Auf dieser Seite wird die detaillierte Autorisierung mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) beschrieben, die ist in Cloud Data Fusion ab Version 6.5 verfügbar.
RBAC schränkt den Zugriff innerhalb der Entwicklungsumgebungen ein Pipelines in Cloud Data Fusion. Mit RBAC können Sie festlegen, Zugriff auf Ressourcen von Cloud Data Fusion hat. Ressourcen und auf welche Bereiche (z. B. Instanzen oder Namespaces) sie zugreifen können. Cloud Data Fusion RBAC ist ein Autorisierungssystem, Zugriffsverwaltung mit Identity and Access Management (IAM)
Einsatzmöglichkeiten für RBAC
Die rollenbasierte Zugriffssteuerung ermöglicht die Isolierung auf Namespace-Ebene innerhalb eines Cloud Data Fusion-Instanz. Sie wird für die folgenden Anwendungsfälle empfohlen:
- Minimieren der Anzahl der von Ihrer Organisation verwendeten Instanzen.
- Mehrere Entwickler, Teams oder Geschäftseinheiten verwenden eine einzige Cloud Data Fusion-Instanz.
Mit Cloud Data Fusion RBAC können Organisationen:
- Einem Nutzer erlauben, eine Pipeline nur innerhalb eines Namespace auszuführen, aber nicht zu ändern Artefakte oder Laufzeit-Compute-Profile.
- Einem Nutzer erlauben, die Pipeline nur anzusehen, aber nicht zu ändern oder auszuführen zu erstellen.
- Einem Nutzer erlauben, eine Pipeline zu erstellen, bereitzustellen und auszuführen.
Empfohlen:Auch wenn Sie RBAC verwenden, sollten Sie aus Gründen der Isolation Sicherheit und Leistungsstabilität zu nutzen, verwenden Sie separate Projekte und Instanzen für Entwicklungs- und Produktionsumgebungen.
Beschränkungen
- Einem Nutzer können auf Instanz- oder Namespace-Ebene eine oder mehrere Rollen zugewiesen werden.
- RBAC ist nur in der Enterprise-Version von Cloud Data Fusion verfügbar.
- Anzahl der Namespaces: kein festes Limit für die Anzahl von Namespaces pro Instanz.
- Die maximale Anzahl gleichzeitig aktiver Nutzer in einer RBAC-fähigen Instanz finden Sie unter Preise.
- Benutzerdefinierte Rollen: Das Erstellen benutzerdefinierter RBAC-Rollen wird nicht unterstützt.
- Cloud Data Fusion RBAC unterstützt keine Autorisierung für Verbindungsverwaltung.
- Beim Verwenden von Dienstkonto-OAuth-Zugriffstokens für den Zugriff auf Version 6.5
RBAC-fähige Instanzen haben, müssen die folgenden Bereiche angegeben werden, insbesondere
den Bereich
userinfo.email. Andernfalls erhalten Sie die Berechtigung, abgelehnt.https://www.googleapis.com/auth/userinfo.emailhttps://www.googleapis.com/auth/cloud-platformoderhttps://www.googleapis.com/auth/servicecontrol
Role assignments (Rollenzuweisungen)
Eine Rollenzuweisung besteht aus drei Elementen: Hauptkonto, Rollendefinition und Umfang.
Hauptkonto
A Hauptkonto (früher „Mitglied“) kann ein Google-Konto (für Endnutzer), ein Dienst (für Apps und virtuelle Maschinen) oder eine Google-Gruppe, Zugriff auf Cloud Data Fusion-Ressourcen Sie können jedem dieser Hauptkonten eine Rolle zuweisen.
Rollendefinition
Eine Rolle enthält eine Reihe von Berechtigungen, mit denen Sie bestimmte Aktionen für Google Cloud-Ressourcen vornehmen können.
Cloud Data Fusion bietet mehrere vordefinierten Rollen hinzufügen, verwenden.
Beispiele:
- Mit der Instanzadministratorrolle (
datafusion.admin) können Hauptkonten Namespaces erstellen und löschen und Berechtigungen gewähren. - Mit der Rolle „Entwickler“ (
datafusion.developer) können Hauptkonten ein und Löschen von Pipelines, Bereitstellen und Ausführen von Vorschauen.
Umfang
Der Bereich ist die Gruppe von Ressourcen, für die der Zugriff gilt. Wenn Sie eine Rolle zuweisen, können Sie die zulässigen Aktionen weiter einschränken, indem Sie einen Bereich definieren (z. B. eine Instanz oder einen Namespace). Dies ist hilfreich, wenn Sie die Developer-Rolle zuweisen, aber nur für einen Namespace.
Sicherheitsempfehlungen
Die Einführung eines Sicherheitsmodells und die Anpassung an die Anforderungen Ihres Unternehmens kann eine Herausforderung sein. Die folgenden Empfehlungen sollen Ihnen den Umstieg auf das RBAC-Modell von Cloud Data Fusion erleichtern:
- Die Rolle „Instanzadministrator“ sollte mit Bedacht gewährt werden. Diese Rolle ermöglicht vollständigen Zugriff auf eine Instanz und alle zugrunde liegenden Cloud Data Fusion-Ressourcen. Ein Hauptkonto mit dieser Rolle kann anderen Berechtigungen gewähren, indem es mithilfe der REST API.
