Esta página descreve os papéis e as permissões usados pelas instâncias do Cloud Data Fusion com o controle de acesso baseado em função (RBAC) ativado.
Para a aplicação de acesso detalhada no nível do namespace e abaixo, use esses recursos e permissões do plano de dados com o RBAC.
Hierarquia de recursos
Os recursos do Cloud Data Fusion têm a seguinte hierarquia:
Esta figura mostra a hierarquia de recursos em ordem decrescente (do mais amplo ao mais estreito):projeto Google Cloud , local, instância do Cloud Data Fusion e namespaces. Abaixo dos namespaces, sem ordem, estão conexões, chaves seguras, pipelines, artefatos (como plug-ins, drivers e aplicativos) e perfis de computação.
Os recursos a seguir são recursos do plano de dados do Cloud Data Fusion que você controla com a API REST ou no Studio do Cloud Data Fusion: namespaces, conexões, chaves seguras, pipelines, artefatos e perfis de computação.
Papéis predefinidos para o RBAC
O RBAC do Cloud Data Fusion inclui vários papéis predefinidos que podem ser usados:
- Papel de acesso à instância (
datafusion.accessor) - Concede o acesso principal a uma instância do Cloud Data Fusion, mas não a nenhum recurso dela. Use esse papel em combinação com outros papéis específicos de namespace para fornecer acesso refinado ao namespace.
- Papel de leitor (
datafusion.viewer) - Concede acesso a um principal em um namespace para visualizar pipelines, mas não para criar ou executar pipelines.
- Papel de operador (
datafusion.operator) - Concede acesso a um principal em um namespace para acessar e executar pipelines, alterar o perfil de computação, criar perfis de computação ou fazer upload de artefatos. Pode executar as mesmas ações que um desenvolvedor, com exceção da visualização de pipelines.
- Papel de desenvolvedor (
datafusion.developer) - Concede acesso a um principal em um namespace para criar e modificar recursos limitados, como pipelines, no namespace.
- Papel de editor (
datafusion.editor) - Concede acesso principal a todos os recursos do Cloud Data Fusion em um namespace em uma instância do Cloud Data Fusion. Esse papel precisa ser concedido além do papel de acessador de instância para o principal. Com essa função, o participante pode criar, excluir e modificar recursos no namespace.
- Papel de administrador de instâncias (
datafusion.admin) - Concede acesso a todos os recursos em uma instância do Cloud Data Fusion. Atribuído pelo IAM. Não atribuído no nível do namespace pelo RBAC.
| Operação | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
|---|---|---|---|---|---|---|
| Instâncias | ||||||
| Instância de acesso | ||||||
| Namespaces | ||||||
| Criar namespace | * | |||||
| Acesso ao namespace com acesso explícito concedido | ||||||
| Acesso ao namespace sem acesso explícito concedido | * | |||||
| Editar namespace | ||||||
| Excluir namespace | ||||||
| Conta de serviço do namespace | ||||||
| Adicionar conta de serviço | ||||||
| Editar conta de serviço | ||||||
| Remover conta de serviço | ||||||
| Usar a conta de serviço | ||||||
| RBAC | ||||||
| Conceder ou revogar permissões para outros administradores no namespace | * | |||||
| Programações | ||||||
| Criar programação | ||||||
| Ver programação | ||||||
| Mudar a programação | ||||||
| Perfis de computação | ||||||
| Criar perfis de computação | ||||||
| Conferir perfis de computação | ||||||
| Editar perfis de computação | ||||||
| Excluir perfis de computação | ||||||
| Conexões | ||||||
| Criar conexões | ||||||
| Conferir conexões | ||||||
| Editar conexões | ||||||
| Excluir conexões | ||||||
| Usar conexões | ||||||
| Pipelines | ||||||
| Criar pipelines | ||||||
| Conferir pipelines | ||||||
| Editar pipelines | ||||||
| Excluir pipelines | ||||||
| Visualizar pipelines | ||||||
| Implantar canais | ||||||
| Executar pipelines | ||||||
| Chaves seguras | ||||||
| Criar chaves seguras | ||||||
| Conferir chaves seguras | ||||||
| Excluir chaves seguras | ||||||
| Tags | ||||||
| Criar tags | ||||||
| Visualizar tags | ||||||
| Excluir tags | ||||||
| Hub do Cloud Data Fusion | ||||||
| Implantar plug-ins | ||||||
| Gerenciamento de controle de origem | ||||||
| Configurar repositório de controle de origem | ||||||
| Sincronizar pipelines de um namespace | ||||||
| Linhagem | ||||||
| Ver linhagem | ||||||
| Registros | ||||||
| Ver registros | ||||||
Para conferir uma lista completa de permissões incluídas no papel predefinido do Cloud Data Fusion, consulte Papéis predefinidos do Cloud Data Fusion.
