In questa pagina viene descritta l'autorizzazione granulare con il controllo controllo dell'accesso basato sui ruoli (RBAC), che è disponibile in Cloud Data Fusion 6.5 e versioni successive.
RBAC limita l'accesso all'interno degli ambienti in cui sviluppi pipeline in Cloud Data Fusion. RBAC ti aiuta a gestire ha accesso alle risorse di Cloud Data Fusion, cosa può fare risorse e a quali aree (come istanze o spazi dei nomi) possono accedere. RBAC di Cloud Data Fusion è un sistema di autorizzazione che fornisce la gestione degli accessi basata su Identity and Access Management (IAM).
Quando utilizzare RBAC
Controllo dell'accesso basato sui ruoli fornisce l'isolamento a livello di spazio dei nomi all'interno di un singolo dell'istanza di Cloud Data Fusion. È consigliata per i seguenti casi d'uso:
- Contribuendo a ridurre al minimo il numero di istanze utilizzate dalla tua organizzazione.
- Avere più sviluppatori, team o unità aziendali che utilizzano un solo dell'istanza di Cloud Data Fusion.
Con il RBAC di Cloud Data Fusion, le organizzazioni possono:
- Consenti a un utente di eseguire una pipeline solo all'interno di uno spazio dei nomi, ma non di modificare artefatti o profili di calcolo di runtime.
- Consenti a un utente solo di visualizzare la pipeline, ma non di modificare o eseguire un una pipeline o un blocco note personalizzato.
- Consenti a un utente di creare, eseguire il deployment ed eseguire una pipeline.
Opzione consigliata: anche quando utilizzi RBAC, per mantenere l'isolamento la sicurezza e la stabilità delle prestazioni, usa e istanze di progetti per ambienti di sviluppo e produzione.
Limitazioni
- A un utente possono essere assegnati uno o più ruoli nell'istanza o a livello di spazio dei nomi.
- RBAC è disponibile solo in Cloud Data Fusion Versione Enterprise.
- Numero di spazi dei nomi: nessun limite fisso al numero di spazi dei nomi per in esecuzione in un'istanza Compute Engine.
- Per il numero massimo di utenti in contemporanea in un'istanza abilitata per RBAC, consulta Prezzi.
- Ruoli personalizzati: la creazione di ruoli RBAC personalizzati non è supportata.
- RBAC di Cloud Data Fusion non supporta l'autorizzazione su Gestione delle connessioni.
- Quando utilizzi i token di accesso OAuth dell'account di servizio per accedere alla versione 6.5
per le istanze RBAC abilitate, è necessario specificare i seguenti ambiti, in particolare
nell'ambito
userinfo.email. In caso contrario, avrai l'autorizzazione negati.https://www.googleapis.com/auth/userinfo.emailhttps://www.googleapis.com/auth/cloud-platformohttps://www.googleapis.com/auth/servicecontrol
Role assignments (Assegnazioni di ruoli)
Un'assegnazione del ruolo è composta da tre elementi: entità, definizione del ruolo l'ambito di attività.
Entità
R entità (precedentemente noto come membro) può essere un Account Google (per gli utenti finali), un servizio (per app e macchine virtuali) o un gruppo Google che richiede alle risorse di Cloud Data Fusion. Puoi assegnare un ruolo a qualsiasi queste entità.
Definizione del ruolo
Un ruolo contiene un insieme di autorizzazioni che ti consentono di eseguire azioni specifiche dell'accesso a specifiche risorse Google Cloud.
Cloud Data Fusion offre diverse ruoli predefiniti che puoi per gli utilizzi odierni.
Esempi:
- Il ruolo Amministratore istanze (
datafusion.admin) consente alle entità di creare e elimina gli spazi dei nomi e concedi le autorizzazioni. - Il ruolo Sviluppatore (
datafusion.developer) consente alle entità di creare l'eliminazione delle pipeline, il deployment delle pipeline e l'esecuzione delle anteprime.
Ambito
L'ambito è l'insieme di risorse a cui si applica l'accesso. Quando assegni una puoi limitare ulteriormente le azioni consentite definendo un ambito (ad un'istanza o uno spazio dei nomi). È utile se vuoi assegnare con il ruolo Sviluppatore, ma solo per uno spazio dei nomi.
Suggerimenti sulla sicurezza
Adottare un modello di sicurezza e adattarlo alle esigenze e alle esigenze della tua organizzazione i requisiti possono essere difficili. I seguenti consigli hanno lo scopo di a semplificare il percorso per l'adozione del framework Cloud Data Fusion Modello RBAC:
- Il ruolo Amministratore istanza deve essere concesso con cautela. Questo ruolo consente accesso a un'istanza e a tutto ciò che è Cloud Data Fusion sottostante Google Cloud. Un'entità con questo ruolo può concedere autorizzazioni ad altri utenti utilizzando l'API REST.
