Auf dieser Seite werden die Rollen und Berechtigungen beschrieben, die von Cloud Data Fusion-Instanzen mit aktivierter rollenbasierter Zugriffssteuerung (Role-Based Access Control, RBAC) verwendet werden.
Verwenden Sie diese Ressourcen und Berechtigungen der Datenebene mit RBAC, um den Zugriff auf Namespaceebene und darunter detailliert zu steuern.
Ressourcenhierarchie
Cloud Data Fusion-Ressourcen haben die folgende Ressourcenhierarchie:
Diese Abbildung zeigt die Ressourcenhierarchie in absteigender Reihenfolge (von allgemein nach speziell): Google Cloud Projekt, Standort, Cloud Data Fusion-Instanz und Namespaces. Unter Namespaces finden Sie in ungeordneter Reihenfolge Verbindungen, sichere Schlüssel, Pipelines, Artefakte (z. B. Plug-ins, Treiber und Anwendungen) und Compute-Profile.
Die folgenden Ressourcen sind Cloud Data Fusion-Ressourcen der Datenebenenschicht, die Sie mit der REST API oder in Cloud Data Fusion Studio verwalten: Namespaces, Verbindungen, sichere Schlüssel, Pipelines, Artefakte und Compute-Profile.
Vordefinierte Rollen für die rollenbasierte Zugriffsverwaltung
Cloud Data Fusion RBAC umfasst mehrere vordefinierte Rollen, die Sie verwenden können:
- Rolle „Instanzzugriff” (
datafusion.accessor) - Gewährt dem Hauptzugriff Zugriff auf eine Cloud Data Fusion-Instanz, aber nicht auf Ressourcen innerhalb der Instanz. Verwenden Sie diese Rolle in Kombination mit anderen Namespace-spezifischen Rollen, um einen detaillierten Zugriff auf den Namespace zu ermöglichen.
- Betrachterrolle (
datafusion.viewer) - Gewährt einem Hauptkonto in einem Namespace Zugriff zum Aufrufen von Pipelines, aber nicht zum Erstellen oder Ausführen von Pipelines.
- Operatorrolle (
datafusion.operator) - Gewährt Zugriff auf ein Hauptkonto in einem Namespace, um auf Pipelines zuzugreifen und diese auszuführen, das Compute-Profil zu ändern, Compute-Profile zu erstellen oder Artefakte hochzuladen. Kann dieselben Aktionen wie ein Entwickler ausführen, allerdings können keine Pipelines in der Vorschau angezeigt werden.
- Entwicklerrolle (
datafusion.developer) - Gewährt einem Hauptkonto Zugriff auf einen Namespace, um eingeschränkte Ressourcen wie Pipelines innerhalb des Namespaces zu erstellen und zu ändern.
- Bearbeiterrolle
datafusion.editor - Gewährt dem Hauptkonto vollständigen Zugriff auf alle Cloud Data Fusion-Ressourcen in einem Namespace innerhalb einer Cloud Data Fusion-Instanz. Diese Rolle muss dem Hauptkonto zusätzlich zur Rolle „Instanzzugriff“ zugewiesen werden. Mit dieser Rolle kann das Hauptkonto Ressourcen im Namespace erstellen, löschen und ändern.
- Rolle „Instanzadministrator” (
datafusion.admin) - Gewährt Zugriff auf alle Ressourcen in einer Cloud Data Fusion-Instanz. Über IAM zugewiesen. Wird nicht über RBAC auf Namespaceebene zugewiesen.
| Vorgang | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
|---|---|---|---|---|---|---|
| Instanzen | ||||||
| Auf Instanz zugreifen | ||||||
| Namespaces | ||||||
| Namespace erstellen | * | |||||
| Auf Namespace mit explizit erteiltem Zugriff zugreifen | ||||||
| Zugriff auf Namespace ohne expliziten Zugriff | * | |||||
| Namespace bearbeiten | ||||||
| Namespace löschen | ||||||
| Namespace-Dienstkonto | ||||||
| Dienstkonto hinzufügen | ||||||
| Dienstkonto bearbeiten | ||||||
| Dienstkonto entfernen | ||||||
| Dienstkonto verwenden | ||||||
| RBAC | ||||||
| Berechtigungen für andere Hauptkonten im Namespace gewähren oder widerrufen | * | |||||
| Zeitpläne | ||||||
| Zeitplan erstellen | ||||||
| Zeitplan ansehen | ||||||
| Zeitplan ändern | ||||||
| Compute-Profile | ||||||
| Compute-Profile erstellen | ||||||
| Compute-Profile ansehen | ||||||
| Compute-Profile bearbeiten | ||||||
| Compute-Profile löschen | ||||||
| Verbindungen | ||||||
| Verbindungen erstellen | ||||||
| Verbindungen ansehen | ||||||
| Verbindungen bearbeiten | ||||||
| Verbindungen löschen | ||||||
| Verbindungen verwenden | ||||||
| Pipelines | ||||||
| Pipelines erstellen | ||||||
| Pipelines ansehen | ||||||
| Pipelines bearbeiten | ||||||
| Pipelines löschen | ||||||
| Pipelines in der Vorschau ansehen | ||||||
| Pipelines implementieren | ||||||
| Pipelines ausführen | ||||||
| Sichere Schlüssel | ||||||
| Sichere Schlüssel erstellen | ||||||
| Sichere Schlüssel ansehen | ||||||
| Sichere Schlüssel löschen | ||||||
| Tags | ||||||
| Tags erstellen | ||||||
| Tags anzeigen | ||||||
| Tags löschen | ||||||
| Cloud Data Fusion Hub | ||||||
| Plug-ins bereitstellen | ||||||
| SCM (Source Control Management) | ||||||
| Repository für die Versionskontrolle konfigurieren | ||||||
| Pipelines aus einem Namespace synchronisieren | ||||||
| Linie | ||||||
| Herkunft ansehen | ||||||
| Mehr über Logs erfahren | ||||||
| Logs ansehen | ||||||
Eine vollständige Liste der Berechtigungen, die in der vordefinierten Rolle von Cloud Data Fusion enthalten sind, finden Sie unter Vordefinierte Cloud Data Fusion-Rollen.
