Nesta página, descrevemos os papéis e as permissões usados pelas instâncias do Cloud Data Fusion com o controle de acesso baseado em papéis (RBAC, na sigla em inglês) ativado.
Para aplicação de acesso refinado no nível do namespace e em níveis inferiores, use estes recursos e permissões do plano de dados com o RBAC.
Hierarquia de recursos
Os recursos do Cloud Data Fusion têm a seguinte hierarquia de recursos:
Esta figura mostra a hierarquia de recursos em ordem decrescente (do mais amplo ao mais restrito): projeto do Google Cloud, local, instância do Cloud Data Fusion e namespaces. Abaixo dos namespaces, em nenhuma ordem, estão conexões, chaves seguras, pipelines, artefatos (como plug-ins, drivers e aplicativos) e perfis de computação.
Os recursos a seguir são recursos do plano de dados do Cloud Data Fusion que você controla com a API REST ou no Studio do Cloud Data Fusion: namespaces, conexões, chaves seguras, pipelines, artefatos e perfis de computação.
Papéis predefinidos para o RBAC
O RBAC do Cloud Data Fusion inclui vários papéis predefinidos que podem ser usados:
- Papel de acesso à instância (
datafusion.accessor) - Concede o acesso principal a uma instância do Cloud Data Fusion, mas não a nenhum recurso dentro dela. Use esse papel em combinação com outros papéis específicos do namespace para fornecer acesso detalhado ao namespace.
- Papel de leitor (
datafusion.viewer) - Concede acesso ao principal em um namespace para visualizar pipelines, mas não para criar ou executar pipelines.
- Papel de operador (
datafusion.operator) - Concede acesso ao principal em um namespace para acessar e executar pipelines, alterar o perfil de computação, criar perfis de computação ou fazer upload de artefatos. Pode realizar as mesmas ações que um desenvolvedor, exceto visualizar pipelines.
- Papel de desenvolvedor (
datafusion.developer) - Concede acesso ao principal em um namespace para criar e modificar recursos limitados, como pipelines, no namespace.
- Papel de editor (
datafusion.editor) - Concede o acesso total principal a todos os recursos do Cloud Data Fusion em um namespace dentro de uma instância do Cloud Data Fusion. Esse papel precisa ser concedido além do papel de acessador da instância ao principal. Com esse papel, o principal pode criar, excluir e modificar recursos no namespace.
- Papel de administrador de instâncias (
datafusion.admin) - Concede acesso a todos os recursos em uma instância do Cloud Data Fusion. Atribuído pelo IAM. Não atribuído no nível do namespace pelo RBAC.
| Operação | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
|---|---|---|---|---|---|---|
| Instâncias | ||||||
| Acessar instância | ||||||
| Namespaces | ||||||
| Criar namespace | * | |||||
| Namespace de acesso com acesso explícito concedido | ||||||
| Namespace de acesso sem acesso explícito concedido | * | |||||
| Editar namespace | ||||||
| Excluir namespace | ||||||
| Conta de serviço do namespace | ||||||
| Adicionar conta de serviço | ||||||
| Editar conta de serviço | ||||||
| Remover conta de serviço | ||||||
| Usar conta de serviço | ||||||
| RBAC | ||||||
| Conceder ou revogar permissões para outros principais no namespace | * | |||||
| Programações | ||||||
| Criar programação | ||||||
| Acessar programação | ||||||
| Mudar programação | ||||||
| Perfis de computação | ||||||
| Criar perfis de computação | ||||||
| Mostrar perfis de computação | ||||||
| Editar perfis de computação | ||||||
| Excluir perfis de computação | ||||||
| Conexões | ||||||
| Criar conexões | ||||||
| Conferir conexões | ||||||
| Editar conexões | ||||||
| Excluir conexões | ||||||
| Usar conexões | ||||||
| Pipelines | ||||||
| Criar pipelines | ||||||
| Ver pipelines | ||||||
| Editar pipelines | ||||||
| Excluir pipelines | ||||||
| Visualizar pipelines | ||||||
| Implantar canais | ||||||
| Executar pipelines | ||||||
| Chaves seguras | ||||||
| Criar chaves seguras | ||||||
| Ver chaves seguras | ||||||
| Excluir chaves seguras | ||||||
| Tags | ||||||
| Criar tags | ||||||
| Visualizar tags | ||||||
| Excluir tags | ||||||
| Hub do Cloud Data Fusion | ||||||
| Implantar plug-ins | ||||||
| Gerenciamento de controle de origem | ||||||
| Configurar o repositório de controle de origem | ||||||
| Sincronizar pipelines de um namespace | ||||||
| Linhagem | ||||||
| Ver linhagem | ||||||
| Registros | ||||||
| ver registros | ||||||
Para uma lista completa de permissões incluídas no papel predefinido do Cloud Data Fusion, consulte Papéis predefinidos do Cloud Data Fusion.
