Halaman ini menjelaskan peran dan izin yang digunakan oleh instance Cloud Data Fusion dengan kontrol akses berbasis peran (RBAC) aktif.
Untuk penerapan akses terperinci pada tingkat namespace dan yang lebih rendah, gunakan resource dan izin bidang data ini dengan RBAC.
Hierarki resource
Resource Cloud Data Fusion memiliki hierarki resource berikut:
Gambar ini menunjukkan hierarki resource dalam urutan menurun (dari terluas hingga terkecil): project Google Cloud, lokasi, instance Cloud Data Fusion, dan namespace. Di bawah namespace, secara berurutan terdapat koneksi, kunci aman, pipeline, artefak (seperti plugin, driver, dan aplikasi), serta profil komputasi.
Resource berikut adalah resource bidang data Cloud Data Fusion yang Anda kontrol dengan REST API atau di Cloud Data Fusion Studio: namespace, koneksi, kunci aman, pipeline, artefak, dan profil komputasi.
Peran bawaan untuk RBAC
Cloud Data Fusion RBAC mencakup beberapa peran bawaan yang dapat Anda gunakan:
- Peran Akses Instance (
datafusion.accessor) - Memberikan akses utama ke instance Cloud Data Fusion, tetapi tidak ke resource apa pun dalam instance. Gunakan peran ini bersama dengan peran khusus namespace lainnya untuk memberikan akses terperinci ke namespace.
- Peran pelihat (
datafusion.viewer) - Memberikan akses ke akun utama di namespace untuk melihat pipeline, tetapi tidak untuk menulis atau menjalankan pipeline.
- Peran operator (
datafusion.operator) - Memberikan akses ke akun utama pada namespace untuk mengakses dan menjalankan pipeline, mengubah profil komputasi, membuat profil komputasi, atau mengupload artefak. Dapat melakukan tindakan yang sama seperti developer, kecuali pipeline pratinjau.
- Peran developer (
datafusion.developer) - Memberikan akses ke akun utama pada namespace untuk membuat dan mengubah resource terbatas, seperti pipeline, dalam namespace.
- Peran editor (
datafusion.editor) - Memberikan akses penuh kepada prinsipal ke semua resource Cloud Data Fusion berdasarkan namespace dalam instance Cloud Data Fusion. Peran ini harus diberikan selain peran Instance Accessor ke akun utama. Dengan peran ini, akun utama dapat membuat, menghapus, dan mengubah resource di namespace.
- Peran Admin Instance (
datafusion.admin) - Memberikan akses ke semua resource dalam instance Cloud Data Fusion. Ditetapkan melalui IAM. Tidak ditetapkan di level namespace melalui RBAC.
| Operasi | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
|---|---|---|---|---|---|---|
| Instance | ||||||
| Instance akses | ||||||
| Namespace | ||||||
| Buat namespace | * | |||||
| Mengakses namespace yang diberi akses eksplisit | ||||||
| Mengakses namespace tanpa akses eksplisit yang diberikan | * | |||||
| Edit namespace | ||||||
| Menghapus namespace | ||||||
| Akun layanan namespace | ||||||
| Tambahkan akun layanan | ||||||
| Edit akun layanan | ||||||
| Hapus akun layanan | ||||||
| Gunakan akun layanan | ||||||
| RBAC | ||||||
| Memberikan atau mencabut izin untuk akun utama lain di namespace | * | |||||
| Jadwal | ||||||
| Buat jadwal | ||||||
| Lihat jadwal | ||||||
| Ubah jadwal | ||||||
| Profil komputasi | ||||||
| Membuat profil komputasi | ||||||
| Lihat profil komputasi | ||||||
| Mengedit profil komputasi | ||||||
| Menghapus profil komputasi | ||||||
| Koneksi | ||||||
| Membuat koneksi | ||||||
| Melihat koneksi | ||||||
| Edit koneksi | ||||||
| Menghapus koneksi | ||||||
| Gunakan koneksi | ||||||
| Pipelines | ||||||
| Membuat pipeline | ||||||
| Melihat pipeline | ||||||
| Mengedit pipeline | ||||||
| Menghapus pipeline | ||||||
| Pratinjau pipeline | ||||||
| Men-deploy pipeline | ||||||
| Menjalankan pipeline | ||||||
| Mengamankan kunci | ||||||
| Membuat kunci yang aman | ||||||
| Lihat kunci aman | ||||||
| Menghapus kunci aman | ||||||
| Tag | ||||||
| Membuat tag | ||||||
| Melihat tag | ||||||
| Menghapus tag | ||||||
| Cloud Data Fusion Hub | ||||||
| Men-deploy plugin | ||||||
| Pengelolaan Kontrol Sumber | ||||||
| Mengonfigurasi repositori kontrol sumber | ||||||
| Menyinkronkan pipeline dari namespace | ||||||
| Garis keturunan | ||||||
| Lihat silsilah | ||||||
| Log | ||||||
| Lihat log | ||||||
Untuk daftar lengkap izin yang disertakan dalam peran bawaan Cloud Data Fusion, lihat Peran Cloud Data Fusion yang telah ditetapkan.
