Questa pagina descrive l'autorizzazione granulare con il controllo controllo dell'accesso basato sui ruoli (RBAC), disponibile in Cloud Data Fusion 6.5 e versioni successive.
RBAC limita l'accesso all'interno degli ambienti in cui si sviluppano pipeline in Cloud Data Fusion. RBAC consente di gestire chi ha accesso alle risorse di Cloud Data Fusion, cosa può fare con queste risorse e a quali aree (ad esempio istanze o spazi dei nomi) può accedere. Cloud Data Fusion RBAC è un sistema di autorizzazione che fornisce una gestione granulare degli accessi basata su Identity and Access Management (IAM).
Quando utilizzare RBAC
Controllo dell'accesso basato su ruoli fornisce l'isolamento a livello di spazio dei nomi all'interno di una singola istanza di Cloud Data Fusion. È consigliato per i seguenti casi d'uso:
- per ridurre al minimo il numero di istanze utilizzate dalla tua organizzazione.
- Avere più sviluppatori, team o unità aziendali utilizza una singola istanza di Cloud Data Fusion.
Con Cloud Data Fusion RBAC, le organizzazioni possono:
- Consente a un utente di eseguire una pipeline solo all'interno di uno spazio dei nomi, ma non di modificare artefatti o profili di computing di runtime.
- Consenti a un utente di visualizzare solo la pipeline, ma non di modificare o eseguire una pipeline.
- Consenti a un utente di creare, eseguire il deployment e l'esecuzione di una pipeline.
Consigliato: anche quando utilizzi RBAC, per mantenere l'isolamento, la sicurezza e la stabilità delle prestazioni, utilizza istanze e progetti separati per gli ambienti di sviluppo e produzione.
Limitazioni
- A un utente possono essere assegnati uno o più ruoli a livello di istanza o di spazio dei nomi.
- RBAC è disponibile solo nella versione Enterprise di Cloud Data Fusion.
- Numero di spazi dei nomi: nessun limite fisso al numero di spazi dei nomi per istanza.
- Per il numero massimo di utenti simultanei in un'istanza abilitata per RBAC, consulta i prezzi.
- Ruoli personalizzati: la creazione di ruoli RBAC personalizzati non è supportata.
- Cloud Data Fusion RBAC non supporta l'autorizzazione su Gestione delle connessioni.
- Quando utilizzi i token di accesso OAuth dell'account di servizio per accedere alle istanze abilitate per RBAC versione 6.5, è necessario specificare i seguenti ambiti, in particolare l'ambito
userinfo.email. Senza di essi, riscontrerai errori di autorizzazioni negate.https://www.googleapis.com/auth/userinfo.emailhttps://www.googleapis.com/auth/cloud-platformoppurehttps://www.googleapis.com/auth/servicecontrol
Role assignments (Assegnazioni di ruoli)
Un'assegnazione del ruolo è composta da tre elementi: entità, definizione del ruolo e ambito.
Entità
Un'entità (precedentemente nota come membro) può essere un Account Google (per gli utenti finali), un account di servizio (per app e macchine virtuali) o un gruppo Google che richiede l'accesso alle risorse di Cloud Data Fusion. Puoi assegnare un ruolo a una di queste entità.
Definizione del ruolo
Un ruolo contiene un insieme di autorizzazioni che consentono di eseguire azioni specifiche sulle risorse Google Cloud.
Cloud Data Fusion offre diversi ruoli predefiniti che puoi utilizzare.
Esempi:
- Il ruolo Amministratore istanze (
datafusion.admin) consente alle entità di creare ed eliminare gli spazi dei nomi e concedere le autorizzazioni. - Il ruolo Sviluppatore (
datafusion.developer) consente alle entità di creare ed eliminare pipeline, eseguire il deployment delle pipeline ed eseguire anteprime.
Ambito
L'ambito è l'insieme di risorse a cui si applica l'accesso. Quando assegni un ruolo, puoi limitare ulteriormente le azioni consentite definendo un ambito (ad esempio, un'istanza o uno spazio dei nomi). Ciò è utile se vuoi assegnare a un utente il ruolo Sviluppatore, ma solo per uno spazio dei nomi.
Suggerimenti sulla sicurezza
Adottare un modello di sicurezza e adattarlo alle esigenze e ai requisiti della tua organizzazione può essere impegnativo. I seguenti suggerimenti hanno lo scopo di aiutarti a semplificare il percorso verso l'adozione del modello RBAC di Cloud Data Fusion:
- Il ruolo Amministratore istanza deve essere concesso con cautela. Questo ruolo consente l'accesso completo a un'istanza e a tutte le risorse Cloud Data Fusion sottostanti. Un'entità con questo ruolo può concedere le autorizzazioni ad altri utenti utilizzando l'API REST.
