Panoramica del controllo dell'accesso basato sui ruoli (RBAC)

Questa pagina descrive l'autorizzazione granulare con il controllo dell'accesso basato sui ruoli (RBAC) in Cloud Data Fusion.

L'abilitazione di RBAC nelle istanze Cloud Data Fusion consente di controllare l'accesso all'interno di istanze e spazi dei nomi, ad esempio chi può accedere Risorse di Cloud Data Fusion e come possono utilizzarle.

Casi d'uso per RBAC

RBAC fornisce l'isolamento a livello di spazio dei nomi all'interno di un singolo dell'istanza di Cloud Data Fusion. È consigliato per i seguenti casi d'uso:

  • Contribuendo a ridurre al minimo il numero di istanze utilizzate dalla tua organizzazione.
  • Avere più sviluppatori, team o unità aziendali che utilizzano un solo dell'istanza di Cloud Data Fusion.

Con il RBAC di Cloud Data Fusion, le organizzazioni possono:

  • Consenti a un utente di eseguire una pipeline solo all'interno di uno spazio dei nomi, ma non di modificare artefatti o profili di calcolo di runtime.
  • Consenti a un utente solo di visualizzare la pipeline, ma non di modificare o eseguire un una pipeline o un blocco note personalizzato.
  • Consenti a un utente di creare, implementare ed eseguire una pipeline.

Opzione consigliata: anche quando utilizzi RBAC, per mantenere l'isolamento la sicurezza e la stabilità delle prestazioni, usa e istanze di progetti per ambienti di sviluppo e produzione.

Limitazioni

  • A un utente possono essere assegnati uno o più ruoli a livello di istanza o di ambito.
  • Il RBAC è disponibile solo nella versione Enterprise di Cloud Data Fusion.
  • Numero di spazi dei nomi: nessun limite fisso al numero di spazi dei nomi per in esecuzione in un'istanza Compute Engine.
  • Per il numero massimo di utenti simultanei in un'istanza con RBAC abilitato, consulta Prezzi.
  • Ruoli personalizzati: la creazione di ruoli RBAC personalizzati non è supportata.
  • RBAC di Cloud Data Fusion non supporta l'autorizzazione su Gestione delle connessioni.
  • Quando utilizzi i token di accesso OAuth dell'account di servizio per accedere alla versione 6.5 per le istanze RBAC abilitate, è necessario specificare i seguenti ambiti, in particolare nell'ambito userinfo.email. In caso contrario, avrai l'autorizzazione negati.
    • https://www.googleapis.com/auth/userinfo.email
    • https://www.googleapis.com/auth/cloud-platform o https://www.googleapis.com/auth/servicecontrol

Role assignments (Assegnazioni di ruoli)

Un'assegnazione del ruolo è composta da tre elementi: entità, definizione del ruolo e ambito.

Entità

Concedi i ruoli ai principali per modificare il loro accesso alle risorse Cloud Data Fusion.

Definizione del ruolo

Un ruolo contiene un insieme di autorizzazioni che ti consentono di eseguire azioni specifiche dell'accesso a specifiche risorse Google Cloud.

Cloud Data Fusion offre diverse ruoli predefiniti che puoi per gli utilizzi odierni.

Esempi:

  • Il ruolo Amministratore istanza (datafusion.admin) consente ai principali di creare ed eliminare gli spazi dei nomi e concedere autorizzazioni.
  • Il ruolo Sviluppatore (datafusion.developer) consente alle entità di creare l'eliminazione delle pipeline, il deployment delle pipeline e l'esecuzione delle anteprime.

Ambito

L'ambito è l'insieme di risorse a cui si applica l'accesso. Quando assegni una puoi limitare ulteriormente le azioni consentite definendo un ambito, ad esempio un o uno spazio dei nomi. Questa opzione è utile se vuoi assegnare a un utente il ruolo sviluppatore, ma solo per un determinato spazio dei nomi.

