Halaman ini menjelaskan peran dan izin yang digunakan oleh instance Cloud Data Fusion dengan kontrol akses berbasis peran (RBAC) yang diaktifkan.
Untuk penegakan akses terperinci di level namespace dan yang lebih rendah, gunakan resource dan izin bidang data ini dengan RBAC.
Hierarki resource
Resource Cloud Data Fusion memiliki hierarki resource berikut:
Gambar ini menunjukkan hierarki resource dalam urutan menurun (terluas hingga tersempit): Google Cloud project, lokasi, instance Cloud Data Fusion, dan namespace. Namespace di bawah ini, tanpa urutan, adalah koneksi, kunci aman, pipeline, artefak (seperti plugin, driver, dan aplikasi), dan profil komputasi.
Resource berikut adalah resource data plane Cloud Data Fusion yang Anda kontrol dengan REST API atau di Cloud Data Fusion Studio: namespace, koneksi, kunci aman, pipeline, artefak, dan profil komputasi.
Peran bawaan untuk RBAC
RBAC Cloud Data Fusion mencakup beberapa peran bawaan yang dapat Anda gunakan:
- Peran Akses Instance (
datafusion.accessor) - Memberi akses utama ke instance Cloud Data Fusion, tetapi tidak ke resource apa pun dalam instance. Gunakan peran ini bersama dengan peran khusus namespace lainnya untuk memberikan akses terperinci ke namespace.
- Peran pelihat (
datafusion.viewer) - Memberikan akses ke prinsipal di namespace untuk melihat pipeline, tetapi tidak untuk membuat atau menjalankan pipeline.
- Peran operator (
datafusion.operator) - Memberikan akses ke akun utama di namespace untuk mengakses dan menjalankan pipeline, mengubah profil komputasi, membuat profil komputasi, atau mengupload artefak. Dapat melakukan tindakan yang sama seperti developer, kecuali melihat pratinjau pipeline.
- Peran developer (
datafusion.developer) - Memberikan akses ke prinsipal di namespace untuk membuat dan mengubah resource terbatas, seperti pipeline, dalam namespace.
- Peran Editor (
datafusion.editor) - Memberikan akses penuh kepada prinsipal ke semua resource Cloud Data Fusion dalam namespace di instance Cloud Data Fusion. Peran ini harus diberikan selain peran Instance Accessor kepada akun utama. Dengan peran ini, akun utama dapat membuat, menghapus, dan mengubah resource di namespace.
- Peran Instance Admin (
datafusion.admin) - Memberikan akses ke semua resource dalam instance Cloud Data Fusion. Ditetapkan melalui IAM. Tidak ditetapkan di tingkat namespace melalui RBAC.
| Operasi | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
|---|---|---|---|---|---|---|
| Instance | ||||||
| Mengakses instance | ||||||
| Namespace | ||||||
| Buat namespace | * | |||||
| Mengakses namespace dengan pemberian akses eksplisit | ||||||
| Mengakses namespace tanpa pemberian akses eksplisit | * | |||||
| Edit namespace | ||||||
| Menghapus namespace | ||||||
| Akun layanan namespace | ||||||
| Tambahkan akun layanan | ||||||
| Edit akun layanan | ||||||
| Hapus akun layanan | ||||||
| Menggunakan akun layanan | ||||||
| RBAC | ||||||
| Memberi atau mencabut izin untuk prinsipal lain di namespace | * | |||||
| Jadwal | ||||||
| Buat jadwal | ||||||
| Lihat jadwal | ||||||
| Ubah jadwal | ||||||
| Profil komputasi | ||||||
| Membuat profil komputasi | ||||||
| Melihat profil komputasi | ||||||
| Mengedit profil komputasi | ||||||
| Menghapus profil komputasi | ||||||
| Koneksi | ||||||
| Membuat koneksi | ||||||
| Melihat koneksi | ||||||
| Mengedit koneksi | ||||||
| Menghapus koneksi | ||||||
| Menggunakan koneksi | ||||||
| Ruang kerja Wrangler | ||||||
| Membuat ruang kerja | ||||||
| Melihat ruang kerja | ||||||
| Mengedit ruang kerja | ||||||
| Menghapus ruang kerja | ||||||
| Menggunakan ruang kerja | ||||||
| Pipelines | ||||||
| Membuat pipeline | ||||||
| Melihat pipeline | ||||||
| Mengedit pipeline | ||||||
| Menghapus pipeline | ||||||
| Pipeline pratinjau | ||||||
| Men-deploy pipeline | ||||||
| Menjalankan pipeline | ||||||
| Kunci aman | ||||||
| Membuat kunci yang aman | ||||||
| Melihat kunci aman | ||||||
| Menghapus kunci aman | ||||||
| Tag | ||||||
| Membuat tag | ||||||
| Lihat tag | ||||||
| Menghapus tag | ||||||
| Hub Cloud Data Fusion | ||||||
| Men-deploy plugin | ||||||
| Pengelolaan Kontrol Kode | ||||||
| Mengonfigurasi repositori kontrol sumber | ||||||
| Menyinkronkan pipeline dari namespace | ||||||
| Silsilah | ||||||
| Melihat silsilah | ||||||
| Log | ||||||
| Melihat log | ||||||
Untuk mengetahui daftar lengkap izin yang disertakan dalam peran standar Cloud Data Fusion, lihat Peran standar Cloud Data Fusion.
