Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan kontrol akses berbasis peran (RBAC)

Halaman ini menjelaskan otorisasi terperinci dengan kontrol akses berbasis peran (RBAC) di Cloud Data Fusion.

Dengan mengaktifkan RBAC di instance Cloud Data Fusion, Anda dapat mengontrol akses dalam instance dan namespace, seperti siapa yang dapat mengakses resource Cloud Data Fusion dan apa yang dapat mereka lakukan dengan resource tersebut.

Kasus penggunaan untuk RBAC

RBAC menyediakan isolasi tingkat namespace dalam satu instance Cloud Data Fusion. Sebaiknya gunakan untuk kasus penggunaan berikut:

Membantu meminimalkan jumlah instance yang digunakan oleh organisasi Anda.
Memiliki beberapa developer, tim, atau unit bisnis yang menggunakan satu instance Cloud Data Fusion.

Dengan RBAC Cloud Data Fusion, organisasi dapat:

Mengizinkan pengguna hanya menjalankan pipeline dalam namespace, tetapi tidak mengubah artefak atau profil komputasi runtime.
Mengizinkan pengguna hanya melihat pipeline, tetapi tidak mengubah atau menjalankan pipeline.
Mengizinkan pengguna membuat, men-deploy, dan menjalankan pipeline.

Direkomendasikan: Meskipun Anda menggunakan RBAC, untuk mempertahankan isolasi, keamanan, dan stabilitas performa, gunakan project dan instance terpisah untuk lingkungan pengembangan dan produksi.

Batasan

Pengguna dapat diberi satu atau beberapa peran di tingkat instance atau namespace.
RBAC hanya tersedia di edisi Cloud Data Fusion Enterprise.
Jumlah namespace: Tidak ada batas mutlak pada jumlah namespace per instance.
Untuk mengetahui jumlah maksimum pengguna serentak di instance yang mengaktifkan RBAC, lihat Harga.
Peran kustom: Pembuatan peran RBAC kustom tidak didukung.
RBAC Cloud Data Fusion tidak mendukung otorisasi di Pengelolaan Koneksi.
Saat menggunakan token akses OAuth akun layanan untuk mengakses instance yang mengaktifkan RBAC versi 6.5, cakupan berikut harus ditentukan, terutama cakupan userinfo.email. Tanpanya, Anda akan mengalami error izin ditolak.
- https://www.googleapis.com/auth/userinfo.email
- https://www.googleapis.com/auth/cloud-platform atau https://www.googleapis.com/auth/servicecontrol

Role assignments

Penetapan peran terdiri dari tiga elemen: akun utama, definisi peran, dan cakupan.

Akun utama

Anda memberikan peran kepada akun utama untuk mengubah akses mereka ke resource Cloud Data Fusion.

Definisi peran

Peran berisi serangkaian izin yang memungkinkan Anda untuk melakukan tindakan tertentu pada resource Google Cloud.

Cloud Data Fusion menyediakan beberapa peran bawaan yang dapat Anda gunakan.

Contoh:

Peran Instance Admin (datafusion.admin) memungkinkan akun utama membuat dan menghapus namespace, serta memberikan izin.
Peran Developer (datafusion.developer) memungkinkan akun utama membuat dan menghapus pipeline, men-deploy pipeline, dan menjalankan pratinjau.

Cakupan

Cakupan adalah kumpulan resource yang menjadi tujuan penerapan akses. Saat menetapkan peran, Anda dapat lebih membatasi tindakan yang diizinkan dengan menentukan cakupan, seperti instance atau namespace. Hal ini berguna jika Anda ingin menetapkan peran Developer kepada seseorang, tetapi hanya untuk satu namespace.

