Questa pagina descrive l'autorizzazione granulare con controllo dell'accesso basato sui ruoli (RBAC) in Cloud Data Fusion.
L'abilitazione di RBAC nelle istanze di Cloud Data Fusion ti consente di controllare l'accesso all'interno di istanze e spazi dei nomi, ad esempio chi può accedere alle risorse di Cloud Data Fusion e in che modo può utilizzarle.
Casi d'uso di RBAC
RBAC fornisce l'isolamento a livello di spazio dei nomi all'interno di una singola istanza di Cloud Data Fusion. È consigliato per i seguenti casi d'uso:
- Contribuire a ridurre al minimo il numero di istanze utilizzate dalla tua organizzazione.
- Più sviluppatori, team o unità aziendali utilizzano una singola istanza di Cloud Data Fusion.
Con RBAC di Cloud Data Fusion, le organizzazioni possono:
- Consente a un utente di eseguire una pipeline solo all'interno di uno spazio dei nomi, ma non di modificare artefatti o profili di calcolo di runtime.
- Consente a un utente di visualizzare solo la pipeline, ma non di modificarla o eseguirla.
- Consente a un utente di creare, eseguire il deployment ed eseguire una pipeline.
Azione consigliata: anche quando utilizzi RBAC, per mantenere l'isolamento, la sicurezza e la stabilità delle prestazioni, utilizza progetti e istanze separati per gli ambienti di sviluppo e produzione.
Limitazioni
- A un utente possono essere concessi uno o più ruoli a livello di istanza o spazio dei nomi.
- RBAC è disponibile solo nella versione Enterprise di Cloud Data Fusion.
- Numero di spazi dei nomi: non esiste un limite rigido al numero di spazi dei nomi per istanza.
- Per il numero massimo di utenti simultanei in un'istanza abilitata al controllo dell'accesso basato sui ruoli, consulta Prezzi.
- Quando utilizzi i token di accesso OAuth del account di servizio per accedere alle istanze con controllo dell'accesso basato sui ruoli (RBAC) versione 6.5, devono essere specificati i seguenti ambiti, in particolare l'ambito
userinfo.email. Senza, si verificano errori di autorizzazione negata.https://www.googleapis.com/auth/userinfo.emailhttps://www.googleapis.com/auth/cloud-platformohttps://www.googleapis.com/auth/servicecontrol
Role assignments (Assegnazioni di ruoli)
Un'assegnazione di ruolo è composta da tre elementi: entità, definizione del ruolo e ambito.
Entità
Concedi ruoli ai principal per modificare il loro accesso alle risorse Cloud Data Fusion.
Definizione del ruolo
Un ruolo contiene un insieme di autorizzazioni che ti consentono di eseguire azioni specifiche sulle risorseGoogle Cloud .
Cloud Data Fusion fornisce diversi ruoli predefiniti che puoi utilizzare.
Esempi:
- Il ruolo Amministratore istanza (
datafusion.admin) consente ai principal di creare ed eliminare spazi dei nomi e concedere autorizzazioni. - Il ruolo Sviluppatore (
datafusion.developer) consente ai principal di creare ed eliminare pipeline, eseguire il deployment di pipeline ed eseguire anteprime.
Ambito
L'ambito è l'insieme di risorse a cui si applica l'accesso. Quando assegni un ruolo, puoi limitare ulteriormente le azioni consentite definendo un ambito, ad esempio un'istanza o uno spazio dei nomi. Ciò è utile se vuoi assegnare a qualcuno il ruolo Sviluppatore, ma solo per uno spazio dei nomi.
Suggerimenti sulla sicurezza
L'adozione di un modello di sicurezza e il suo adattamento alle esigenze e ai requisiti della tua organizzazione può essere difficile. I seguenti consigli hanno lo scopo di semplificare il percorso di adozione del modello RBAC di Cloud Data Fusion:
- Il ruolo di amministratore dell'istanza deve essere concesso con cautela. Questo ruolo consente l'accesso completo a un'istanza e a tutte le risorse Cloud Data Fusion sottostanti. Un'entità con questo ruolo può concedere autorizzazioni ad altri utilizzando l'API REST.
