Questa pagina descrive i ruoli e le autorizzazioni utilizzati dalle istanze Cloud Data Fusion con il controllo dell'accesso basato sui ruoli (RBAC) abilitato.
Per l'applicazione di un controllo dell'accesso granulare a livello di spazio dei nomi e inferiore, utilizza queste risorse e autorizzazioni del data plane con RBAC.
Gerarchia delle risorse
Le risorse Cloud Data Fusion hanno la seguente gerarchia delle risorse:
Questa figura mostra la gerarchia delle risorse in ordine decrescente (dalla più ampia alla più ristretta): Google Cloud progetto, località, istanza Cloud Data Fusion e spazi dei nomi. Sotto gli spazi dei nomi, senza un ordine specifico, sono presenti connessioni, chiavi sicure, pipeline, artefatti (come plug-in, driver e applicazioni) e profili di calcolo.
Le seguenti risorse sono risorse del data plane di Cloud Data Fusion che controlli con l'API REST o in Cloud Data Fusion Studio: spazi dei nomi, connessioni, chiavi sicure, pipeline, artefatti e profili di calcolo.
Ruoli predefiniti per RBAC
RBAC di Cloud Data Fusion include diversi ruoli predefiniti che puoi utilizzare:
- Ruolo di accesso all'istanza (
datafusion.accessor) - Concede all'entità accesso a un'istanza Cloud Data Fusion, ma non a nessuna risorsa all'interno dell'istanza. Utilizza questo ruolo in combinazione con altri ruoli specifici dello spazio dei nomi per fornire un accesso granulare allo spazio dei nomi.
- Ruolo Visualizzatore (
datafusion.viewer) - Concede a un'entità l'accesso a uno spazio dei nomi per visualizzare le pipeline, ma non per crearle o eseguirle.
- Ruolo Operatore (
datafusion.operator) - Concede a un principal l'accesso a uno spazio dei nomi per accedere ed eseguire pipeline, modificare il profilo di calcolo, creare profili di calcolo o caricare artefatti. Può eseguire le stesse azioni di uno sviluppatore, ad eccezione dell'anteprima delle pipeline.
- Ruolo sviluppatore (
datafusion.developer) - Concede a un principal l'accesso a uno spazio dei nomi per creare e modificare risorse limitate, come pipeline, all'interno dello spazio dei nomi.
- Ruolo Editor (
datafusion.editor) - Concede all'entità accesso completo a tutte le risorse Cloud Data Fusion in uno spazio dei nomi all'interno di un'istanza Cloud Data Fusion. Questo ruolo deve essere concesso all'entità in aggiunta al ruolo Instance Accessor. Con questo ruolo, l'entità può creare, eliminare e modificare le risorse nello spazio dei nomi.
- Ruolo Amministratore istanza (
datafusion.admin) - Concede l'accesso a tutte le risorse all'interno di un'istanza di Cloud Data Fusion. Assegnato tramite IAM. Non assegnato a livello di spazio dei nomi tramite RBAC.
| Operazione | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
|---|---|---|---|---|---|---|
| Istanze | ||||||
| Accedi all'istanza | ||||||
| Spazi dei nomi | ||||||
| Crea spazio dei nomi | * | |||||
| Accedere allo spazio dei nomi con l'accesso esplicito concesso | ||||||
| Accedere allo spazio dei nomi senza un accesso esplicito concesso | * | |||||
| Modifica spazio dei nomi | ||||||
| Eliminazione spazio dei nomi | ||||||
| Service account dello spazio dei nomi | ||||||
| Aggiungi service account | ||||||
| Modifica account di servizio | ||||||
| Rimuovi account di servizio | ||||||
| Utilizza account di servizio | ||||||
| RBAC | ||||||
| Concedere o revocare le autorizzazioni per altre entità nello spazio dei nomi | * | |||||
| Pianificazioni | ||||||
| Crea pianificazione | ||||||
| Visualizza pianificazione | ||||||
| Modificare la programmazione | ||||||
| Profili Compute | ||||||
| Creare profili di calcolo | ||||||
| Visualizzare i profili di calcolo | ||||||
| Modificare i profili di calcolo | ||||||
| Elimina profili di calcolo | ||||||
| Connessioni | ||||||
| Creare connessioni | ||||||
| Visualizza connessioni | ||||||
| Modificare le connessioni | ||||||
| Eliminazione delle connessioni | ||||||
| Utilizzare le connessioni | ||||||
| Spazi di lavoro Wrangler | ||||||
| Creare spazi di lavoro | ||||||
| Visualizzare gli spazi di lavoro | ||||||
| Modificare gli spazi di lavoro | ||||||
| Eliminare spazi di lavoro | ||||||
| Utilizzare gli spazi di lavoro | ||||||
| Pipeline | ||||||
| Crea pipeline | ||||||
| Visualizza pipeline | ||||||
| Modificare le pipeline | ||||||
| Elimina pipeline | ||||||
| Visualizzare l'anteprima delle pipeline | ||||||
| Esegui il deployment delle pipeline | ||||||
| Esegui pipeline | ||||||
| Chiavi sicure | ||||||
| Crea chiavi sicure | ||||||
| Visualizzare le chiavi sicure | ||||||
| Eliminare le chiavi sicure | ||||||
| Tag | ||||||
| Creare tag | ||||||
| Visualizza tag | ||||||
| Elimina tag | ||||||
| Cloud Data Fusion Hub | ||||||
| Esegui il deployment dei plug-in | ||||||
| Gestione del controllo del codice sorgente | ||||||
| Configura il repository del controllo del codice sorgente | ||||||
| Sincronizzare le pipeline da uno spazio dei nomi | ||||||
| Lignaggio | ||||||
| Visualizza derivazione | ||||||
| Log | ||||||
| Visualizza i log | ||||||
Per un elenco completo delle autorizzazioni incluse nel ruolo predefinito di Cloud Data Fusion, consulta Ruoli predefiniti di Cloud Data Fusion.
