Peran dan izin RBAC

Halaman ini menjelaskan peran dan izin yang digunakan oleh instance Cloud Data Fusion dengan kontrol akses berbasis peran (RBAC) yang diaktifkan.

Untuk penegakan akses terperinci di level namespace dan yang lebih rendah, gunakan resource dan izin bidang data ini dengan RBAC.

Hierarki resource

Resource Cloud Data Fusion memiliki hierarki resource berikut:

Hierarki resource project Cloud Data Fusion

Gambar ini menunjukkan hierarki resource dalam urutan menurun (terluas hingga tersempit): Google Cloud project, lokasi, instance Cloud Data Fusion, dan namespace. Namespace di bawah ini, tanpa urutan, adalah koneksi, kunci aman, pipeline, artefak (seperti plugin, driver, dan aplikasi), dan profil komputasi.

Resource berikut adalah resource data plane Cloud Data Fusion yang Anda kontrol dengan REST API atau di Cloud Data Fusion Studio: namespace, koneksi, kunci aman, pipeline, artefak, dan profil komputasi.

Peran bawaan untuk RBAC

RBAC Cloud Data Fusion mencakup beberapa peran bawaan yang dapat Anda gunakan:

Peran Akses Instance (datafusion.accessor)
Memberi akses utama ke instance Cloud Data Fusion, tetapi tidak ke resource apa pun dalam instance. Gunakan peran ini bersama dengan peran khusus namespace lainnya untuk memberikan akses terperinci ke namespace.
Peran pelihat (datafusion.viewer)
Memberikan akses ke prinsipal di namespace untuk melihat pipeline, tetapi tidak untuk membuat atau menjalankan pipeline.
Peran operator (datafusion.operator)
Memberikan akses ke akun utama di namespace untuk mengakses dan menjalankan pipeline, mengubah profil komputasi, membuat profil komputasi, atau mengupload artefak. Dapat melakukan tindakan yang sama seperti developer, kecuali melihat pratinjau pipeline.
Peran developer (datafusion.developer)
Memberikan akses ke prinsipal di namespace untuk membuat dan mengubah resource terbatas, seperti pipeline, dalam namespace.
Peran Editor (datafusion.editor)
Memberikan akses penuh kepada prinsipal ke semua resource Cloud Data Fusion dalam namespace di instance Cloud Data Fusion. Peran ini harus diberikan selain peran Instance Accessor kepada akun utama. Dengan peran ini, akun utama dapat membuat, menghapus, dan mengubah resource di namespace.
Peran Instance Admin (datafusion.admin)
Memberikan akses ke semua resource dalam instance Cloud Data Fusion. Ditetapkan melalui IAM. Tidak ditetapkan di tingkat namespace melalui RBAC.
Operasi datafusion.accessor datafusion.viewer datafusion.operator datafusion.developer datafusion.editor datafusion.admin
Instance
Mengakses instance
Namespace
Buat namespace *
Mengakses namespace dengan pemberian akses eksplisit
Mengakses namespace tanpa pemberian akses eksplisit *
Edit namespace
Menghapus namespace
Akun layanan namespace
Tambahkan akun layanan
Edit akun layanan
Hapus akun layanan
Menggunakan akun layanan
RBAC
Memberi atau mencabut izin untuk prinsipal lain di namespace *
Jadwal
Buat jadwal
Lihat jadwal
Ubah jadwal
Profil komputasi
Membuat profil komputasi
Melihat profil komputasi
Mengedit profil komputasi
Menghapus profil komputasi
Koneksi
Membuat koneksi
Melihat koneksi
Mengedit koneksi
Menghapus koneksi
Menggunakan koneksi
Ruang kerja Wrangler
Membuat ruang kerja
Melihat ruang kerja
Mengedit ruang kerja
Menghapus ruang kerja
Menggunakan ruang kerja
Pipelines
Membuat pipeline
Melihat pipeline
Mengedit pipeline
Menghapus pipeline
Pipeline pratinjau
Men-deploy pipeline
Menjalankan pipeline
Kunci aman
Membuat kunci yang aman
Melihat kunci aman
Menghapus kunci aman
Tag
Membuat tag
Lihat tag
Menghapus tag
Hub Cloud Data Fusion
Men-deploy plugin
Pengelolaan Kontrol Kode
Mengonfigurasi repositori kontrol sumber
Menyinkronkan pipeline dari namespace
Silsilah
Melihat silsilah
Log
Melihat log

* Akun utama harus memiliki peran IAM Data Fusion Admin, bukan peran RBAC Instance Admin.

Untuk mengetahui daftar lengkap izin yang disertakan dalam peran standar Cloud Data Fusion, lihat Peran standar Cloud Data Fusion.

Peran khusus untuk RBAC

Beberapa kasus penggunaan tidak dapat diterapkan menggunakan peran bawaan untuk Cloud Data Fusion. Dalam hal ini, buat peran khusus.

Contoh

Contoh berikut menjelaskan cara membuat peran khusus untuk RBAC:

  • Untuk membuat peran khusus yang hanya memberikan akses ke kunci aman dalam namespace, buat peran khusus dengan izin datafusion.namespaces.get dan datafusion.secureKeys.*.

  • Untuk membuat peran khusus yang memberikan akses hanya baca ke kunci aman, buat peran khusus dengan izin datafusion.namespaces.get, datafusion.secureKeys.getSecret, dan datafusion.secureKeys.list.

