte de service | ||||||
| CABR | ||||||
| Accorder ou révoquer des autorisations pour d'autres comptes principaux dans l'espace de noms | * | |||||
| Programmations | ||||||
| Créer une planification | ||||||
| Afficher le calendrier | ||||||
| Modifier le calendrier | ||||||
| Compute profiles | ||||||
| Créer des profils de calcul | ||||||
| Afficher les profils de calcul | ||||||
| Modifier les profils de calcul | ||||||
| Supprimer des profils de calcul | ||||||
| Connexions | ||||||
| Créer des connexions | ||||||
| Afficher les connexions | ||||||
| Modifier les connexions | ||||||
| Supprimer des connexions | ||||||
| Utiliser des connexions | ||||||
| Pipelines | ||||||
| Créer des pipelines | ||||||
| Afficher les pipelines | ||||||
| Modifier les pipelines | ||||||
| Supprimer les pipelines | ||||||
| Prévisualiser les pipelines | ||||||
| Déployer des pipelines | ||||||
| Exécuter des pipelines | ||||||
| Clés sécurisées | ||||||
| Créer des clés sécurisées | ||||||
| Afficher les clés sécurisées | ||||||
| Supprimer les clés sécurisées | ||||||
| Tags | ||||||
| Créer des tags | ||||||
| Afficher les tags | ||||||
| Supprimer les tags | ||||||
| Cloud Data Fusion Hub | ||||||
| Déployer des plug-ins | ||||||
| Gestion du contrôle des sources | ||||||
| Configurer un dépôt de contrôle des sources | ||||||
| Synchroniser les pipelines à partir d'un espace de noms | ||||||
| Tracé | ||||||
| Afficher la traçabilité | ||||||
| Journaux | ||||||
| Voir les journaux | ||||||
Pour obtenir la liste complète des autorisations incluses dans Cloud Data Fusion un rôle prédéfini, consultez Rôles prédéfinis Cloud Data Fusion
Rôles personnalisés pour RBAC
Certains cas d'utilisation ne peuvent pas être mis en œuvre à l'aide des rôles prédéfinis pour Cloud Data Fusion. Dans ce cas, créez un rôle personnalisé.
Examples
Les exemples suivants décrivent comment créer des rôles personnalisés pour RBAC:
Pour créer un rôle personnalisé qui n'accorde l'accès qu'aux clés sécurisées dans un créez un rôle personnalisé avec les rôles
datafusion.namespaces.getet Autorisationsdatafusion.secureKeys.*.Pour créer un rôle personnalisé qui accorde un accès en lecture seule aux clés sécurisées, créez un un rôle personnalisé avec
datafusion.namespaces.get,datafusion.secureKeys.getSecretetdatafusion.secureKeys.listautorisations.
Autorisations pour les actions courantes
Une seule autorisation prédéfinie peut ne pas être suffisante pour effectuer l'opération
l'action correspondante. Par exemple, pour mettre à jour les propriétés d'un espace de noms, vous pouvez :
ont également besoin de l'autorisation datafusion.namespaces.get. Le tableau suivant décrit
les actions courantes effectuées dans une instance Cloud Data Fusion et
autorisations IAM requises:
| Action | Autorisation requise |
|---|---|
| Accéder à une instance | datafusion.instances.get |
| Créer un espace de noms | datafusion.namespaces.create |
| Obtenir un espace de noms | datafusion.namespaces.get |
| Mettre à jour les métadonnées d'un espace de noms (telles que les propriétés) |
|
| Supprimer l'espace de noms (uniquement lorsque la réinitialisation irréversible est activée) |
|
| Afficher les autorisations sur l'espace de noms | datafusion.namespaces.getIamPolicy |
| Accorder des autorisations sur l'espace de noms | datafusion.namespaces.setIamPolicy |
| Extraire les pipelines de la configuration SCM de l'espace de noms |
|
| Transférer les pipelines vers un dépôt SCM pour l'espace de noms |
|
| Obtenir la configuration SCM de l'espace de noms | datafusion.namespaces.get |
| Mettre à jour la configuration SCM de l'espace de noms | datafusion.namespaces.updateRepositoryMetadata |
| Définir un compte de service pour un espace de noms |
|
| Désactiver un compte de service pour un espace de noms |
|
| Provisionner des identifiants de compte de service pour un espace de noms | datafusion.namespaces.provisionCredential |
| Afficher un brouillon de pipeline | datafusion.namespaces.get |
| Créer/Supprimer un brouillon de pipeline |
|
| Répertorier les profils de calcul | datafusion.profiles.list |
| Créer un profil de calcul | datafusion.profiles.create |
| Afficher un profil de calcul | datafusion.profiles.get |
| Modifier un profil de calcul | datafusion.profiles.update |
| Supprimer un profil de calcul | datafusion.profiles.delete |
| Créez un lien |
|
| Afficher une connexion |
|
| Modifier une connexion |
|
| Supprimer une connexion |
|
| Parcourir, échantillonner ou afficher les spécifications de connexion |
|
| Répertorier les pipelines | datafusion.namespaces.get |
| Créer un pipeline |
|
| Afficher le pipeline |
|
| Modifier le pipeline |
|
| Modifier les propriétés du pipeline |
|
| Supprimer le pipeline |
|
| Prévisualiser le pipeline | datafusion.pipelines.preview |
| Exécuter le pipeline | datafusion.pipelines.execute |
| Créer une planification | datafusion.pipelines.execute |
| Afficher le calendrier |
|
| Modifier le calendrier | datafusion.pipelines.execute |
| Lister les clés sécurisées |
|
| Créer des clés sécurisées |
|
| Afficher les clés sécurisées |
|
| Supprimer des clés sécurisées |
|
| Répertorier les artefacts* |
|
| Créer un artefact* |
|
| Obtenir un artefact* |
|
| Supprimer un artefact* |
|
| Préférences, tags et métadonnées | Les préférences, les tags et les métadonnées sont définis au niveau de la ressource pour
ressource spécifique (datafusion.RESOURCE.update).
|
| Autorisations d'ensemble de données (obsolète) | datafusion.namespaces.update |
Étape suivante
- Pour en savoir plus sur le RBAC (RBAC), consultez Cloud Data Fusion.