Peran khusus untuk RBAC
Beberapa kasus penggunaan tidak dapat diterapkan menggunakan peran bawaan untuk Cloud Data Fusion. Dalam kasus ini, buat peran khusus.
Contoh
Contoh berikut menjelaskan cara membuat peran khusus untuk RBAC:
Untuk membuat peran khusus yang hanya memberikan akses ke kunci aman dalam namespace, buat peran khusus dengan izin
datafusion.namespaces.getdandatafusion.secureKeys.*.Untuk membuat peran khusus yang memberikan akses hanya baca ke kunci aman, buat peran khusus dengan izin
datafusion.namespaces.get,datafusion.secureKeys.getSecret, dandatafusion.secureKeys.list.
Izin untuk tindakan umum
Satu izin yang telah ditetapkan mungkin tidak cukup untuk melakukan
tindakan yang sesuai. Misalnya, untuk memperbarui properti namespace, Anda mungkin juga memerlukan izin datafusion.namespaces.get. Tabel berikut menjelaskan tindakan umum yang dilakukan dalam instance Cloud Data Fusion dan izin IAM yang diperlukan:
| Tindakan | Izin yang diperlukan |
|---|---|
| Mengakses Instance | datafusion.instances.get |
| Membuat Namespace | datafusion.namespaces.create |
| Mendapatkan Namespace | datafusion.namespaces.get |
| Memperbarui Metadata Namespace (seperti properti) |
|
| Hapus Namespace (Hanya dengan Reset yang Tidak Dapat Dipulihkan Diaktifkan) |
|
| Melihat Izin di Namespace | datafusion.namespaces.getIamPolicy |
| Memberikan Izin di Namespace | datafusion.namespaces.setIamPolicy |
| Pipeline Menarik dari Konfigurasi SCM Namespace |
|
| Mengirim Pipeline ke Repositori SCM untuk Namespace |
|
| Mendapatkan Konfigurasi SCM Namespace | datafusion.namespaces.get |
| Mengupdate Konfigurasi SCM Namespace | datafusion.namespaces.updateRepositoryMetadata |
| Menetapkan Akun Layanan untuk Namespace |
|
| Membatalkan penetapan Akun Layanan untuk Namespace |
|
| Menyediakan Kredensial Akun Layanan untuk Namespace | datafusion.namespaces.provisionCredential |
| Melihat Draf Pipeline | datafusion.namespaces.get |
| Membuat/Menghapus Draf Pipeline |
|
| Mencantumkan Profil Compute | datafusion.profiles.list |
| Membuat Profil Compute | datafusion.profiles.create |
| Lihat Profil Compute | datafusion.profiles.get |
| Mengedit Profil Compute | datafusion.profiles.update |
| Menghapus Profil Compute | datafusion.profiles.delete |
| Bangun Hubungan |
|
| Melihat Koneksi |
|
| Mengedit Koneksi |
|
| Hapus Koneksi |
|
| Browse, Sample, atau Lihat Spesifikasi Koneksi |
|
| Mencantumkan Pipeline | datafusion.namespaces.get |
| Membuat Pipeline |
|
| Melihat Pipeline |
|
| Edit Pipeline |
|
| Mengedit Properti Pipeline |
|
| Menghapus Pipeline |
|
| Pipeline Pratinjau | datafusion.pipelines.preview |
| Menjalankan Pipeline | datafusion.pipelines.execute |
| Buat Jadwal | datafusion.pipelines.execute |
| Lihat Jadwal |
|
| Ubah Jadwal | datafusion.pipelines.execute |
| Mencantumkan Kunci Aman |
|
| Membuat Kunci Aman |
|
| Lihat Kunci Aman |
|
| Hapus Kunci Aman |
|
| Membuat Daftar Artefak* |
|
| Buat Artefak* |
|
| Dapatkan Artefak* |
|
| Menghapus Artefak* |
|
| Preferensi, Tag, dan Metadata | Preferensi, tag, dan metadata ditetapkan pada level resource untuk resource tertentu (datafusion.RESOURCE.update).
|
| Izin Set Data (Tidak digunakan lagi) | datafusion.namespaces.update |
Langkah selanjutnya
- Pelajari RBAC lebih lanjut di Cloud Data Fusion.