Questa pagina descrive l'autorizzazione granulare con il controllo dell'accesso basato sui ruoli (RBAC) in Cloud Data Fusion.
L'attivazione del RBAC nelle istanze di Cloud Data Fusion ti consente di controllare l'accesso all'interno di istanze e spazi dei nomi, ad esempio chi può accedere alle risorse di Cloud Data Fusion e cosa può fare con queste.
Casi d'uso per RBAC
RBAC fornisce l'isolamento a livello di spazio dei nomi all'interno di una singola istanza Cloud Data Fusion. È consigliato per i seguenti casi d'uso:
- Contribuiscono a ridurre al minimo il numero di istanze utilizzate dalla tua organizzazione.
- Più sviluppatori, team o unità aziendali utilizzano una singola istanza Cloud Data Fusion.
Con il RBAC di Cloud Data Fusion, le organizzazioni possono:
- Consenti a un utente di eseguire una pipeline solo all'interno di un namespace, ma di non modificare gli elementi artefatti o i profili di calcolo di runtime.
- Consentire a un utente di visualizzare solo la pipeline, ma non di modificarla o eseguirla.
- Consenti a un utente di creare, implementare ed eseguire una pipeline.
Consigliato: anche se utilizzi RBAC, per mantenere l'isolamento, la sicurezza e la stabilità delle prestazioni, utilizza progetti e istanze distinti per gli ambienti di sviluppo e di produzione.
Limitazioni
- A un utente possono essere assegnati uno o più ruoli a livello di istanza o di ambito.
- Il RBAC è disponibile solo nella versione Enterprise di Cloud Data Fusion.
- Numero di spazi dei nomi: nessun limite fisso al numero di spazi dei nomi per istanza.
- Per il numero massimo di utenti contemporaneamente connessi in un'istanza con RBAC abilitato, consulta Prezzi.
- Ruoli personalizzati: la creazione di ruoli RBAC personalizzati non è supportata.
- Il RBAC di Cloud Data Fusion non supporta l'autorizzazione per la gestione delle connessioni.
- Quando utilizzi i token di accesso OAuth dell'account di servizio per accedere alle istanze con RBAC abilitate della versione 6.5, devi specificare i seguenti ambiti, in particolare l'ambito
userinfo.email. In caso contrario, riscontrerai errori di autorizzazione denied.https://www.googleapis.com/auth/userinfo.emailhttps://www.googleapis.com/auth/cloud-platformohttps://www.googleapis.com/auth/servicecontrol
Assegnazioni di ruoli
Un'assegnazione del ruolo è composta da tre elementi: entità, definizione del ruolo e ambito.
Entità
Concedi i ruoli ai principali per modificare il loro accesso alle risorse Cloud Data Fusion.
Definizione del ruolo
Un ruolo contiene un insieme di autorizzazioni che ti consente di eseguire azioni specifiche sulle Google Cloud risorse.
Cloud Data Fusion fornisce diversi ruoli predefiniti che puoi utilizzare.
Esempi:
- Il ruolo Amministratore istanza (
datafusion.admin) consente ai principali di creare ed eliminare gli spazi dei nomi e concedere autorizzazioni. - Il ruolo Sviluppatore (
datafusion.developer) consente ai principali di creare ed eliminare pipeline, eseguire il deployment delle pipeline ed eseguire le anteprime.
Ambito
L'ambito è l'insieme di risorse a cui si applica l'accesso. Quando assegni un ruolo, puoi limitare ulteriormente le azioni consentite definendo un ambito, ad esempio un'istanza o uno spazio dei nomi. Questa opzione è utile se vuoi assegnare a un utente il ruolo sviluppatore, ma solo per un determinato spazio dei nomi.
Suggerimenti sulla sicurezza
Adottare un modello di sicurezza e adattarlo alle esigenze e ai requisiti della tua organizzazione può essere complicato. I seguenti consigli hanno lo scopo di aiutarti a semplificare il percorso di adozione del modello RBAC di Cloud Data Fusion:
- Il ruolo Amministratore istanza deve essere concesso con cautela. Questo ruolo consente l'accesso completo a un'istanza e a tutte le risorse Cloud Data Fusion sottostanti. Un'entità con questo ruolo può concedere autorizzazioni ad altri utilizzando l'API REST.