- Il ruolo Amministratore istanza non deve essere concesso quando le entità devono avere accesso a singoli spazi dei nomi all'interno di un'istanza Cloud Data Fusion. Concedi invece il ruolo Instance Accessor con uno dei ruoli Visualizzatore/Sviluppatore/Operatore/Editor concessi a un sottoinsieme di spazi dei nomi.
- Il ruolo Funzione di accesso alle istanze può essere assegnato in sicurezza per primo, in quanto consente l'accesso dei principal all'istanza, ma non concede l'accesso a nessuna risorsa all'interno dell'istanza. Questo ruolo viene in genere utilizzato insieme a uno dei ruoli Visualizzatore/Sviluppatore/Operatore/Editor per concedere l'accesso a uno o a un sottoinsieme di spazi dei nomi all'interno di un'istanza.
- È consigliabile assegnare il ruolo Visualizzatore agli utenti o ai gruppi Google che vogliono comprendere autonomamente lo stato dei job in esecuzione o visualizzare pipeline o log con le istanze Cloud Data Fusion. Ad esempio, i consumatori di report giornalieri che vogliono sapere se l'elaborazione è stata completata.
- Il ruolo Sviluppatore è consigliato per gli sviluppatori ETL responsabili della creazione, del test e della gestione delle pipeline.
- Il ruolo Operatore per uno spazio dei nomi è consigliato per gli utenti che forniscono servizi di amministratore delle operazioni o DevOps. Possono eseguire tutte le azioni che possono eseguire gli sviluppatori (ad eccezione dell'anteprima delle pipeline) e anche eseguire il deployment degli artefatti e gestire i profili di calcolo.
- Il ruolo Editor per uno spazio dei nomi è un ruolo privilegiato che concede all'utente o al gruppo Google l'accesso completo a tutte le risorse dello spazio dei nomi. L'editor può essere considerato l'unione dei ruoli di sviluppatore e operatore.
- Operatori e amministratori devono fare attenzione a installare plug-in o artefatti non attendibili, in quanto ciò può rappresentare un rischio per la sicurezza.
Risoluzione dei problemi
Questa sezione della pagina mostra come risolvere i problemi relativi al controllo dell'accesso basato sui ruoli (RBAC) in Cloud Data Fusion.
Un principal con il ruolo Cloud Data Fusion Viewer per uno spazio dei nomi in RBAC può modificare le pipeline
L'accesso si basa su una combinazione di ruoli IAM e RBAC. I ruoli IAM hanno la precedenza sui ruoli RBAC. Verifica se l'entità ha i ruoli IAM Editor progetto o Amministratore Cloud Data Fusion.
Un principal con il ruolo di amministratore dell'istanza in RBAC non può visualizzare le istanze di Cloud Data Fusion nella console Google Cloud
Esiste un problema noto in Cloud Data Fusion in cui i principal con il ruolo Amministratore istanza non possono visualizzare le istanze nella console Google Cloud . Per risolvere il problema, concedi all'entità il ruolo Visualizzatore progetto o uno dei ruoli IAM Cloud Data Fusion, oltre a renderla amministratore di un'istanza. Concede l'accesso Visualizzatore all'entità per tutte le istanze del progetto.
Impedire a un'entità di visualizzare gli spazi dei nomi in cui non ha un ruolo
Per impedire a un'entità di visualizzare gli spazi dei nomi in cui non ha un ruolo, non deve avere il ruolo Visualizzatore progetto o uno qualsiasi dei ruoli IAM Cloud Data Fusion. Concedi invece solo ruoli RBAC all'entità nello spazio dei nomi in cui deve operare.
L'entità con questo tipo di accesso non visualizzerà l'elenco delle istanze Cloud Data Fusion nella console Google Cloud . Invece, fornisci loro un link diretto all'istanza, simile al seguente:
https://INSTANCE_NAME-PROJECT_ID.REGION_NAME.datafusion.googleusercontent.com/
Quando l'entità apre l'istanza, Cloud Data Fusion mostra un elenco di spazi dei nomi in cui all'entità viene concesso il ruolo RBAC.
Concedi il ruolo Cloud Data Fusion Accessor a un principal
Il ruolo Accessor viene assegnato implicitamente a un'entità quando le viene assegnato qualsiasi altro ruolo RBAC per qualsiasi istanza di Cloud Data Fusion. Per verificare se un'entità dispone di questo ruolo su una determinata istanza, consulta IAM Policy Analyzer.