Rekomendasi keamanan

Mengadopsi model keamanan dan menyesuaikannya dengan kebutuhan dan persyaratan organisasi Anda bisa jadi sulit. Rekomendasi berikut dimaksudkan untuk membantu Anda menyederhanakan perjalanan untuk mengadopsi model RBAC Cloud Data Fusion:

Peran Admin Instance harus diberikan dengan hati-hati. Peran ini memungkinkan akses penuh ke instance dan semua resource Cloud Data Fusion yang mendasarinya. Akun utama dengan peran ini dapat memberikan izin kepada orang lain dengan menggunakan REST API.
Peran Instance Admin tidak boleh diberikan jika akun utama diwajibkan untuk memiliki akses ke setiap namespace dalam instance Cloud Data Fusion. Sebagai gantinya, berikan peran Instance Accessor dengan salah satu peran Viewer/Developer/Operator/Editor yang diberikan pada sebagian namespace.
Peran Instance Accessor aman untuk ditetapkan terlebih dahulu, karena memungkinkan akses akun utama ke instance, tetapi tidak akan memberikan akses ke resource apa pun dalam instance. Peran ini biasanya digunakan bersama dengan salah satu Viewer/Developer/Operator/Editor untuk memberikan akses ke satu atau sebagian namespace dalam instance.
Peran Viewer direkomendasikan untuk ditetapkan kepada pengguna atau grup Google yang ingin melakukan layanan mandiri untuk memahami status tugas yang sedang berjalan, atau melihat pipeline atau log dengan instance Cloud Data Fusion. Misalnya, konsumen laporan harian yang ingin mengetahui apakah pemrosesan telah selesai.
Peran developer direkomendasikan untuk developer ETL yang bertanggung jawab untuk membuat, menguji, dan mengelola pipeline.
Peran operator untuk namespace direkomendasikan bagi pengguna yang menyediakan layanan DevOps atau administrator operasi. Peran ini dapat melakukan semua tindakan yang dapat dilakukan developer (kecuali untuk melihat pratinjau pipeline) dan juga men-deploy artefak serta mengelola profil komputasi.
Peran Editor untuk namespace adalah peran dengan hak istimewa yang memberi pengguna atau grup Google akses penuh ke semua resource di namespace. Editor dapat dianggap sebagai gabungan peran developer dan operator.
Operator dan Admin harus berhati-hati saat menginstal plugin atau artefak yang tidak tepercaya karena dapat menimbulkan risiko keamanan.

Pemecahan masalah

Bagian halaman ini menunjukkan cara menyelesaikan masalah terkait RBAC di Cloud Data Fusion.

Akun utama yang memiliki peran Cloud Data Fusion Viewer untuk namespace di RBAC dapat mengedit pipeline

Akses didasarkan pada kombinasi peran IAM dan RBAC. Peran IAM lebih diutamakan daripada peran RBAC. Periksa apakah akun utama memiliki peran IAM Project Editor atau Cloud Data Fusion Admin.

Akun utama yang memiliki peran Instance Admin di RBAC tidak dapat melihat instance Cloud Data Fusion di konsol Google Cloud

Ada masalah umum di Cloud Data Fusion saat akun utama dengan peran Instance Admin tidak dapat melihat instance di konsol Google Cloud. Untuk memperbaiki masalah ini, berikan peran Project Viewer atau salah satu peran IAM Cloud Data Fusion kepada akun utama, selain menjadikannya Admin untuk instance. Tindakan ini akan memberikan akses Viewer ke akun utama untuk semua instance dalam project.

Mencegah akun utama melihat namespace tempat mereka tidak memiliki peran

Untuk mencegah akun utama melihat namespace tempat mereka tidak memiliki peran, akun utama tersebut tidak boleh memiliki Project Viewer atau salah satu peran IAM Cloud Data Fusion. Sebagai gantinya, hanya berikan peran RBAC ke akun utama di namespace tempat akun tersebut perlu beroperasi.

Akun utama dengan jenis akses ini tidak akan melihat daftar instance Cloud Data Fusion di konsol Google Cloud. Sebagai gantinya, berikan link langsung ke instance, mirip dengan berikut: https://INSTANCE_NAME-PROJECT_ID.REGION_NAME.datafusion.googleusercontent.com/

Saat akun utama membuka instance, Cloud Data Fusion akan menampilkan daftar namespace tempat akun utama diberi peran RBAC.

Memberikan peran Akses Cloud Data Fusion kepada akun utama

Peran Accessor secara implisit ditetapkan ke akun utama saat peran RBAC lain ditetapkan ke akun tersebut untuk instance Cloud Data Fusion. Untuk memverifikasi apakah akun utama memiliki peran tersebut di instance tertentu, lihat IAM Policy Analyzer.

Langkah selanjutnya

Pelajari cara menggunakan RBAC di Cloud Data Fusion.