Cette page décrit les autorisations précises avec le contrôle des accès basé sur les rôles (RBAC), qui est disponible dans Cloud Data Fusion 6.5 et versions ultérieures.
RBAC restreint l'accès dans les environnements dans lesquels vous développez dans Cloud Data Fusion. Le RBAC vous aide à gérer qui a accès aux ressources Cloud Data Fusion, ce qu'il peut faire avec ces les ressources et les zones (telles que les instances ou les espaces de noms) auxquelles elles peuvent accéder. Cloud Data Fusion RBAC est un système d'autorisation qui fournit des API la gestion des accès basée sur Identity and Access Management (IAM).
Quand utiliser RBAC
Le contrôle des accès basé sur les rôles assure une isolation au niveau de l'espace de noms au sein d'une Instance Cloud Data Fusion. Elle est recommandée pour les cas d'utilisation suivants:
- Aider à réduire le nombre d'instances utilisées par votre organisation.
- Disposer de plusieurs développeurs, équipes ou unités commerciales utilise une seule instance Cloud Data Fusion.
Grâce à Cloud Data Fusion RBAC, les organisations peuvent :
- Autoriser un utilisateur à exécuter un pipeline uniquement dans un espace de noms, mais pas à le modifier des artefacts ou des profils de calcul d'exécution.
- Autoriser un utilisateur à uniquement consulter le pipeline, sans pouvoir modifier ni exécuter un pipeline.
- Autorisez un utilisateur à créer, déployer et exécuter un pipeline.
Recommandé:Même lorsque vous utilisez RBAC, pour maintenir l'isolation, de sécurité et de stabilité des performances, utilisez des des projets et des instances pour les environnements de développement et de production.
Limites
- Un utilisateur peut se voir attribuer un ou plusieurs rôles au niveau de l'instance ou de l'espace de noms.
- Le contrôle RBAC n'est disponible que dans l'édition Cloud Data Fusion Enterprise.
- Nombre d'espaces de noms: aucune limite stricte sur le nombre d'espaces de noms par Compute Engine.
- Pour connaître le nombre maximal d'utilisateurs simultanés dans une instance pour laquelle RBAC est activé, consultez Tarifs :
- Rôles personnalisés: la création de rôles RBAC personnalisés n'est pas disponible.
- Cloud Data Fusion RBAC ne permet pas l'autorisation sur Gestion des connexions.
- En cas d'utilisation de jetons d'accès OAuth de compte de service pour accéder à la version 6.5
les instances pour lesquelles RBAC est activé, les champs d'application suivants doivent être spécifiés, en particulier
le champ d'application
userinfo.email. Sans eux, vous rencontrerez une autorisation les erreurs de refus.https://www.googleapis.com/auth/userinfo.emailhttps://www.googleapis.com/auth/cloud-platformouhttps://www.googleapis.com/auth/servicecontrol
Attributions de rôles
Une attribution de rôle se compose de trois éléments : le compte principal, la définition du rôle et le champ d'application.
Compte principal
A principal (anciennement "membre") peut être un compte Google (pour les utilisateurs finaux), un service (pour les applications et les machines virtuelles) ou à un groupe Google qui demande l'accès aux ressources Cloud Data Fusion. Vous pouvez attribuer un rôle à l'un de ces comptes principaux.
Définition du rôle
Un rôle contient un ensemble d'autorisations qui vous permet d'effectuer des actions spécifiques sur les ressources Google Cloud.
Cloud Data Fusion propose plusieurs rôles prédéfinis que vous pouvez utiliser.
Exemples :
- Le rôle Administrateur d'instance (
datafusion.admin) permet aux comptes principaux de créer et de supprimer des espaces de noms, et d'accorder des autorisations. - Le rôle Développeur (
datafusion.developer) permet aux comptes principaux de créer et supprimer ou déployer des pipelines et exécuter des aperçus.
Champ d'application
Le champ d'application correspond à l'ensemble des ressources auxquelles l'accès s'applique. Lorsque vous attribuez un rôle, vous pouvez restreindre davantage les actions autorisées en définissant un champ d'application (par exemple, une instance ou un espace de noms). Cela est utile si vous souhaitez attribuer le rôle Développeur, mais pour un seul espace de noms.
Recommandations pour améliorer la sécurité
Il peut être difficile d'adopter un modèle de sécurité et de l'adapter aux besoins et aux exigences de votre entreprise. Les recommandations suivantes ont pour but de vous aider à simplifier votre adoption du modèle RBAC de Cloud Data Fusion :
- Le rôle Administrateur d'instances doit être accordé avec précaution. Ce rôle accorde un accès complet à une instance et à toutes ses ressources Cloud Data Fusion sous-jacentes. Un compte principal doté de ce rôle peut accorder des autorisations à d'autres utilisateurs en à l'aide de l'API REST.
