En esta página, se describe la autorización detallada con el control de acceso basado en roles (RBAC), que está disponible en Cloud Data Fusion 6.5 y versiones posteriores.
RBAC restringe el acceso dentro de los entornos en los que desarrollas canalizaciones en Cloud Data Fusion. El RBAC te ayuda a administrar quiénes tiene acceso a los recursos de Cloud Data Fusion, recursos y a qué áreas (como instancias o espacios de nombres) pueden acceder. El RBAC de Cloud Data Fusion es un sistema de autorización que proporciona Access Management con tecnología de Identity and Access Management (IAM).
Cuándo usar RBAC
El control de acceso basado en roles proporciona aislamiento a nivel de espacio de nombres dentro de un instancia de Cloud Data Fusion. Se recomienda para los siguientes casos de uso:
- Ayuda a minimizar la cantidad de instancias que usa tu organización.
- Cuando varios desarrolladores, equipos o unidades de negocios usan una sola instancia de Cloud Data Fusion.
Con el RBAC de Cloud Data Fusion, las organizaciones pueden hacer lo siguiente:
- Permitir que un usuario solo ejecute una canalización dentro de un espacio de nombres, pero no la modifique artefactos o perfiles de procesamiento del entorno de ejecución.
- Permitir que un usuario solo vea la canalización, pero no modifique ni ejecute en una canalización de integración continua.
- Permite que un usuario cree, implemente y ejecute una canalización.
Recomendado: Incluso cuando usas el RBAC, para mantener el aislamiento, la seguridad y la estabilidad del rendimiento, usa sistemas instancias y proyectos para entornos de desarrollo y producción.
Limitaciones
- A un usuario se le puede otorgar una o varias funciones a nivel de instancia o de espacio de nombres.
- RBAC solo está disponible en la edición Enterprise de Cloud Data Fusion.
- Cantidad de espacios de nombres: No hay un límite estricto en la cantidad de espacios de nombres por instancia.
- Para conocer la cantidad máxima de usuarios simultáneos en una instancia habilitada para RBAC, consulta Precios.
- Roles personalizados: no se admite la creación de funciones personalizadas de RBAC.
- El RBAC de Cloud Data Fusion no admite la autorización en Administración de conexiones.
- Cuando se usan tokens de acceso OAuth de cuenta de servicio para acceder a la versión 6.5
En las instancias habilitadas para RBAC, se deben especificar los siguientes alcances, en especial
el alcance de
userinfo.email. Sin ellas, obtendrás permiso errores rechazados.https://www.googleapis.com/auth/userinfo.emailhttps://www.googleapis.com/auth/cloud-platformo bienhttps://www.googleapis.com/auth/servicecontrol
Asignaciones de funciones
Una asignación de función consta de tres elementos: principal, definición de la función y permiso.
Principal
R principal (antes conocido como miembro) puede ser una Cuenta de Google (para usuarios finales), un servicio (para apps y máquinas virtuales) o a un Grupo de Google que solicite acceso a recursos de Cloud Data Fusion. Puedes asignar una función a cualquiera de estos principales.
Definición de la función
Una función contiene un conjunto de permisos que te permite realizar acciones específicas en los recursos de Google Cloud.
Cloud Data Fusion ofrece varias roles predefinidos que puedes usar.
Ejemplos:
- La función de administrador de instancias (
datafusion.admin) permite que los principales creen y borren espacios de nombres y otorguen permisos. - El rol de desarrollador (
datafusion.developer) permite que las principales creen y borrar canalizaciones, implementar canalizaciones y ejecutar vistas previas.
Alcance
El permiso es el conjunto de recursos al que se aplica el acceso. Cuando asignas una función, puedes limitar aún más las acciones permitidas si defines un permiso (por ejemplo, una instancia o un espacio de nombres). Esto es útil si quieres asignar a alguien el rol de Desarrollador, pero solo para un espacio de nombres.
Recomendaciones de seguridad
Adoptar un modelo de seguridad y satisfacer las necesidades y los requisitos de tu organización puede ser un desafío. Las siguientes recomendaciones están diseñadas para ayudarte a simplificar tu proceso de adopción del modelo de RBAC de Cloud Data Fusion:
- La función de administrador de instancias debe otorgarse con precaución. Esta función habilita el acceso completo a una instancia y a todos sus recursos subyacentes de Cloud Data Fusion. Una principal con este rol puede otorgar permisos a otros de la siguiente manera: con la API de REST.
