Nesta página, descrevemos os papéis e as permissões usados pelo Cloud Data Fusion. instâncias com controle de acesso baseado em funções (RBAC) ativado.
Para aplicar uma restrição de acesso granular no nível do namespace e em níveis inferiores, use estas recursos e permissões do plano de dados com o RBAC.
Hierarquia de recursos
Os recursos do Cloud Data Fusion têm a seguinte hierarquia:
Esta figura mostra a hierarquia de recursos em ordem decrescente (do mais amplo ao mais estreito): projeto do Google Cloud, local, instância do Cloud Data Fusion e namespaces. Abaixo dos namespaces, sem ordem, estão conexões, chaves seguras, pipelines, artefatos (como plug-ins, drivers e aplicativos) e perfis de computação.
Os recursos a seguir são recursos do plano de dados do Cloud Data Fusion que você controla com a API REST ou no Studio do Cloud Data Fusion: namespaces, conexões, chaves seguras, pipelines, artefatos e perfis de computação.
Papéis predefinidos para o RBAC
O RBAC do Cloud Data Fusion inclui vários papéis predefinidos que podem ser usados:
- Papel de acesso à instância (
datafusion.accessor) - Concede o acesso principal a uma instância do Cloud Data Fusion, mas não a nenhum recurso dela. Use este papel em combinação com outros papéis específicos do namespace para dar acesso detalhado a ele.
- Papel de leitor (
datafusion.viewer) - Concede acesso ao principal em um namespace para visualizar pipelines, mas não para criar ou executar pipelines.
- Papel de operador (
datafusion.operator) - Concede acesso ao principal em um namespace para acessar e executar pipelines, alterar o perfil de computação, criar perfis de computação ou fazer upload de artefatos. Pode realizar as mesmas ações que um desenvolvedor, com exceção de de visualização de pipelines.
- Papel de desenvolvedor (
datafusion.developer) - Concede acesso ao principal em um namespace para criar e modificar recursos, como pipelines, no namespace.
- Papel de editor (
datafusion.editor) - Concede acesso principal a todos os recursos do Cloud Data Fusion em um namespace em uma instância do Cloud Data Fusion. Esse papel precisa seja concedido além do papel de Acessador de instâncias ao principal. Com essa função, o participante pode criar, excluir e modificar recursos no namespace.
- Papel de administrador de instâncias (
datafusion.admin) - Concede acesso a todos os recursos em uma instância do Cloud Data Fusion. Atribuído pelo IAM. Não atribuído no nível do namespace pelo RBAC.
| Operação | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
|---|---|---|---|---|---|---|
| Instâncias | ||||||
| Acessar a instância | ||||||
| Namespaces | ||||||
| Criar namespace | * | |||||
| Namespace de acesso com acesso explícito concedido | ||||||
| Namespace de acesso sem acesso explícito concedido | * | |||||
| Editar namespace | ||||||
| Excluir namespace | ||||||
| Conta de serviço do namespace | ||||||
| Adicionar conta de serviço | ||||||
| Editar conta de serviço | ||||||
| Remover conta de serviço | ||||||
| Usar conta de serviço | ||||||
| RBAC | ||||||
| Conceder ou revogar permissões para outros administradores no namespace | * | |||||
| Programações | ||||||
| Criar programação | ||||||
| Ver programação | ||||||
| Mudar programação | ||||||
| Perfis de computação | ||||||
| Criar perfis de computação | ||||||
| Conferir perfis de computação | ||||||
| Editar perfis de computação | ||||||
| Excluir perfis de computação | ||||||
| Conexões | ||||||
| Criar conexões | ||||||
| Conferir conexões | ||||||
| Editar conexões | ||||||
| Excluir conexões | ||||||
| Usar conexões | ||||||
| Pipelines | ||||||
| Criar pipelines | ||||||
| Conferir pipelines | ||||||
| Editar pipelines | ||||||
| Excluir pipelines | ||||||
| Visualizar pipelines | ||||||
| Implantar canais | ||||||
| Executar pipelines | ||||||
| Chaves seguras | ||||||
| Criar chaves seguras | ||||||
| Conferir chaves seguras | ||||||
| Excluir chaves seguras | ||||||
| Tags | ||||||
| Criar tags | ||||||
| Visualizar tags | ||||||
| Excluir tags | ||||||
| Hub do Cloud Data Fusion | ||||||
| Implantar plug-ins | ||||||
| Gerenciamento de controle de origem | ||||||
| Configurar repositório de controle de origem | ||||||
| Sincronizar pipelines de um namespace | ||||||
| Linhagem | ||||||
| Ver linhagem | ||||||
| Registros | ||||||
| Ver registros | ||||||
Para conferir uma lista completa de permissões incluídas no Cloud Data Fusion papel predefinido, consulte Papéis predefinidos do Cloud Data Fusion.