- Non deve essere concesso il ruolo Amministratore istanza quando le entità devono avere accesso a singoli spazi dei nomi all'interno di un'istanza di Cloud Data Fusion. Concedi invece il ruolo Visualizzatore istanze con uno dei ruoli Visualizzatore/Sviluppatore/Operatore/Editor concesso per un sottoinsieme di spazi dei nomi.
- Puoi assegnare in primo piano il ruolo Funzione di accesso alle istanze, poiché consente l'accesso delle entità all'istanza, ma non concede l'accesso alle risorse all'interno dell'istanza. Questo ruolo viene in genere utilizzato insieme a uno tra Visualizzatore/Sviluppatore/Operatore/Editor per concedere l'accesso a uno o a un sottoinsieme di spazi dei nomi all'interno di un'istanza.
- Ti consigliamo di assegnare il ruolo Visualizzatore agli utenti o ai gruppi Google che vorrebbero un servizio self-service per comprendere lo stato dei job in esecuzione o per visualizzare pipeline o log con istanze di Cloud Data Fusion. Ad esempio, i consumatori di report giornalieri che vogliono sapere se l'elaborazione è stata completata.
- Il ruolo sviluppatore è consigliato per gli sviluppatori ETL responsabili della creazione, del test e della gestione delle pipeline.
- Il ruolo Operatore per uno spazio dei nomi è consigliato per gli utenti che forniscono amministratore delle operazioni o servizi DevOps. Sono in grado di eseguire tutte le azioni che gli sviluppatori possono eseguire (ad eccezione dell'anteprima delle pipeline), nonché di eseguire il deployment degli artefatti e gestire i profili di computing.
- Il ruolo Editor per uno spazio dei nomi è un ruolo con privilegi che concede all'utente o al gruppo Google l'accesso completo a tutte le risorse nello spazio dei nomi. Si può considerare l'unione dei ruoli di sviluppatore e operatore.
- Gli operatori e gli amministratori devono fare attenzione all'installazione di plug-in o elementi non attendibili, in quanto ciò può rappresentare un rischio per la sicurezza.
Risoluzione dei problemi
Questa sezione di pagina mostra come risolvere i problemi relativi a RBAC in Cloud Data Fusion.
Un'entità con il ruolo Visualizzatore Cloud Data Fusion per uno spazio dei nomi in RBAC può modificare le pipeline
L'accesso si basa su una combinazione di ruoli IAM e RBAC. I ruoli IAM hanno la precedenza sui ruoli RBAC. Verifica se l'entità dispone dei ruoli IAM Editor progetto o Amministratore Cloud Data Fusion.
Un'entità con il ruolo Amministratore istanze in RBAC non può visualizzare le istanze Cloud Data Fusion nella console Google Cloud
Si è verificato un problema noto in Cloud Data Fusion per cui le entità con il ruolo Amministratore istanza non possono visualizzare le istanze nella console Google Cloud. Per risolvere il problema, concedi all'entità il Visualizzatore progetto o uno dei ruoli IAM di Cloud Data Fusion oltre a renderli Amministratore di un'istanza. In questo modo concedi l'accesso come visualizzatore all'entità per tutte le istanze del progetto.
Impedisci a un'entità di visualizzare gli spazi dei nomi in cui non hanno alcun ruolo
Per impedire a un'entità di visualizzare gli spazi dei nomi in cui non hanno alcun ruolo, non deve avere il visualizzatore progetto o nessuno dei ruoli IAM di Cloud Data Fusion. Concedi invece i ruoli RBAC solo all'entità nello spazio dei nomi in cui devono operare.
L'entità con questo tipo di accesso non vedrà l'elenco delle istanze di Cloud Data Fusion nella console Google Cloud. Fornisci invece un link diretto all'istanza, simile al seguente:
https://INSTANCE_NAME-PROJECT_ID.REGION_NAME.datafusion.googleusercontent.com/
Quando l'entità apre l'istanza, Cloud Data Fusion visualizza un elenco di spazi dei nomi in cui all'entità viene concesso il ruolo RBAC.
Concedi il ruolo Funzione di accesso di Cloud Data Fusion a un'entità
Il ruolo della funzione di accesso viene assegnato implicitamente a un'entità quando viene assegnato un qualsiasi altro ruolo RBAC per qualsiasi istanza di Cloud Data Fusion. Per verificare se un'entità ha questo ruolo su una determinata istanza, consulta l'Analizzatore criteri IAM.
Passaggi successivi
- Scopri come utilizzare RBAC in Cloud Data Fusion.