Peran khusus untuk RBAC
Beberapa kasus penggunaan tidak dapat diterapkan menggunakan peran bawaan untuk Cloud Data Fusion. Dalam hal ini, buat peran khusus.
Contoh
Contoh berikut menjelaskan cara membuat peran khusus untuk RBAC:
Untuk membuat peran khusus yang hanya memberikan akses ke kunci aman dalam namespace, buat peran khusus dengan izin
datafusion.namespaces.getdandatafusion.secureKeys.*.Untuk membuat peran khusus yang memberikan akses hanya baca ke kunci aman, buat peran khusus dengan izin
datafusion.namespaces.get,datafusion.secureKeys.getSecret, dandatafusion.secureKeys.list.
Izin untuk tindakan umum
Satu izin yang telah ditentukan sebelumnya mungkin tidak cukup untuk melakukan
tindakan yang sesuai. Misalnya, untuk memperbarui properti namespace, Anda mungkin juga memerlukan izin datafusion.namespaces.get. Tabel berikut menjelaskan tindakan umum yang dilakukan dalam instance Cloud Data Fusion dan izin IAM yang diperlukan:
| Tindakan | Izin yang diperlukan |
|---|---|
| Mengakses Instance | datafusion.instances.get |
| Buat Namespace | datafusion.namespaces.create |
| Mendapatkan Namespace | datafusion.namespaces.get |
| Memperbarui Metadata Namespace (seperti properti) |
|
| Menghapus Namespace (Hanya jika Setel Ulang yang Tidak Dapat Dipulihkan Diaktifkan) |
|
| Melihat Izin di Namespace | datafusion.namespaces.getIamPolicy |
| Memberikan Izin di Namespace | datafusion.namespaces.setIamPolicy |
| Menarik Pipeline dari Konfigurasi SCM Namespace |
|
| Mendorong Pipeline ke Repositori SCM untuk Namespace |
|
| Mendapatkan Konfigurasi SCM Namespace | datafusion.namespaces.get |
| Memperbarui Konfigurasi SCM Namespace | datafusion.namespaces.updateRepositoryMetadata |
| Menetapkan Akun Layanan untuk Namespace |
|
| Membatalkan Setelan Akun Layanan untuk Namespace |
|
| Menyediakan Kredensial Akun Layanan untuk Namespace | datafusion.namespaces.provisionCredential |
| Melihat Draf Pipeline | datafusion.namespaces.get |
| Membuat/Menghapus Draf Pipeline |
|
| Mencantumkan Profil Compute | datafusion.profiles.list |
| Membuat Profil Komputasi | datafusion.profiles.create |
| Melihat Profil Komputasi | datafusion.profiles.get |
| Mengedit Profil Komputasi | datafusion.profiles.update |
| Menghapus Profil Compute | datafusion.profiles.delete |
| Membuat Koneksi |
|
| Melihat Koneksi |
|
| Mengedit Koneksi |
|
| Menghapus Koneksi |
|
| Menjelajahi, Mencoba, atau Melihat Spesifikasi Koneksi |
|
| Membuat Ruang Kerja Wrangler |
|
| Melihat Ruang Kerja Wrangler |
|
| Mengedit atau mengambil sampel ulang Ruang Kerja Wrangler |
|
| Menghapus Ruang Kerja Wrangler |
|
| Menerapkan serangkaian direktif di Ruang Kerja Wrangler |
|
| Mencantumkan Pipeline |
|
| Membuat Pipeline |
|
| Melihat Pipeline |
|
| Edit Pipeline |
|
| Mengedit Properti Pipeline |
|
| Menghapus Pipeline |
|
| Pipeline Pratinjau | datafusion.pipelines.preview |
| Menjalankan Pipeline | datafusion.pipelines.execute |
| Buat Jadwal | datafusion.pipelines.execute |
| Lihat Jadwal |
|
| Ubah Jadwal | datafusion.pipelines.execute |
| Mencantumkan Kunci Aman |
|
| Membuat Kunci Aman |
|
| Melihat Kunci Aman |
|
| Menghapus Kunci Aman |
|
| Mencantumkan Artefak* |
|
| Buat Artefak* |
|
| Mendapatkan Artefak* |
|
| Menghapus Artefak* |
|
| Preferensi, Tag, dan Metadata | Preferensi, tag, dan metadata ditetapkan di tingkat resource untuk
resource tertentu (datafusion.RESOURCE.update).
|
| Izin Set Data (Tidak digunakan lagi) | datafusion.namespaces.update |
Langkah berikutnya
- Pelajari lebih lanjut RBAC di Cloud Data Fusion.