Halaman ini menjelaskan otorisasi terperinci dengan role-based access control (RBAC), yang tersedia di Cloud Data Fusion versi 6.5 dan yang lebih baru.
RBAC membatasi akses di dalam lingkungan tempat Anda mengembangkan pipeline di Cloud Data Fusion. RBAC membantu Anda mengelola siapa saja yang memiliki akses ke resource Cloud Data Fusion, hal yang dapat dilakukan dengan resource tersebut, dan area (seperti instance atau namespace) yang dapat mereka akses. Cloud Data Fusion RBAC adalah sistem otorisasi yang menyediakan pengelolaan akses terperinci yang didukung oleh Identity and Access Management (IAM).
Kapan harus menggunakan RBAC
Kontrol akses berbasis peran menyediakan isolasi tingkat namespace dalam satu instance Cloud Data Fusion. Disarankan untuk kasus penggunaan berikut:
- Membantu meminimalkan jumlah instance yang digunakan oleh organisasi Anda.
- Memiliki beberapa developer, tim, atau unit bisnis menggunakan satu instance Cloud Data Fusion.
Dengan Cloud Data Fusion RBAC, organisasi dapat:
- Mengizinkan pengguna untuk hanya menjalankan pipeline dalam namespace, tetapi tidak mengubah artefak atau profil komputasi runtime.
- Izinkan pengguna untuk hanya melihat pipeline, tetapi tidak dapat mengubah atau menjalankan pipeline.
- Memungkinkan pengguna membuat, men-deploy, dan menjalankan pipeline.
Direkomendasikan: Meskipun Anda menggunakan RBAC, untuk mempertahankan isolasi, keamanan, dan stabilitas performa, gunakan project dan instance terpisah untuk lingkungan pengembangan dan produksi.
Batasan
- Pengguna dapat diberi satu atau beberapa peran di tingkat instance atau namespace.
- RBAC hanya tersedia di edisi Cloud Data Fusion Enterprise.
- Jumlah namespace: Tidak ada batasan pasti jumlah namespace per instance.
- Pengguna: Jumlah maksimum 50 pengguna per instance didukung.
- Peran khusus: Membuat peran RBAC kustom tidak didukung.
- Cloud Data Fusion RBAC tidak mendukung otorisasi pada Connection Management.
- Saat menggunakan token akses OAuth akun layanan untuk mengakses instance berkemampuan RBAC versi 6.5, cakupan berikut harus ditentukan, terutama cakupan
userinfo.email. Tanpanya, Anda akan mengalami error izin ditolak.https://www.googleapis.com/auth/userinfo.emailhttps://www.googleapis.com/auth/cloud-platformatauhttps://www.googleapis.com/auth/servicecontrol
Role assignments
Penetapan peran terdiri dari tiga elemen: prinsipal, definisi peran, dan cakupan.
Akun utama
Akun utama (sebelumnya dikenal sebagai anggota) dapat berupa Akun Google (untuk pengguna akhir), akun layanan (untuk aplikasi dan virtual machine), atau grup Google yang meminta akses ke resource Cloud Data Fusion. Anda dapat menetapkan peran ke salah satu akun utama ini.
Definisi peran
Peran berisi serangkaian izin yang memungkinkan Anda untuk melakukan tindakan tertentu pada resource Google Cloud.
Cloud Data Fusion menyediakan beberapa peran standar yang dapat Anda gunakan.
Contoh:
- Peran Admin Instance (
datafusion.admin) memungkinkan akun utama membuat dan menghapus namespace, serta memberikan izin. - Peran Developer (
datafusion.developer) memungkinkan akun utama membuat dan menghapus pipeline, men-deploy pipeline, dan menjalankan pratinjau.
Cakupan
Cakupan adalah kumpulan resource tempat akses diterapkan. Saat menetapkan peran, Anda dapat membatasi lebih lanjut tindakan yang diizinkan dengan menentukan cakupan (misalnya, instance atau namespace). Hal ini berguna jika Anda ingin menetapkan peran Developer kepada seseorang, tetapi hanya untuk satu namespace.
Peran Cloud Data Fusion yang telah ditetapkan
Cloud Data Fusion RBAC mencakup beberapa peran bawaan yang dapat Anda gunakan:
- Peran Akses Instance (
datafusion.accessor) - Memberikan akses utama ke instance Cloud Data Fusion, tetapi tidak ke resource apa pun dalam instance. Gunakan peran ini bersama dengan peran khusus namespace lainnya untuk memberikan akses terperinci ke namespace.