- Non dovrebbe essere concesso il ruolo Amministratore istanza quando sono richieste le entità per avere accesso a singoli spazi dei nomi all'interno di un ambiente Cloud Data Fusion in esecuzione in un'istanza Compute Engine. Concedi invece il ruolo Funzione di accesso alle istanze con uno dei Ruoli di Visualizzatore/Sviluppatore/Operatore/Editor concessi per un sottoinsieme dei spazi dei nomi.
- Puoi assegnare prima il ruolo Funzione di accesso alle istanze in sicurezza, in quanto consente principal l'accesso all'istanza, ma non concederà l'accesso alle risorse all'interno dell'istanza. Questo ruolo viene in genere utilizzato insieme a uno dei Visualizzatore/Sviluppatore/Operatore/Editor per concedere l'accesso a uno o a un sottoinsieme dei degli spazi dei nomi all'interno di un'istanza.
- Si consiglia di assegnare il ruolo Visualizzatore agli utenti o ai gruppi Google che vorrebbe utilizzare un servizio self-service per comprendere lo stato dei job in esecuzione, oppure visualizzazione di pipeline o log con istanze Cloud Data Fusion. Per ad esempio i consumatori di report giornalieri che vogliono sapere se l'elaborazione è stata completata.
- Il ruolo Sviluppatore è consigliato per gli sviluppatori ETL responsabili per creare, testare e gestire le pipeline.
- Il ruolo di operatore per uno spazio dei nomi è consigliato agli utenti che forniscono operativo o servizi DevOps. Possono eseguire tutte le azioni che gli sviluppatori possono eseguire (tranne l'anteprima delle pipeline) eseguire il deployment degli artefatti e gestire i profili di calcolo.
- Il ruolo Editor per uno spazio dei nomi è un ruolo con privilegi che concede all'utente o Accesso completo del gruppo Google a tutte le risorse nello spazio dei nomi. L'editor può essere considerato l'unione dei ruoli di sviluppatore e operatore.
- Gli operatori e gli amministratori devono diffidare di installare plug-in non attendibili o artefatti, in quanto ciò può rappresentare un rischio per la sicurezza.
Risoluzione dei problemi
Questa sezione di pagina mostra come risolvere i problemi relativi a RBAC in in Cloud Data Fusion.
Un'entità con il ruolo Visualizzatore Cloud Data Fusion per uno spazio dei nomi in RBAC può modificare le pipeline
L'accesso si basa su una combinazione di IAM e RBAC ruoli. I ruoli IAM hanno la precedenza sui ruoli RBAC. Controlla se l'entità ha Editor di progetto o Amministratore Cloud Data Fusion i ruoli IAM.
Un'entità con il ruolo Amministratore istanza in RBAC non può visualizzare le istanze Cloud Data Fusion nella console Google Cloud
Esiste un problema noto in Cloud Data Fusion in cui le entità con Il ruolo Amministratore istanze non può visualizzare istanze nella console Google Cloud. Per correggere devi concedere l'accesso Visualizzatore progetto o uno dei con i ruoli IAM di Cloud Data Fusion per l'entità, oltre a renderle amministrative per un'istanza. Questo concede Accesso in Visualizzatore all'entità per tutte le istanze nel progetto.
Impedisci a un'entità di visualizzare gli spazi dei nomi in cui non ha ruolo
Per impedire a un'entità di visualizzare gli spazi dei nomi in cui non ha ruoli, non deve avere Visualizzatore progetto o uno qualsiasi dei Ruoli IAM di Cloud Data Fusion. Concedi invece solo i ruoli RBAC all'entità nello spazio dei nomi dove devono operare.
L'entità con questo tipo di accesso non vedrà l'elenco di Cloud Data Fusion
di Compute Engine nella console Google Cloud. Fornisci loro un link diretto
simile al seguente:
https://INSTANCE_NAME-PROJECT_ID.REGION_NAME.datafusion.googleusercontent.com/
Quando l'entità apre l'istanza, Cloud Data Fusion visualizza un elenco spazi dei nomi in cui all'entità viene concesso il ruolo RBAC.
Concedi il ruolo di accesso a Cloud Data Fusion a un'entità
Il ruolo Funzione di accesso è assegnato implicitamente a un'entità quando Viene assegnato loro il ruolo RBAC per qualsiasi progetto Cloud Data Fusion in esecuzione in un'istanza Compute Engine. Per verificare se un'entità ha quel ruolo su una determinata istanza, consulta il Analizzatore criteri IAM.
Passaggi successivi
- Scopri come Utilizzare RBAC in Cloud Data Fusion.