- Le rôle d'administrateur d'instances ne doit pas être accordé lorsque des comptes principaux sont requis d'avoir accès à des espaces de noms individuels dans Cloud Data Fusion Compute Engine. Attribuez plutôt le rôle d'accesseur d'instances avec l'un des rôles Lecteur/Développeur/Opérateur/Éditeur sur un sous-ensemble des espaces de noms.
- Le rôle d'accesseur d'instances peut être attribué en premier, car il permet comptes principaux à l'instance, mais n'accorde l'accès à aucune ressource dans l'instance. Ce rôle est généralement utilisé conjointement avec l'un des rôles Lecteur/Développeur/Opérateur/Éditeur pour accorder l'accès à un ou plusieurs sous-ensemble des espaces de noms d'une instance.
- Le rôle de lecteur est recommandé pour les utilisateurs ou les groupes Google qui souhaitent disposer d'un libre-service pour comprendre l'état des tâches en cours, ou pour afficher des pipelines ou des journaux avec des instances Cloud Data Fusion. Pour Par exemple, les consommateurs de rapports quotidiens qui aimeraient savoir si est terminé.
- Le rôle Développeur est recommandé pour les développeurs ETL chargés de créer, tester et gérer des pipelines.
- Le rôle opérateur pour un espace de noms est recommandé pour les utilisateurs qui fournissent des opérations ou des services DevOps. Ils sont capables d'effectuer toutes les actions que les développeurs peuvent effectuer (à l'exception de la prévisualisation des pipelines) ; déployer des artefacts et gérer des profils de calcul.
- Le rôle d'éditeur pour un espace de noms est un rôle privilégié qui accorde à l'utilisateur ou au groupe Google un accès complet à toutes les ressources de l'espace de noms. Le rôle d'éditeur peut être considéré comme l'union des rôles de développeur et d'opérateur.
- Les opérateurs et les administrateurs doivent se méfier d'installer des plug-ins ou des artefacts non approuvés, car ils peuvent présenter un risque de sécurité.
Dépannage
Cette section de page vous explique comment résoudre les problèmes liés au contrôle des accès basé sur les rôles (RBAC) dans Cloud Data Fusion.
Un compte principal disposant du rôle Lecteur Cloud Data Fusion pour un espace de noms dans RBAC peut modifier les pipelines
L'accès est basé sur une combinaison d'IAM et de RBAC de rôles. Les rôles IAM sont prioritaires sur les rôles RBAC. Vérifiez si le compte principal a Éditeur de projet ou Administrateur Cloud Data Fusion IAM.
Un compte principal disposant du rôle d'administrateur d'instances dans RBAC ne peut pas afficher les instances Cloud Data Fusion dans la console Google Cloud
Il existe un problème connu dans Cloud Data Fusion : les comptes principaux ayant Le rôle Administrateur d'instances ne permet pas d'afficher les instances dans la console Google Cloud. Pour corriger le accordez l'autorisation Lecteur de projet ou l'un des Rôles IAM Cloud Data Fusion pour le compte principal et de les désigner comme administrateurs d'une instance. Cela accorde Accès Lecteur au compte principal pour toutes les instances du projet.
Empêcher un compte principal d'afficher les espaces de noms pour lesquels il n'a aucun rôle
Pour empêcher un compte principal d'afficher les espaces de noms lorsqu'il n'a aucun rôle, ne doivent pas comporter le Lecteur de projet ou n'importe quelle Rôles IAM Cloud Data Fusion Accordez uniquement des rôles RBAC au compte principal dans l'espace de noms où ils doivent travailler.
Le compte principal doté de ce type d'accès ne verra pas la liste des fichiers Cloud Data Fusion
dans la console Google Cloud. Fournissez plutôt un lien direct vers le
, semblable à ceci:
https://INSTANCE_NAME-PROJECT_ID.REGION_NAME.datafusion.googleusercontent.com/
Lorsque le compte principal ouvre l'instance, Cloud Data Fusion affiche la liste des espaces de noms où le compte principal se voit attribuer le rôle RBAC.
Attribuer le rôle d'accesseur Cloud Data Fusion à un compte principal
Le rôle d'accesseur est implicitement attribué à un compte principal Le rôle RBAC leur est attribué pour n'importe quel environnement Cloud Data Fusion Compute Engine. Pour vérifier si un compte principal dispose de ce rôle sur une instance spécifique, consultez la Analyseur de stratégies IAM
Étape suivante
- Découvrez comment Utilisez RBAC dans Cloud Data Fusion.