Suggerimenti sulla sicurezza

Adottare un modello di sicurezza e adattarlo alle esigenze e alle esigenze della tua organizzazione i requisiti possono essere difficili. I seguenti consigli hanno lo scopo di a semplificare il percorso per l'adozione del framework Cloud Data Fusion Modello RBAC:

  • Il ruolo Amministratore istanza deve essere concesso con cautela. Questo ruolo consente accesso a un'istanza e a tutto ciò che è Cloud Data Fusion sottostante Google Cloud. Un'entità con questo ruolo può concedere autorizzazioni ad altri utenti utilizzando l'API REST.
  • Non dovrebbe essere concesso il ruolo Amministratore istanza quando sono richieste le entità per avere accesso a singoli spazi dei nomi all'interno di un ambiente Cloud Data Fusion in esecuzione in un'istanza Compute Engine. Concedi invece il ruolo Accesso all'istanza con uno dei ruoli Visualizzatore/Sviluppatore/Operatore/Editor concesso su un sottoinsieme degli spazi dei nomi.
  • Il ruolo Accesso alle istanze è sicuro da assegnare per primo, in quanto consente ai principali di accedere all'istanza, ma non concede l'accesso alle risorse al suo interno. Questo ruolo viene in genere utilizzato insieme a uno dei Visualizzatore/Sviluppatore/Operatore/Editor per concedere l'accesso a uno o a un sottoinsieme dei degli spazi dei nomi all'interno di un'istanza.
  • È consigliabile assegnare il ruolo Visualizzatore a utenti o gruppi Google che vogliono eseguire il self-service per comprendere lo stato dei job in esecuzione o visualizzare pipeline o log con le istanze Cloud Data Fusion. Ad esempio, gli utenti che utilizzano i report giornalieri e vogliono sapere se l'elaborazione è stata completata.
  • Il ruolo Sviluppatore è consigliato per gli sviluppatori ETL responsabili per creare, testare e gestire le pipeline.
  • Il ruolo Operatore per un ambito è consigliato per gli utenti che forniscono servizi di amministrazione delle operazioni o DevOps. Possono eseguire tutte le azioni che gli sviluppatori possono eseguire (tranne l'anteprima delle pipeline) e eseguire il deployment degli artefatti e gestire i profili di calcolo.
  • Il ruolo Editor per uno spazio dei nomi è un ruolo privilegiato che concede all'utente o al gruppo Google l'accesso completo a tutte le risorse nello spazio dei nomi. Editor può essere considerato l'unione dei ruoli di sviluppatore e operatore.
  • Gli operatori e gli amministratori devono diffidare di installare plug-in non attendibili o artefatti, in quanto ciò può rappresentare un rischio per la sicurezza.

Risoluzione dei problemi

Questa sezione di pagina mostra come risolvere i problemi relativi a RBAC in in Cloud Data Fusion.

Un'entità con il ruolo Visualizzatore Cloud Data Fusion per uno spazio dei nomi in RBAC può modificare le pipeline

L'accesso si basa su una combinazione di IAM e RBAC ruoli. I ruoli IAM hanno la precedenza sui ruoli RBAC. Verifica se l'entità ha i ruoli IAM Editor del progetto o Amministratore Cloud Data Fusion.

Un entità che dispone del ruolo Amministratore istanza nel RBAC non può visualizzare le istanze Cloud Data Fusion nella console Google Cloud

Esiste un problema noto in Cloud Data Fusion in cui le entità con Il ruolo Amministratore istanze non può visualizzare istanze nella console Google Cloud. Per risolvere il problema, concedi all'entità il ruolo Visualizzatore progetto o uno dei ruoli IAM di Cloud Data Fusion, oltre a renderlo amministratore di un'istanza. In questo modo, viene concesso all'utente visualizzatore l'accesso all'entità principale per tutte le istanze del progetto.

Impedisci a un'entità di visualizzare gli spazi dei nomi in cui non ha ruoli

Per impedire a un'entità di visualizzare gli spazi dei nomi in cui non ha ruoli, non deve avere Visualizzatore progetto o uno qualsiasi dei Ruoli IAM di Cloud Data Fusion. Concedi invece i ruoli RBAC all'entità nel nome spazio in cui deve operare.

L'entità con questo tipo di accesso non vedrà l'elenco di Cloud Data Fusion di Compute Engine nella console Google Cloud. Fornisci loro un link diretto simile al seguente: https://INSTANCE_NAME-PROJECT_ID.REGION_NAME.datafusion.googleusercontent.com/

Quando l'entità apre l'istanza, Cloud Data Fusion visualizza un elenco spazi dei nomi in cui all'entità viene concesso il ruolo RBAC.

Concedi il ruolo Cloud Data Fusion Accessor a un principale

Il ruolo Funzione di accesso è assegnato implicitamente a un'entità quando Viene assegnato loro il ruolo RBAC per qualsiasi progetto Cloud Data Fusion in esecuzione in un'istanza Compute Engine. Per verificare se un'entità ha quel ruolo su una determinata istanza, consulta il Analizzatore criteri IAM.

Passaggi successivi