Izin untuk tindakan umum

Satu izin yang telah ditentukan sebelumnya mungkin tidak cukup untuk melakukan tindakan yang sesuai. Misalnya, untuk memperbarui properti namespace, Anda mungkin juga memerlukan izin datafusion.namespaces.get. Tabel berikut menjelaskan tindakan umum yang dilakukan dalam instance Cloud Data Fusion dan izin IAM yang diperlukan:

Tindakan Izin yang diperlukan
Mengakses Instance datafusion.instances.get
Buat Namespace datafusion.namespaces.create
Mendapatkan Namespace datafusion.namespaces.get
Memperbarui Metadata Namespace (seperti properti)
  • datafusion.namespaces.get
  • datafusion.namespaces.update
Menghapus Namespace (Hanya jika Setel Ulang yang Tidak Dapat Dipulihkan Diaktifkan)
  • datafusion.namespaces.get
  • datafusion.namespaces.delete
Melihat Izin di Namespace datafusion.namespaces.getIamPolicy
Memberikan Izin di Namespace datafusion.namespaces.setIamPolicy
Menarik Pipeline dari Konfigurasi SCM Namespace
  • datafusion.namespaces.get
  • datafusion.namespaces.readRepository
  • datafusion.pipelines.create
Mendorong Pipeline ke Repositori SCM untuk Namespace
  • datafusion.namespaces.get
  • datafusion.namespaces.writeRepository
Mendapatkan Konfigurasi SCM Namespace datafusion.namespaces.get
Memperbarui Konfigurasi SCM Namespace datafusion.namespaces.updateRepositoryMetadata
Menetapkan Akun Layanan untuk Namespace
  • datafusion.namespaces.get
  • datafusion.namespaces.setServiceAccount
Membatalkan Setelan Akun Layanan untuk Namespace
  • datafusion.namespaces.get
  • datafusion.namespaces.unsetServiceAccount
Menyediakan Kredensial Akun Layanan untuk Namespace datafusion.namespaces.provisionCredential
Melihat Draf Pipeline datafusion.namespaces.get
Membuat/Menghapus Draf Pipeline
  • datafusion.namespaces.get
  • datafusion.namespaces.update
Mencantumkan Profil Compute datafusion.profiles.list
Membuat Profil Komputasi datafusion.profiles.create
Melihat Profil Komputasi datafusion.profiles.get
Mengedit Profil Komputasi datafusion.profiles.update
Menghapus Profil Compute datafusion.profiles.delete
Membuat Koneksi
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.create
Melihat Koneksi
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.get
Mengedit Koneksi
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.update
Menghapus Koneksi
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.delete
Menjelajahi, Mencoba, atau Melihat Spesifikasi Koneksi
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.use
Membuat Ruang Kerja Wrangler
  • datafusion.namespaces.get
  • datafusion.wranglerWorkspaces.create
Melihat Ruang Kerja Wrangler
  • datafusion.namespaces.get
  • datafusion.wranglerWorkspaces.get
Mengedit atau mengambil sampel ulang Ruang Kerja Wrangler
  • datafusion.namespaces.get
  • datafusion.wranglerWorkspaces.update
Menghapus Ruang Kerja Wrangler
  • datafusion.namespaces.get
  • datafusion.wranglerWorkspaces.delete
Menerapkan serangkaian direktif di Ruang Kerja Wrangler
  • datafusion.namespaces.get
  • datafusion.wranglerWorkspaces.use
Mencantumkan Pipeline
  • datafusion.namespaces.get
  • datafusion.pipelines.list
Membuat Pipeline
  • datafusion.namespaces.get
  • datafusion.pipelines.create
Melihat Pipeline
  • datafusion.namespaces.get
  • datafusion.pipelines.get
Edit Pipeline
  • datafusion.namespaces.get
  • datafusion.pipelines.create
Mengedit Properti Pipeline
  • datafusion.namespaces.get
  • datafusion.pipelines.update
Menghapus Pipeline
  • datafusion.namespaces.get
  • datafusion.pipelines.delete
Pipeline Pratinjau datafusion.pipelines.preview
Menjalankan Pipeline datafusion.pipelines.execute
Buat Jadwal datafusion.pipelines.execute
Lihat Jadwal
  • datafusion.namespaces.get
  • datafusion.pipelines.get
Ubah Jadwal datafusion.pipelines.execute
Mencantumkan Kunci Aman
  • datafusion.namespaces.get
  • datafusion.secureKeys.list
Membuat Kunci Aman
  • datafusion.namespaces.get
  • datafusion.secureKeys.update
Melihat Kunci Aman
  • datafusion.namespaces.get
  • datafusion.secureKeys.getSecret
Menghapus Kunci Aman
  • datafusion.namespaces.get
  • datafusion.secureKeys.delete
Mencantumkan Artefak*
  • datafusion.namespaces.get
  • datafusion.artifacts.list
Buat Artefak*
  • datafusion.namespaces.get
  • datafusion.artifacts.create
  • datafusion.artifacts.update
Mendapatkan Artefak*
  • datafusion.namespaces.get
  • datafusion.artifacts.get
Menghapus Artefak*
  • datafusion.namespaces.get
  • datafusion.artifacts.delete
Preferensi, Tag, dan Metadata Preferensi, tag, dan metadata ditetapkan di tingkat resource untuk resource tertentu (datafusion.RESOURCE.update).
Izin Set Data (Tidak digunakan lagi) datafusion.namespaces.update

* Artefak, seperti plugin dan driver, adalah item yang Anda upload di Cloud Data Fusion untuk mengembangkan pipeline.

Langkah berikutnya

  • Pelajari lebih lanjut RBAC di Cloud Data Fusion.