- Die Rolle „Instanzadministrator“ sollte nicht gewährt werden, wenn Hauptkonten erforderlich sind Zugriff auf einzelne Namespaces in Cloud Data Fusion zu haben Instanz. Weisen Sie stattdessen die Rolle „Instanzzugriff“ mit der Rolle „Betrachter“, „Entwickler“, „Operator“ oder „Bearbeiter“ zu, die für eine Teilmenge der Namespaces gewährt wurden.
- Die Rolle Instance Accessor kann ohne Bedenken zuerst zugewiesen werden, da sie aktiviert wird. Hauptkonten Zugriff auf die Instanz, aber nicht auf Ressourcen innerhalb der Instanz. Diese Rolle wird in der Regel zusammen mit der Rolle Betrachter/Entwickler/Operator/Bearbeiter verwendet, um Zugriff auf einen oder eine Teilmenge der Namespaces innerhalb einer Instanz zu gewähren.
- Die Betrachterrolle sollte Nutzern oder Google-Gruppen zugewiesen werden, die sich selbst um den Status ausgeführter Jobs kümmern bzw. Pipelines oder Logs mit Cloud Data Fusion-Instanzen aufrufen möchten. Für Nutzer von täglichen Berichten, die wissen möchten, die Verarbeitung abgeschlossen ist.
- Die Rolle „Entwickler“ wird für ETL-Entwickler empfohlen, die für Erstellen, Testen und Verwalten von Pipelines.
- Die Operator-Rolle für einen Namespace wird für Nutzer empfohlen, die Folgendes bereitstellen: Operations-Administrator oder DevOps-Dienste. Sie können alle Aktionen, die Entwickler ausführen können (außer für Vorschauen von Pipelines) und Außerdem können sie Artefakte bereitstellen und Rechenprofile verwalten.
- Die Bearbeiterrolle für einen Namespace ist eine privilegierte Rolle, die dem Nutzer oder der Google-Gruppe vollen Zugriff auf alle Ressourcen im Namespace gewährt. Die Bearbeiterrolle vereinigt Entwickler- und Operatorrollen.
- Operatoren und Administratoren sollten bei der Installation nicht vertrauenswürdiger Plug-ins oder Artefakte vorsichtig sein, da diese ein Sicherheitsrisiko darstellen können.
Fehlerbehebung
In diesem Seitenbereich erfahren Sie, wie Sie Probleme mit RBAC in Cloud Data Fusion.
Ein Hauptkonto mit der Rolle „Cloud Data Fusion-Betrachter“ für einen Namespace in RBAC kann Pipelines bearbeiten
Der Zugriff basiert auf einer Kombination aus IAM und RBAC Rollen. IAM-Rollen haben Vorrang vor RBAC-Rollen. Prüfen Sie, ob das Hauptkonto Projektbearbeiter oder Cloud Data Fusion-Administrator IAM-Rollen
Ein Hauptkonto mit der Rolle „Instanzadministrator“ in RBAC kann Cloud Data Fusion-Instanzen in der Google Cloud Console nicht ansehen
Es gibt ein bekanntes Problem in Cloud Data Fusion, bei dem Hauptkonten mit der Die Rolle „Instanzadministrator“ kann keine Instanzen in der Google Cloud Console aufrufen. Um das Problem zu beheben, erhalten Sie entweder die Projektbetrachter oder einer der Cloud Data Fusion IAM-Rollen für und sie nicht mehr als Administrator einer Instanz festzulegen. Dies gewährt Betrachterzugriff auf das Hauptkonto für alle Instanzen im Projekt.
Verhindern, dass ein Hauptkonto Namespaces aufruft, für die es keine Rolle hat
Um zu verhindern, dass ein Hauptkonto Namespaces anzeigt, für die es keine Rolle hat, darf nicht die Projektbetrachter oder einer der Cloud Data Fusion-IAM-Rollen. Weisen Sie stattdessen dem Hauptkonto im Namespace nur RBAC-Rollen zu wo sie arbeiten müssen.
Das Hauptkonto mit dieser Art von Zugriff kann die Liste von Cloud Data Fusion nicht sehen
in der Google Cloud Console. Bieten Sie ihnen stattdessen einen direkten Link zum
.
https://INSTANCE_NAME-PROJECT_ID.REGION_NAME.datafusion.googleusercontent.com/
Wenn das Hauptkonto die Instanz öffnet, zeigt Cloud Data Fusion eine Liste der Namespaces, in denen dem Hauptkonto eine RBAC-Rolle gewährt wird.
Einem Hauptkonto die Rolle „Cloud Data Fusion-Zugriffer“ gewähren
Die zugreifende Rolle wird implizit einem Hauptkonto zugewiesen, wenn ihm wird für jede Cloud Data Fusion-Rolle eine RBAC-Rolle zugewiesen Instanz. Informationen zum Prüfen, ob ein Hauptkonto diese Rolle auf einer bestimmten Instanz hat, finden Sie unter die IAM Policy Analyzer
Nächste Schritte
- Hier erfahren Sie, wie Sie RBAC in Cloud Data Fusion verwenden