- Il ruolo Amministratore istanza non deve essere concesso quando è necessario che gli enti abbiano accesso ai singoli spazi dei nomi all'interno di un'istanza Cloud Data Fusion. Concedi invece il ruolo Accesso all'istanza con uno dei ruoli Visualizzatore/Sviluppatore/Operatore/Editor concesso su un sottoinsieme degli spazi dei nomi.
- Il ruolo Accesso alle istanze è sicuro da assegnare per primo, in quanto consente alle entità di accedere all'istanza, ma non concede l'accesso alle risorse al suo interno. Questo ruolo viene in genere utilizzato insieme a uno di visualizzatore/sviluppatore/operatore/editor per concedere l'accesso a uno o a un sottoinsieme degli spazi dei nomi all'interno di un'istanza.
- È consigliabile assegnare il ruolo Visualizzatore a utenti o gruppi Google che vogliono eseguire il self-service per comprendere lo stato dei job in esecuzione o visualizzare pipeline o log con le istanze Cloud Data Fusion. Ad esempio, gli utenti che utilizzano i report giornalieri e vogliono sapere se l'elaborazione è stata completata.
- Il ruolo Sviluppatore è consigliato per gli sviluppatori ETL che sono responsabili della creazione, del test e della gestione delle pipeline.
- Il ruolo Operatore per un ambito è consigliato per gli utenti che forniscono servizi di amministrazione delle operazioni o DevOps. Sono in grado di eseguire tutte le azioni che possono eseguire gli sviluppatori (tranne l'anteprima delle pipeline) e anche di eseguire il deployment degli elementi e gestire i profili di calcolo.
- Il ruolo Editor per uno spazio dei nomi è un ruolo privilegiato che concede all'utente o al gruppo Google l'accesso completo a tutte le risorse nello spazio dei nomi. L'editor può essere considerato come l'unione dei ruoli di sviluppatore e operatore.
- Gli operatori e gli amministratori devono prestare attenzione a installare plug-in o elementi non attendibili, in quanto ciò può rappresentare un rischio per la sicurezza.
Risoluzione dei problemi
Questa sezione della pagina mostra come risolvere i problemi relativi al RBAC in Cloud Data Fusion.
Un utente principale che dispone del ruolo Visualizzatore Cloud Data Fusion per uno spazio dei nomi in RBAC può modificare le pipeline
L'accesso si basa su una combinazione di ruoli IAM e RBAC. I ruoli IAM hanno la precedenza sui ruoli RBAC. Verifica se l'entità ha i ruoli IAM Editor del progetto o Amministratore Cloud Data Fusion.
Un'entità che dispone del ruolo Amministratore istanza nel RBAC non può visualizzare le istanze Cloud Data Fusion nella console Google Cloud
In Cloud Data Fusion è noto un problema per cui i principali con il ruolo amministrativo dell'istanza non possono visualizzare le istanze nella console Google Cloud. Per risolvere il problema, concedi all'entità il ruolo Visualizzatore progetto o uno dei ruoli IAM di Cloud Data Fusion, oltre a impostarlo come amministratore di un'istanza. In questo modo, viene concesso all'utente visualizzatore l'accesso all'entità principale per tutte le istanze del progetto.
Impedire a un'entità di visualizzare gli spazi dei nomi in cui non ha alcun ruolo
Per impedire a un'entità di visualizzare gli spazi dei nomi in cui non ha alcun ruolo, questa non deve disporre del ruolo Visualizzatore progetto o di uno dei ruoli IAM di Cloud Data Fusion. Concedi invece i ruoli RBAC all'entità nel nome spazio in cui deve operare.
L'entità con questo tipo di accesso non vedrà l'elenco delle istanze Cloud Data Fusion nella console Google Cloud. Fornisci invece un link diretto all'istanza, simile al seguente:
https://INSTANCE_NAME-PROJECT_ID.REGION_NAME.datafusion.googleusercontent.com/
Quando l'entità apre l'istanza, Cloud Data Fusion mostra un elenco di gli spazi dei nomi a cui è stato assegnato il ruolo RBAC.
Concedi il ruolo Cloud Data Fusion Accessor a un principale
Il ruolo Accessor viene assegnato implicitamente a un'entità quando a quest'ultima viene assegnato un altro ruolo RBAC per qualsiasi istanza Cloud Data Fusion. Per verificare se un'entità ha questo ruolo in una determinata istanza, consulta IAM Policy Analyzer.
Passaggi successivi
- Scopri come utilizzare il RBAC in Cloud Data Fusion.