Papéis personalizados para RBAC
Alguns casos de uso não podem ser implementados com os papéis predefinidos do Cloud Data Fusion. Nesses casos, crie uma função personalizada.
Exemplos
Os exemplos a seguir descrevem como criar papéis personalizados para o RBAC:
Para criar um papel personalizado que conceda acesso somente às chaves seguras em um namespace, crie um papel personalizado com
datafusion.namespaces.getedatafusion.secureKeys.*.Para criar um papel personalizado que conceda acesso somente leitura a chaves seguras, crie um papel personalizado com
datafusion.namespaces.get,datafusion.secureKeys.getSecretedatafusion.secureKeys.listpermissões.
Permissões para ações comuns
Uma única permissão predefinida pode não ser suficiente para realizar a
ação correspondente. Por exemplo, para atualizar propriedades de namespace, talvez
seja necessário ter a permissão datafusion.namespaces.get. A tabela a seguir descreve as ações comuns realizadas em uma instância do Cloud Data Fusion e as permissões do IAM necessárias:
| Ação | Permissão necessária |
|---|---|
| Acessar uma instância | datafusion.instances.get |
| Crie um namespace | datafusion.namespaces.create |
| Receber um namespace | datafusion.namespaces.get |
| Atualizar metadados de namespace (como propriedades) |
|
| Excluir namespace (apenas com a redefinição irrecuperável ativada) |
|
| Exibir permissões no namespace | datafusion.namespaces.getIamPolicy |
| Conceder permissões no namespace | datafusion.namespaces.setIamPolicy |
| Pipelines de extração da configuração do SCM do namespace |
|
| Enviar pipelines para o repositório SCM para namespace |
|
| Acessar a configuração do SCM do namespace | datafusion.namespaces.get |
| Atualizar a configuração do SCM do namespace | datafusion.namespaces.updateRepositoryMetadata |
| Definir uma conta de serviço para um namespace |
|
| Cancelar a definição de uma conta de serviço para um namespace |
|
| Provisionar uma credencial de conta de serviço para um namespace | datafusion.namespaces.provisionCredential |
| Ver um rascunho de pipeline | datafusion.namespaces.get |
| Criar/excluir um rascunho de pipeline |
|
| Listar perfis de computação | datafusion.profiles.list |
| Criar um perfil de computação | datafusion.profiles.create |
| Acessar um perfil de computação | datafusion.profiles.get |
| Editar um perfil de computação | datafusion.profiles.update |
| Excluir um perfil de computação | datafusion.profiles.delete |
| Criar uma conexão |
|
| Conferir uma conexão |
|
| Editar uma conexão |
|
| Excluir uma conexão |
|
| Procurar, analisar ou conferir as especificações de conexão |
|
| Listar pipelines | datafusion.namespaces.get |
| Criar pipeline |
|
| Ver pipeline |
|
| Editar pipeline |
|
| Editar propriedades do pipeline |
|
| Excluir canal |
|
| Pipeline de visualização | datafusion.pipelines.preview |
| Executar pipeline | datafusion.pipelines.execute |
| Criar programação | datafusion.pipelines.execute |
| Ver programação |
|
| Alterar programação | datafusion.pipelines.execute |
| Listar chaves de segurança |
|
| Criar chaves seguras |
|
| Mostrar chaves seguras |
|
| Excluir chaves seguras |
|
| Listar artefatos* |
|
| Criar um artefato* |
|
| Receber um artefato* |
|
| Excluir um artefato* |
|
| Preferências, tags e metadados | As preferências, tags e metadados são definidos no nível do recurso específico (datafusion.RESOURCE.update).
|
| Permissões do conjunto de dados (descontinuado) | datafusion.namespaces.update |
A seguir
- Saiba mais sobre o RBAC no Cloud Data Fusion.