- El rol de administrador de instancias no debe otorgarse cuando se requieren principales. tener acceso a espacios de nombres individuales en Cloud Data Fusion instancia. En su lugar, otorga la función de descriptor de acceso a las instancias con una de las funciones de visualizador, desarrollador, operador o editor otorgadas en un subconjunto de los espacios de nombres.
- Agente de acceso a instancias es seguro asignar primero, ya que permite principales acceso a la instancia, pero no otorgará acceso a ningún recurso dentro de la instancia. Por lo general, esta función se usa junto con una función de visualizador, desarrollador, editor o editor para otorgar acceso a uno espacio de nombres o a un subconjunto de estos dentro de una instancia.
- Se recomienda asignar la función de visualizador a los usuarios o Grupos de Google que desean usar el servicio automático para comprender el estado de trabajos en ejecución o para visualizar canalizaciones o registros con instancias de Cloud Data Fusion. Para ejemplo, los consumidores de informes diarios que desean saber se haya completado el procesamiento.
- El rol de desarrollador se recomienda para los desarrolladores de ETL responsables de crear, probar y administrar canalizaciones.
- Se recomienda el rol de operador para un espacio de nombres a los usuarios que proporcionan administrador de operaciones o servicios de DevOps. Pueden realizar todas acciones que los desarrolladores pueden realizar (excepto para obtener una vista previa de las canalizaciones) y implementar artefactos y administrar perfiles de procesamiento.
- La función de editor para un espacio de nombres es una función con privilegios que le otorga al usuario o Grupo de Google acceso completo a todos los recursos en el espacio de nombres. El editor puede considerarse la unión de las funciones de desarrollador y de operador.
- Los operadores y administradores deben ser cuidadosos con la instalación de complementos o artefactos no confiables, ya que esto puede presentar un riesgo de seguridad.
Soluciona problemas
En esta sección de la página, se muestra cómo resolver problemas relacionados con el RBAC en Cloud Data Fusion.
Una principal que tiene el rol de visualizador de Cloud Data Fusion para un espacio de nombres en RBAC puede editar canalizaciones
El acceso se basa en una combinación de IAM y RBAC roles de seguridad. Los roles de IAM tienen prioridad sobre los roles de RBAC. Verifica si la principal tiene Editor del proyecto o Administrador de Cloud Data Fusion de IAM personalizados.
Una principal que tiene el rol de Administrador de instancias en RBAC no puede ver las instancias de Cloud Data Fusion en la consola de Google Cloud
Existe un problema conocido en Cloud Data Fusion en el que las principales con El rol Administrador de instancias no puede ver instancias en la consola de Google Cloud. Para corregir el error otorga el permiso Project Viewer o uno de los Roles de IAM de Cloud Data Fusion para a la principal, además de convertirlos en administrador de una instancia. Esto otorga Tiene acceso de visualizador a la principal para todas las instancias del proyecto.
Impedir que una principal vea los espacios de nombres donde no tiene rol
Para evitar que una principal vea espacios de nombres donde no tiene rol, debe no deben tener los Project Viewer o cualquiera de los Roles de IAM de Cloud Data Fusion. En su lugar, otorga los roles de RBAC solo a la principal en el espacio de nombres. dónde deben operar.
La principal con este tipo de acceso no verá la lista de Cloud Data Fusion.
instancias en la consola de Google Cloud. En su lugar, proporciónales un vínculo directo al
similar a la siguiente:
https://INSTANCE_NAME-PROJECT_ID.REGION_NAME.datafusion.googleusercontent.com/
Cuando la principal abre la instancia, Cloud Data Fusion muestra una lista de espacios de nombres en los que a la principal se le otorga el rol de RBAC.
Otorga el rol de acceso de Cloud Data Fusion a una principal
El rol de descriptor de acceso se asigna implícitamente a una principal cuando cualquier otro Se le asigna el rol de RBAC para cualquier tipo de Cloud Data Fusion. instancia. Para verificar si una principal tiene ese rol en una instancia en particular, consulta el Analizador de políticas de IAM.
¿Qué sigue?
- Aprende a hacer lo siguiente: Usar el RBAC en Cloud Data Fusion.