- Peran pelihat (
datafusion.viewer) - Memberikan akses ke akun utama di namespace untuk melihat pipeline, tetapi tidak untuk menulis atau menjalankan pipeline.
- Peran operator (
datafusion.operator) - Memberikan akses ke akun utama di namespace untuk mengakses dan menjalankan pipeline, mengubah profil komputasi, membuat profil komputasi, atau mengupload artefak. Dapat melakukan tindakan yang sama seperti developer, kecuali pada pipeline pratinjau.
- Peran developer (
datafusion.developer) - Memberikan akses ke akun utama di namespace untuk membuat dan mengubah resource terbatas, seperti pipeline, dalam namespace.
- Peran editor (
datafusion.editor) - Memberi akun utama akses penuh ke semua resource Cloud Data Fusion dalam namespace dalam instance Cloud Data Fusion. Peran ini harus diberikan selain peran Instance Accessor kepada akun utama. Dengan peran ini, akun utama dapat membuat, menghapus, dan mengubah resource di namespace.
- Peran Admin Instance (
datafusion.admin) - Memberikan akses ke semua resource dalam instance Cloud Data Fusion. Ditetapkan melalui IAM. Tidak ditetapkan di tingkat namespace melalui RBAC.
| Operasi | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
|---|---|---|---|---|---|---|
| Instance | ||||||
| Instance akses | ||||||
| Namespace | ||||||
| Buat namespace | * | |||||
| Mengakses namespace yang diberi akses eksplisit | ||||||
| Mengakses namespace yang tidak memiliki akses eksplisit | * | |||||
| Edit namespace | ||||||
| Namespace dihapus | ||||||
| Akun layanan namespace | ||||||
| Tambahkan akun layanan | ||||||
| Edit akun layanan | ||||||
| Hapus akun layanan | ||||||
| Gunakan akun layanan | ||||||
| RBAC | ||||||
| Memberikan atau mencabut izin untuk akun utama lain dalam namespace | * | |||||
| Jadwal | ||||||
| Buat jadwal | ||||||
| Lihat jadwal | ||||||
| Ubah jadwal | ||||||
| Profil komputasi | ||||||
| Membuat profil komputasi | ||||||
| Melihat profil komputasi | ||||||
| Edit profil komputasi | ||||||
| Menghapus profil komputasi | ||||||
| Koneksi | ||||||
| Membuat koneksi | ||||||
| Lihat koneksi | ||||||
| Edit koneksi | ||||||
| Menghapus koneksi | ||||||
| Gunakan koneksi | ||||||
| Pipelines | ||||||
| Membuat pipeline | ||||||
| Melihat pipeline | ||||||
| Edit pipeline | ||||||
| Menghapus pipeline | ||||||
| Pratinjau pipeline | ||||||
| Men-deploy pipeline | ||||||
| Menjalankan pipeline | ||||||
| Mengamankan kunci | ||||||
| Membuat kunci aman | ||||||
| Lihat kunci aman | ||||||
| Hapus kunci aman | ||||||
| Tag | ||||||
| Membuat tag | ||||||
| Melihat tag | ||||||
| Menghapus tag | ||||||
| Hub Cloud Data Fusion | ||||||
| Men-deploy plugin | ||||||
| Pengelolaan Kontrol Sumber | ||||||
| Mengonfigurasi repositori kontrol sumber | ||||||
| Menyinkronkan pipeline dari namespace | ||||||
| Garis keturunan | ||||||
| Lihat silsilah | ||||||
| Log | ||||||
| Lihat log | ||||||
Rekomendasi keamanan
Mengadopsi model keamanan dan menyesuaikannya dengan kebutuhan dan persyaratan organisasi Anda bukanlah hal yang mudah. Rekomendasi berikut dimaksudkan untuk membantu Anda menyederhanakan perjalanan Anda dalam mengadopsi model RBAC Cloud Data Fusion:
- Peran Admin Instance harus diberikan dengan hati-hati. Peran ini memungkinkan akses penuh ke instance dan semua resource Cloud Data Fusion yang mendasarinya. Entity utama dengan peran ini dapat memberikan izin kepada orang lain dengan menggunakan REST API.