Ruoli personalizzati per RBAC
Alcuni casi d'uso non possono essere implementati utilizzando i ruoli predefiniti per Cloud Data Fusion. In questi casi, crea un ruolo personalizzato.
Esempi
Gli esempi seguenti descrivono come creare ruoli personalizzati per il controllo dell'accesso basato sui ruoli (RBAC):
Per creare un ruolo personalizzato che conceda l'accesso solo alle chiavi sicure all'interno di uno spazio dei nomi, crea un ruolo personalizzato con le autorizzazioni
datafusion.namespaces.getedatafusion.secureKeys.*.Per creare un ruolo personalizzato che conceda l'accesso in sola lettura alle chiavi sicure, crea un ruolo personalizzato con le autorizzazioni
datafusion.namespaces.get,datafusion.secureKeys.getSecretedatafusion.secureKeys.list.
Autorizzazioni per le azioni comuni
Una singola autorizzazione predefinita potrebbe non essere sufficiente per eseguire l'azione
corrispondente. Ad esempio, per aggiornare le proprietà dello spazio dei nomi, potresti
avere bisogno anche dell'autorizzazione datafusion.namespaces.get. La seguente tabella descrive le azioni comuni eseguite all'interno di un'istanza di Cloud Data Fusion e le autorizzazioni IAM richieste:
| Azione | Autorizzazione obbligatoria |
|---|---|
| Accedere a un'istanza | datafusion.instances.get |
| Creare uno spazio dei nomi | datafusion.namespaces.create |
| Recupera uno spazio dei nomi | datafusion.namespaces.get |
| Aggiorna i metadati dello spazio dei nomi (ad esempio le proprietà) |
|
| Elimina spazio dei nomi (solo con il ripristino non recuperabile abilitato) |
|
| Visualizzare le autorizzazioni nello spazio dei nomi | datafusion.namespaces.getIamPolicy |
| Concedere autorizzazioni per lo spazio dei nomi | datafusion.namespaces.setIamPolicy |
| Estrai pipeline dalla configurazione SCM dello spazio dei nomi |
|
| Push delle pipeline al repository SCM per lo spazio dei nomi |
|
| Recupera configurazione SCM spazio dei nomi | datafusion.namespaces.get |
| Aggiorna configurazione SCM spazio dei nomi | datafusion.namespaces.updateRepositoryMetadata |
| Impostare un service account per uno spazio dei nomi |
|
| Annullare l'impostazione di un service account per uno spazio dei nomi |
|
| Esegui il provisioning di una credenziale del service account per uno spazio dei nomi | datafusion.namespaces.provisionCredential |
| Visualizzare una bozza di pipeline | datafusion.namespaces.get |
| Creare/eliminare una bozza di pipeline |
|
| Elenco profili di calcolo | datafusion.profiles.list |
| Crea un profilo di calcolo | datafusion.profiles.create |
| Visualizzare un profilo di calcolo | datafusion.profiles.get |
| Modificare un profilo di calcolo | datafusion.profiles.update |
| Eliminare un profilo di calcolo | datafusion.profiles.delete |
| Crea una connessione |
|
| Visualizzare una connessione |
|
| Modificare una connessione |
|
| Eliminare una connessione |
|
| Sfoglia, campiona o visualizza le specifiche di connessione |
|
| Creare un workspace Wrangler |
|
| Visualizzare uno spazio di lavoro Wrangler |
|
| Modificare o ricampionare un workspace Wrangler |
|
| Eliminare un workspace Wrangler |
|
| Applicare un insieme di direttive a uno spazio di lavoro Wrangler |
|
| Elenco pipeline |
|
| Crea pipeline |
|
| Visualizza pipeline |
|
| Modifica pipeline |
|
| Modifica delle proprietà della pipeline |
|
| Eliminazione pipeline |
|
| Anteprima pipeline | datafusion.pipelines.preview |
| Esecuzione pipeline | datafusion.pipelines.execute |
| Crea pianificazione | datafusion.pipelines.execute |
| Visualizza programma |
|
| Modifica programmazione | datafusion.pipelines.execute |
| Elenca chiavi sicure |
|
| Crea chiavi sicure |
|
| Visualizza chiavi sicure |
|
| Elimina chiavi sicure |
|
| Elenco artefatti* |
|
| Crea un artefatto* |
|
| Recupero di un artefatto* |
|
| Eliminare un artefatto* |
|
| Preferenze, tag e metadati | Preferenze, tag e metadati vengono impostati a livello di risorsa per la
risorsa specifica (datafusion.RESOURCE.update).
|
| Autorizzazioni set di dati (ritirate) | datafusion.namespaces.update |
Passaggi successivi
- Scopri di più su RBAC in Cloud Data Fusion.