Papéis personalizados para RBAC
Alguns casos de uso não podem ser implementados com os papéis predefinidos do Cloud Data Fusion. Nesses casos, crie um papel personalizado.
Examples
Os exemplos a seguir descrevem como criar papéis personalizados para o RBAC:
Para criar um papel personalizado que conceda acesso apenas às chaves seguras em um namespace, crie um papel personalizado com as permissões
datafusion.namespaces.getedatafusion.secureKeys.*.Para criar um papel personalizado que conceda acesso somente leitura a chaves seguras, crie um papel personalizado com as permissões
datafusion.namespaces.get,datafusion.secureKeys.getSecretedatafusion.secureKeys.list.
Permissões para ações comuns
Uma única permissão predefinida pode não ser suficiente para executar a
ação correspondente. Por exemplo, para atualizar as propriedades do namespace, talvez
você também precise da permissão datafusion.namespaces.get. Na tabela a seguir, descrevemos as ações comuns realizadas em uma instância do Cloud Data Fusion e as permissões necessárias do IAM:
| Ação | Permissão necessária |
|---|---|
| Acessar uma instância | datafusion.instances.get |
| Crie um namespace | datafusion.namespaces.create |
| Receber um namespace | datafusion.namespaces.get |
| Atualizar metadados de namespace (como propriedades) |
|
| Excluir namespace (apenas com a redefinição irrecuperável ativada) |
|
| Exibir permissões no namespace | datafusion.namespaces.getIamPolicy |
| Conceder permissões no namespace | datafusion.namespaces.setIamPolicy |
| Pipelines de pull da configuração do SCM de namespace |
|
| Enviar pipelines para o repositório SCM para namespace |
|
| Acessar configuração do SCM do namespace | datafusion.namespaces.get |
| Atualizar configuração do SCM de namespace | datafusion.namespaces.updateRepositoryMetadata |
| Definir uma conta de serviço para um namespace |
|
| Cancelar a definição de uma conta de serviço para um namespace |
|
| Provisionar uma credencial de conta de serviço para um namespace | datafusion.namespaces.provisionCredential |
| Ver um rascunho de pipeline | datafusion.namespaces.get |
| Criar/excluir um rascunho de pipeline |
|
| Listar perfis de computação | datafusion.profiles.list |
| Criar um perfil de computação | datafusion.profiles.create |
| Acessar um perfil de computação | datafusion.profiles.get |
| Editar um perfil de computação | datafusion.profiles.update |
| Excluir um perfil de computação | datafusion.profiles.delete |
| Crie uma conexão |
|
| Conferir uma conexão |
|
| Editar uma conexão |
|
| Excluir uma conexão |
|
| Procure, teste ou visualize especificações de conexão |
|
| Listar pipelines | datafusion.namespaces.get |
| Criar pipeline |
|
| Ver pipeline |
|
| Editar pipeline |
|
| Editar propriedades do pipeline |
|
| Excluir pipeline |
|
| Visualizar pipeline | datafusion.pipelines.preview |
| Executar pipeline | datafusion.pipelines.execute |
| Criar programação | datafusion.pipelines.execute |
| Ver programação |
|
| Alterar programação | datafusion.pipelines.execute |
| Listar chaves seguras |
|
| Criar chaves seguras |
|
| Mostrar chaves seguras |
|
| Excluir chaves seguras |
|
| Listar artefatos* |
|
| Criar um artefato* |
|
| Receber um artefato* |
|
| Excluir um artefato* |
|
| Preferências, tags e metadados | Preferências, tags e metadados são definidos no nível do recurso para o
recurso específico (datafusion.RESOURCE.update).
|
| Permissões do conjunto de dados (descontinuado) | datafusion.namespaces.update |
A seguir
- Saiba mais sobre RBAC no Cloud Data Fusion.