- Peran Admin Instance tidak boleh diberikan jika akun utama diwajibkan untuk memiliki akses ke namespace individual dalam instance Cloud Data Fusion. Sebagai gantinya, berikan peran Aksesor Instance dengan salah satu peran Pelihat/Developer/Operator/Editor yang diberikan di subset namespace.
- Peran Instance Accessor aman untuk ditetapkan terlebih dahulu, karena peran ini memungkinkan akses akun utama ke instance, tetapi tidak akan memberikan akses ke resource mana pun dalam instance. Peran ini biasanya digunakan bersama dengan salah satu Pelihat/Developer/Operator/Editor untuk memberikan akses ke satu atau subset namespace dalam instance.
- Peran pelihat direkomendasikan untuk ditetapkan kepada pengguna atau grup Google yang ingin melakukan layanan mandiri untuk memahami status tugas yang sedang berjalan, atau melihat pipeline atau log dengan instance Cloud Data Fusion. Misalnya, konsumen laporan harian yang ingin mengetahui apakah pemrosesan telah selesai.
- Peran developer direkomendasikan untuk developer ETL yang bertanggung jawab untuk membuat, menguji, dan mengelola pipeline.
- Peran operator untuk namespace direkomendasikan bagi pengguna yang menyediakan administrator operasi atau layanan DevOps. Mereka dapat melakukan semua tindakan yang dapat dilakukan developer (kecuali untuk pipeline pratinjau) dan juga men-deploy artefak dan mengelola profil komputasi.
- Peran Editor untuk namespace adalah peran istimewa yang memberi pengguna atau grup Google akses penuh ke semua resource dalam namespace. Editor dapat dianggap gabungan dari peran developer dan operator.
- Operator dan Admin harus berhati-hati saat menginstal plugin atau artefak yang tidak tepercaya karena hal ini dapat menimbulkan risiko keamanan.
Pemecahan masalah
Bagian halaman ini menunjukkan cara menyelesaikan masalah terkait RBAC di Cloud Data Fusion.
Entity utama yang memiliki peran Cloud Data Fusion Viewer untuk namespace di RBAC dapat mengedit pipeline
Akses didasarkan pada kombinasi peran IAM dan RBAC. Peran IAM lebih diutamakan daripada peran RBAC. Periksa apakah akun utama memiliki peran IAM Project Editor atau Cloud Data Fusion Admin.
Akun utama yang memiliki peran Instance Admin di RBAC tidak dapat melihat instance Cloud Data Fusion di konsol Google Cloud
Terdapat masalah umum di Cloud Data Fusion saat akun utama dengan peran Admin Instance tidak dapat melihat instance di Konsol Google Cloud. Untuk memperbaiki masalah ini, berikan Project Viewer atau salah satu peran IAM Cloud Data Fusion kepada akun utama, selain menjadikannya Admin ke instance. Hal ini akan memberikan akses Viewer ke akun utama untuk semua instance dalam project.
Mencegah akun utama melihat namespace yang tidak memiliki peran
Untuk mencegah akun utama melihat namespace jika tidak memiliki peran, akun utama tidak boleh memiliki Project Viewer atau peran IAM Cloud Data Fusion. Sebagai gantinya, hanya berikan peran RBAC kepada akun utama dalam namespace tempat akun utama tersebut perlu beroperasi.
Akun utama dengan akses semacam ini tidak akan melihat daftar instance Cloud Data Fusion di konsol Google Cloud. Sebagai gantinya, beri mereka link langsung ke
instance, seperti berikut ini:
https://INSTANCE_NAME-PROJECT_ID.REGION_NAME.datafusion.googleusercontent.com/
Saat akun utama membuka instance, Cloud Data Fusion akan menampilkan daftar namespace tempat akun utama diberi peran RBAC.
Memberikan peran Cloud Data Fusion Accessor ke akun utama
Peran Accessor secara implisit ditetapkan ke sebuah akun utama jika peran RBAC lainnya ditetapkan kepadanya untuk instance Cloud Data Fusion apa pun. Untuk memverifikasi apakah akun utama memiliki peran tersebut pada instance tertentu, lihat Penganalisis Kebijakan IAM.
Langkah selanjutnya
- Pelajari cara menggunakan RBAC di Cloud Data Fusion.