Benutzerdefinierte Rollen für die rollenbasierte Zugriffssteuerung
Einige Anwendungsfälle können nicht mit den vordefinierten Rollen für Cloud Data Fusion implementiert werden. In diesen Fällen sollten Sie eine benutzerdefinierte Rolle erstellen.
Beispiele
In den folgenden Beispielen wird beschrieben, wie Sie benutzerdefinierte Rollen für die RBAC erstellen:
Wenn Sie eine benutzerdefinierte Rolle erstellen möchten, die nur Zugriff auf die sicheren Schlüssel innerhalb eines Namespaces gewährt, erstellen Sie eine benutzerdefinierte Rolle mit den Berechtigungen
datafusion.namespaces.getunddatafusion.secureKeys.*.Wenn Sie eine benutzerdefinierte Rolle mit Lesezugriff auf sichere Schlüssel erstellen möchten, erstellen Sie eine benutzerdefinierte Rolle mit den Berechtigungen
datafusion.namespaces.get,datafusion.secureKeys.getSecretunddatafusion.secureKeys.list.
Berechtigungen für gängige Aktionen
Eine einzelne vordefinierte Berechtigung reicht möglicherweise nicht aus, um die entsprechende Aktion auszuführen. Zum Aktualisieren von Namespace-Eigenschaften benötigen Sie beispielsweise möglicherweise auch die Berechtigung datafusion.namespaces.get. In der folgenden Tabelle werden gängige Aktionen in einer Cloud Data Fusion-Instanz und die erforderlichen IAM-Berechtigungen beschrieben:
| Aktion | Erforderliche Berechtigung |
|---|---|
| Auf eine Instanz zugreifen | datafusion.instances.get |
| Namespace erstellen | datafusion.namespaces.create |
| Namespace abrufen | datafusion.namespaces.get |
| Namespace-Metadaten (z. B. Properties) aktualisieren |
|
| Namespace löschen (nur bei aktiviertem nicht wiederherstellbaren Zurücksetzen) |
|
| Berechtigungen für Namespace aufrufen | datafusion.namespaces.getIamPolicy |
| Berechtigungen für Namespace erteilen | datafusion.namespaces.setIamPolicy |
| Pipelines aus der SCM-Konfiguration des Namespaces abrufen |
|
| Pipelines per Push in das SCM-Repository für den Namespace übertragen |
|
| SCM-Konfiguration des Namespace abrufen | datafusion.namespaces.get |
| SCM-Konfiguration des Namespace aktualisieren | datafusion.namespaces.updateRepositoryMetadata |
| Dienstkonto für einen Namespace festlegen |
|
| Dienstkonto für einen Namespace zurücksetzen |
|
| Anmeldedaten für ein Dienstkonto für einen Namespace bereitstellen | datafusion.namespaces.provisionCredential |
| Pipeline-Entwurf ansehen | datafusion.namespaces.get |
| Pipeline-Entwurf erstellen/löschen |
|
| Compute-Profile auflisten | datafusion.profiles.list |
| Compute-Profil erstellen | datafusion.profiles.create |
| Compute-Profil ansehen | datafusion.profiles.get |
| Compute-Profil bearbeiten | datafusion.profiles.update |
| Compute-Profil löschen | datafusion.profiles.delete |
| Verbindung erstellen |
|
| Verbindung ansehen |
|
| Verbindung bearbeiten |
|
| Verbindung löschen |
|
| Verbindungsspezifikationen ansehen, Beispiele ansehen oder herunterladen |
|
| Pipelines auflisten |
|
| Pipeline erstellen |
|
| Pipeline ansehen |
|
| Pipeline bearbeiten |
|
| Pipeline-Eigenschaften bearbeiten |
|
| Pipeline löschen |
|
| Vorschau-Pipeline | datafusion.pipelines.preview |
| Pipeline ausführen | datafusion.pipelines.execute |
| Zeitplan erstellen | datafusion.pipelines.execute |
| Zeitplan ansehen |
|
| Zeitplan ändern | datafusion.pipelines.execute |
| Sicherheitsschlüssel auflisten |
|
| Sichere Schlüssel erstellen |
|
| Sichere Schlüssel ansehen |
|
| Sichere Schlüssel löschen |
|
| Artefakte auflisten* |
|
| Artefakt erstellen* |
|
| Artefakt abrufen* |
|
| Artefakt löschen* |
|
| Einstellungen, Tags und Metadaten | Einstellungen, Tags und Metadaten werden auf Ressourcenebene für die jeweilige Ressource (datafusion.RESOURCE.update) festgelegt.
|
| Dataset-Berechtigungen (veraltet) | datafusion.namespaces.update |