Papéis e permissões da RBAC

Esta página descreve os papéis e as permissões usados pelas instâncias do Cloud Data Fusion com o controle de acesso baseado em função (RBAC) ativado.

Para a aplicação de acesso detalhada no nível do namespace e abaixo, use esses recursos e permissões do plano de dados com o RBAC.

Hierarquia de recursos

Os recursos do Cloud Data Fusion têm a seguinte hierarquia:

Hierarquia de recursos do projeto do Cloud Data Fusion

Esta figura mostra a hierarquia de recursos em ordem decrescente (do mais amplo ao mais estreito):projeto Google Cloud , local, instância do Cloud Data Fusion e namespaces. Abaixo dos namespaces, sem ordem, estão conexões, chaves seguras, pipelines, artefatos (como plug-ins, drivers e aplicativos) e perfis de computação.

Os recursos a seguir são recursos do plano de dados do Cloud Data Fusion que você controla com a API REST ou no Studio do Cloud Data Fusion: namespaces, conexões, chaves seguras, pipelines, artefatos e perfis de computação.

Papéis predefinidos para o RBAC

O RBAC do Cloud Data Fusion inclui vários papéis predefinidos que podem ser usados:

Papel de acesso à instância (datafusion.accessor)
Concede o acesso principal a uma instância do Cloud Data Fusion, mas não a nenhum recurso dela. Use esse papel em combinação com outros papéis específicos de namespace para fornecer acesso refinado ao namespace.
Papel de leitor (datafusion.viewer)
Concede acesso a um principal em um namespace para visualizar pipelines, mas não para criar ou executar pipelines.
Papel de operador (datafusion.operator)
Concede acesso a um principal em um namespace para acessar e executar pipelines, alterar o perfil de computação, criar perfis de computação ou fazer upload de artefatos. Pode executar as mesmas ações que um desenvolvedor, com exceção da visualização de pipelines.
Papel de desenvolvedor (datafusion.developer)
Concede acesso a um principal em um namespace para criar e modificar recursos limitados, como pipelines, no namespace.
Papel de editor (datafusion.editor)
Concede acesso principal a todos os recursos do Cloud Data Fusion em um namespace em uma instância do Cloud Data Fusion. Esse papel precisa ser concedido além do papel de acessador de instância para o principal. Com essa função, o participante pode criar, excluir e modificar recursos no namespace.
Papel de administrador de instâncias (datafusion.admin)
Concede acesso a todos os recursos em uma instância do Cloud Data Fusion. Atribuído pelo IAM. Não atribuído no nível do namespace pelo RBAC.
Operação datafusion.accessor datafusion.viewer datafusion.operator datafusion.developer datafusion.editor datafusion.admin
Instâncias
Instância de acesso
Namespaces
Criar namespace *
Acesso ao namespace com acesso explícito concedido
Acesso ao namespace sem acesso explícito concedido *
Editar namespace
Excluir namespace
Conta de serviço do namespace
Adicionar conta de serviço
Editar conta de serviço
Remover conta de serviço
Usar a conta de serviço
RBAC
Conceder ou revogar permissões para outros administradores no namespace *
Programações
Criar programação
Ver programação
Mudar a programação
Perfis de computação
Criar perfis de computação
Conferir perfis de computação
Editar perfis de computação
Excluir perfis de computação
Conexões
Criar conexões
Conferir conexões
Editar conexões
Excluir conexões
Usar conexões
Pipelines
Criar pipelines
Conferir pipelines
Editar pipelines
Excluir pipelines
Visualizar pipelines
Implantar canais
Executar pipelines
Chaves seguras
Criar chaves seguras
Conferir chaves seguras
Excluir chaves seguras
Tags
Criar tags
Visualizar tags
Excluir tags
Hub do Cloud Data Fusion
Implantar plug-ins
Gerenciamento de controle de origem
Configurar repositório de controle de origem
Sincronizar pipelines de um namespace
Linhagem
Ver linhagem
Registros
Ver registros

* O principal precisa ter o papel de administrador do IAM do Data Fusion, não o papel de administrador da instância do RBAC.

Para conferir uma lista completa de permissões incluídas no papel predefinido do Cloud Data Fusion, consulte Papéis predefinidos do Cloud Data Fusion.

Papéis personalizados para RBAC

Alguns casos de uso não podem ser implementados usando os papéis predefinidos do Cloud Data Fusion. Nesses casos, crie uma função personalizada.

Examples

Os exemplos a seguir descrevem como criar papéis personalizados para o RBAC:

  • Para criar um papel personalizado que só dá acesso às chaves seguras em um espaço de nomes, crie um papel personalizado com as permissões datafusion.namespaces.get e datafusion.secureKeys.*.