Papéis personalizados para RBAC
Alguns casos de uso não podem ser implementados usando os papéis predefinidos do Cloud Data Fusion. Nesses casos, crie uma função personalizada.
Examples
Os exemplos a seguir descrevem como criar papéis personalizados para o RBAC:
Para criar um papel personalizado que só dá acesso às chaves seguras em um espaço de nomes, crie um papel personalizado com as permissões
datafusion.namespaces.getedatafusion.secureKeys.*.Para criar um papel personalizado que ofereça acesso somente leitura a chaves seguras, crie um papel personalizado com as permissões
datafusion.namespaces.get,datafusion.secureKeys.getSecretedatafusion.secureKeys.list.
Permissões para ações comuns
Uma única permissão predefinida pode não ser suficiente para realizar a
ação correspondente. Por exemplo, para atualizar propriedades de namespace, talvez
seja necessário ter a permissão datafusion.namespaces.get. A tabela a seguir descreve as ações comuns realizadas em uma instância do Cloud Data Fusion e as permissões do IAM necessárias:
| Ação | Permissão necessária |
|---|---|
| Acessar uma instância | datafusion.instances.get |
| Crie um namespace | datafusion.namespaces.create |
| Acessar um namespace | datafusion.namespaces.get |
| Atualizar metadados do namespace (como propriedades) |
|
| Excluir namespace (somente com redefinição irrecuperável ativada) |
|
| Mostrar permissões no namespace | datafusion.namespaces.getIamPolicy |
| Conceder permissões no namespace | datafusion.namespaces.setIamPolicy |
| Pipelines de extração da configuração do SCM do namespace |
|
| Enviar pipelines para o repositório do SCM para namespace |
|
| Receber a configuração do SCM do namespace | datafusion.namespaces.get |
| Atualizar a configuração do SCM do namespace | datafusion.namespaces.updateRepositoryMetadata |
| Definir uma conta de serviço para um namespace |
|
| Cancelar a definição de uma conta de serviço para um namespace |
|
| Provisionar uma credencial de conta de serviço para um namespace | datafusion.namespaces.provisionCredential |
| Conferir um rascunho de pipeline | datafusion.namespaces.get |
| Criar/excluir um rascunho de pipeline |
|
| Listar perfis de computação | datafusion.profiles.list |
| Criar um perfil de computação | datafusion.profiles.create |
| Conferir um perfil de computação | datafusion.profiles.get |
| Editar um perfil de computação | datafusion.profiles.update |
| Excluir um perfil de computação | datafusion.profiles.delete |
| Criar uma conexão |
|
| Conferir uma conexão |
|
| Editar uma conexão |
|
| Excluir uma conexão |
|
| Procurar, analisar ou conferir as especificações de conexão |
|
| Listar pipelines |
|
| Criar pipeline |
|
| Ver pipeline |
|
| Editar pipeline |
|
| Editar propriedades do pipeline |
|
| Excluir canal |
|
| Pipeline de visualização | datafusion.pipelines.preview |
| Executar pipeline | datafusion.pipelines.execute |
| Criar programação | datafusion.pipelines.execute |
| Ver programação |
|
| Mudar a programação | datafusion.pipelines.execute |
| Listar chaves de segurança |
|
| Criar chaves seguras |
|
| Conferir chaves seguras |
|
| Excluir chaves de segurança |
|
| Listar artefatos* |
|
| Criar um artefato* |
|
| Receber um artefato* |
|
| Excluir um artefato* |
|
| Preferências, tags e metadados | As preferências, tags e metadados são definidos no nível do recurso específico (datafusion.RESOURCE.update).
|
| Permissões do conjunto de dados (descontinuado) | datafusion.namespaces.update |
A seguir
- Saiba mais sobre o RBAC no Cloud Data Fusion.