  • Para criar um papel personalizado que ofereça acesso somente leitura a chaves seguras, crie um papel personalizado com as permissões datafusion.namespaces.get, datafusion.secureKeys.getSecret e datafusion.secureKeys.list.

Permissões para ações comuns

Uma única permissão predefinida pode não ser suficiente para realizar a ação correspondente. Por exemplo, para atualizar propriedades de namespace, talvez seja necessário ter a permissão datafusion.namespaces.get. A tabela a seguir descreve as ações comuns realizadas em uma instância do Cloud Data Fusion e as permissões do IAM necessárias:

Ação Permissão necessária
Acessar uma instância datafusion.instances.get
Crie um namespace datafusion.namespaces.create
Acessar um namespace datafusion.namespaces.get
Atualizar metadados do namespace (como propriedades)
  • datafusion.namespaces.get
  • datafusion.namespaces.update
Excluir namespace (somente com redefinição irrecuperável ativada)
  • datafusion.namespaces.get
  • datafusion.namespaces.delete
Mostrar permissões no namespace datafusion.namespaces.getIamPolicy
Conceder permissões no namespace datafusion.namespaces.setIamPolicy
Pipelines de extração da configuração do SCM do namespace
  • datafusion.namespaces.get
  • datafusion.namespaces.readRepository
  • datafusion.pipelines.create
Enviar pipelines para o repositório do SCM para namespace
  • datafusion.namespaces.get
  • datafusion.namespaces.writeRepository
Receber a configuração do SCM do namespace datafusion.namespaces.get
Atualizar a configuração do SCM do namespace datafusion.namespaces.updateRepositoryMetadata
Definir uma conta de serviço para um namespace
  • datafusion.namespaces.get
  • datafusion.namespaces.setServiceAccount
Cancelar a definição de uma conta de serviço para um namespace
  • datafusion.namespaces.get
  • datafusion.namespaces.unsetServiceAccount
Provisionar uma credencial de conta de serviço para um namespace datafusion.namespaces.provisionCredential
Conferir um rascunho de pipeline datafusion.namespaces.get
Criar/excluir um rascunho de pipeline
  • datafusion.namespaces.get
  • datafusion.namespaces.update
Listar perfis de computação datafusion.profiles.list
Criar um perfil de computação datafusion.profiles.create
Conferir um perfil de computação datafusion.profiles.get
Editar um perfil de computação datafusion.profiles.update
Excluir um perfil de computação datafusion.profiles.delete
Criar uma conexão
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.create
Conferir uma conexão
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.get
Editar uma conexão
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.update
Excluir uma conexão
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.delete
Procurar, analisar ou conferir as especificações de conexão
  • datafusion.namespaces.get
  • datafusion.pipelineConnections.use
Listar pipelines
  • datafusion.namespaces.get
  • datafusion.pipelines.list
Criar pipeline
  • datafusion.namespaces.get
  • datafusion.pipelines.create
Ver pipeline
  • datafusion.namespaces.get
  • datafusion.pipelines.get
Editar pipeline
  • datafusion.namespaces.get
  • datafusion.pipelines.create
Editar propriedades do pipeline
  • datafusion.namespaces.get
  • datafusion.pipelines.update
Excluir canal
  • datafusion.namespaces.get
  • datafusion.pipelines.delete
Pipeline de visualização datafusion.pipelines.preview
Executar pipeline datafusion.pipelines.execute
Criar programação datafusion.pipelines.execute
Ver programação
  • datafusion.namespaces.get
  • datafusion.pipelines.get
Mudar a programação datafusion.pipelines.execute
Listar chaves de segurança
  • datafusion.namespaces.get
  • datafusion.secureKeys.list
Criar chaves seguras
  • datafusion.namespaces.get
  • datafusion.secureKeys.update
Conferir chaves seguras
  • datafusion.namespaces.get
  • datafusion.secureKeys.getSecret
Excluir chaves de segurança
  • datafusion.namespaces.get
  • datafusion.secureKeys.delete
Listar artefatos*
  • datafusion.namespaces.get
  • datafusion.artifacts.list
Criar um artefato*
  • datafusion.namespaces.get
  • datafusion.artifacts.create
  • datafusion.artifacts.update
Receber um artefato*
  • datafusion.namespaces.get
  • datafusion.artifacts.get
Excluir um artefato*
  • datafusion.namespaces.get
  • datafusion.artifacts.delete
Preferências, tags e metadados As preferências, tags e metadados são definidos no nível do recurso específico (datafusion.RESOURCE.update).
Permissões do conjunto de dados (descontinuado) datafusion.namespaces.update

* Artefatos, como plug-ins e drivers, são itens que você faz upload no Cloud Data Fusion para desenvolver pipelines.

A seguir

  • Saiba mais sobre o RBAC no Cloud Data Fusion.