Ringkasan Role-based access control (RBAC)

Halaman ini menjelaskan otorisasi terperinci dengan role-based access control (RBAC), yang tersedia di Cloud Data Fusion versi 6.5 dan yang lebih baru.

RBAC membatasi akses di dalam lingkungan tempat Anda mengembangkan pipeline di Cloud Data Fusion. RBAC membantu Anda mengelola siapa saja yang memiliki akses ke resource Cloud Data Fusion, hal yang dapat dilakukan dengan resource tersebut, dan area (seperti instance atau namespace) yang dapat mereka akses. Cloud Data Fusion RBAC adalah sistem otorisasi yang menyediakan pengelolaan akses terperinci yang didukung oleh Identity and Access Management (IAM).

Kapan harus menggunakan RBAC

Kontrol akses berbasis peran menyediakan isolasi tingkat namespace dalam satu instance Cloud Data Fusion. Disarankan untuk kasus penggunaan berikut:

  • Membantu meminimalkan jumlah instance yang digunakan oleh organisasi Anda.
  • Memiliki beberapa developer, tim, atau unit bisnis menggunakan satu instance Cloud Data Fusion.

Dengan Cloud Data Fusion RBAC, organisasi dapat:

  • Mengizinkan pengguna untuk hanya menjalankan pipeline dalam namespace, tetapi tidak mengubah artefak atau profil komputasi runtime.
  • Izinkan pengguna untuk hanya melihat pipeline, tetapi tidak dapat mengubah atau menjalankan pipeline.
  • Memungkinkan pengguna membuat, men-deploy, dan menjalankan pipeline.

Direkomendasikan: Meskipun Anda menggunakan RBAC, untuk mempertahankan isolasi, keamanan, dan stabilitas performa, gunakan project dan instance terpisah untuk lingkungan pengembangan dan produksi.

Batasan

  • Pengguna dapat diberi satu atau beberapa peran di tingkat instance atau namespace.
  • RBAC hanya tersedia di edisi Cloud Data Fusion Enterprise.
  • Jumlah namespace: Tidak ada batasan pasti jumlah namespace per instance.
  • Pengguna: Jumlah maksimum 50 pengguna per instance didukung.
  • Peran khusus: Membuat peran RBAC kustom tidak didukung.
  • Cloud Data Fusion RBAC tidak mendukung otorisasi pada Connection Management.
  • Saat menggunakan token akses OAuth akun layanan untuk mengakses instance berkemampuan RBAC versi 6.5, cakupan berikut harus ditentukan, terutama cakupan userinfo.email. Tanpanya, Anda akan mengalami error izin ditolak.
    • https://www.googleapis.com/auth/userinfo.email
    • https://www.googleapis.com/auth/cloud-platform atau https://www.googleapis.com/auth/servicecontrol

Role assignments

Penetapan peran terdiri dari tiga elemen: prinsipal, definisi peran, dan cakupan.

Akun utama

Akun utama (sebelumnya dikenal sebagai anggota) dapat berupa Akun Google (untuk pengguna akhir), akun layanan (untuk aplikasi dan virtual machine), atau grup Google yang meminta akses ke resource Cloud Data Fusion. Anda dapat menetapkan peran ke salah satu akun utama ini.

Definisi peran

Peran berisi serangkaian izin yang memungkinkan Anda untuk melakukan tindakan tertentu pada resource Google Cloud.

Cloud Data Fusion menyediakan beberapa peran standar yang dapat Anda gunakan.

Contoh:

  • Peran Admin Instance (datafusion.admin) memungkinkan akun utama membuat dan menghapus namespace, serta memberikan izin.
  • Peran Developer (datafusion.developer) memungkinkan akun utama membuat dan menghapus pipeline, men-deploy pipeline, dan menjalankan pratinjau.

Cakupan

Cakupan adalah kumpulan resource tempat akses diterapkan. Saat menetapkan peran, Anda dapat membatasi lebih lanjut tindakan yang diizinkan dengan menentukan cakupan (misalnya, instance atau namespace). Hal ini berguna jika Anda ingin menetapkan peran Developer kepada seseorang, tetapi hanya untuk satu namespace.

Peran Cloud Data Fusion yang telah ditetapkan

Cloud Data Fusion RBAC mencakup beberapa peran bawaan yang dapat Anda gunakan:

Peran Akses Instance (datafusion.accessor)
Memberikan akses utama ke instance Cloud Data Fusion, tetapi tidak ke resource apa pun dalam instance. Gunakan peran ini bersama dengan peran khusus namespace lainnya untuk memberikan akses terperinci ke namespace.
Peran pelihat (datafusion.viewer)
Memberikan akses ke akun utama di namespace untuk melihat pipeline, tetapi tidak untuk menulis atau menjalankan pipeline.
Peran operator (datafusion.operator)
Memberikan akses ke akun utama di namespace untuk mengakses dan menjalankan pipeline, mengubah profil komputasi, membuat profil komputasi, atau mengupload artefak. Dapat melakukan tindakan yang sama seperti developer, kecuali pada pipeline pratinjau.
Peran developer (datafusion.developer)
Memberikan akses ke akun utama di namespace untuk membuat dan mengubah resource terbatas, seperti pipeline, dalam namespace.
Peran editor (datafusion.editor)
Memberi akun utama akses penuh ke semua resource Cloud Data Fusion dalam namespace dalam instance Cloud Data Fusion. Peran ini harus diberikan selain peran Instance Accessor kepada akun utama. Dengan peran ini, akun utama dapat membuat, menghapus, dan mengubah resource di namespace.
Peran Admin Instance (datafusion.admin)
Memberikan akses ke semua resource dalam instance Cloud Data Fusion. Ditetapkan melalui IAM. Tidak ditetapkan di tingkat namespace melalui RBAC.
Operasi datafusion.accessor datafusion.viewer datafusion.operator datafusion.developer datafusion.editor datafusion.admin
Instance
Instance akses
Namespace
Buat namespace *
Mengakses namespace yang diberi akses eksplisit
Mengakses namespace yang tidak memiliki akses eksplisit *
Edit namespace
Namespace dihapus
Akun layanan namespace
Tambahkan akun layanan
Edit akun layanan
Hapus akun layanan
Gunakan akun layanan
RBAC
Memberikan atau mencabut izin untuk akun utama lain dalam namespace *
Jadwal
Buat jadwal
Lihat jadwal
Ubah jadwal
Profil komputasi
Membuat profil komputasi
Melihat profil komputasi
Edit profil komputasi
Menghapus profil komputasi
Koneksi
Membuat koneksi
Lihat koneksi
Edit koneksi
Menghapus koneksi
Gunakan koneksi
Pipelines
Membuat pipeline
Melihat pipeline
Edit pipeline
Menghapus pipeline
Pratinjau pipeline
Men-deploy pipeline
Menjalankan pipeline
Mengamankan kunci
Membuat kunci aman
Lihat kunci aman
Hapus kunci aman
Tag
Membuat tag
Melihat tag
Menghapus tag
Hub Cloud Data Fusion
Men-deploy plugin
Pengelolaan Kontrol Sumber
Mengonfigurasi repositori kontrol sumber
Menyinkronkan pipeline dari namespace
Garis keturunan
Lihat silsilah
Log
Lihat log

* Akun utama harus memiliki peran IAM Admin Data Fusion, bukan peran Instance Admin RBAC.

Rekomendasi keamanan

Mengadopsi model keamanan dan menyesuaikannya dengan kebutuhan dan persyaratan organisasi Anda bukanlah hal yang mudah. Rekomendasi berikut dimaksudkan untuk membantu Anda menyederhanakan perjalanan Anda dalam mengadopsi model RBAC Cloud Data Fusion:

  • Peran Admin Instance harus diberikan dengan hati-hati. Peran ini memungkinkan akses penuh ke instance dan semua resource Cloud Data Fusion yang mendasarinya. Entity utama dengan peran ini dapat memberikan izin kepada orang lain dengan menggunakan REST API.
  • Peran Admin Instance tidak boleh diberikan jika akun utama diwajibkan untuk memiliki akses ke namespace individual dalam instance Cloud Data Fusion. Sebagai gantinya, berikan peran Aksesor Instance dengan salah satu peran Pelihat/Developer/Operator/Editor yang diberikan di subset namespace.
  • Peran Instance Accessor aman untuk ditetapkan terlebih dahulu, karena peran ini memungkinkan akses akun utama ke instance, tetapi tidak akan memberikan akses ke resource mana pun dalam instance. Peran ini biasanya digunakan bersama dengan salah satu Pelihat/Developer/Operator/Editor untuk memberikan akses ke satu atau subset namespace dalam instance.
  • Peran pelihat direkomendasikan untuk ditetapkan kepada pengguna atau grup Google yang ingin melakukan layanan mandiri untuk memahami status tugas yang sedang berjalan, atau melihat pipeline atau log dengan instance Cloud Data Fusion. Misalnya, konsumen laporan harian yang ingin mengetahui apakah pemrosesan telah selesai.
  • Peran developer direkomendasikan untuk developer ETL yang bertanggung jawab untuk membuat, menguji, dan mengelola pipeline.
  • Peran operator untuk namespace direkomendasikan bagi pengguna yang menyediakan administrator operasi atau layanan DevOps. Mereka dapat melakukan semua tindakan yang dapat dilakukan developer (kecuali untuk pipeline pratinjau) dan juga men-deploy artefak dan mengelola profil komputasi.
  • Peran Editor untuk namespace adalah peran istimewa yang memberi pengguna atau grup Google akses penuh ke semua resource dalam namespace. Editor dapat dianggap gabungan dari peran developer dan operator.
  • Operator dan Admin harus berhati-hati saat menginstal plugin atau artefak yang tidak tepercaya karena hal ini dapat menimbulkan risiko keamanan.

Pemecahan masalah

Bagian halaman ini menunjukkan cara menyelesaikan masalah terkait RBAC di Cloud Data Fusion.

Entity utama yang memiliki peran Cloud Data Fusion Viewer untuk namespace di RBAC dapat mengedit pipeline

Akses didasarkan pada kombinasi peran IAM dan RBAC. Peran IAM lebih diutamakan daripada peran RBAC. Periksa apakah akun utama memiliki peran IAM Project Editor atau Cloud Data Fusion Admin.

Akun utama yang memiliki peran Instance Admin di RBAC tidak dapat melihat instance Cloud Data Fusion di konsol Google Cloud

Terdapat masalah umum di Cloud Data Fusion saat akun utama dengan peran Admin Instance tidak dapat melihat instance di Konsol Google Cloud. Untuk memperbaiki masalah ini, berikan Project Viewer atau salah satu peran IAM Cloud Data Fusion kepada akun utama, selain menjadikannya Admin ke instance. Hal ini akan memberikan akses Viewer ke akun utama untuk semua instance dalam project.

Mencegah akun utama melihat namespace yang tidak memiliki peran

Untuk mencegah akun utama melihat namespace jika tidak memiliki peran, akun utama tidak boleh memiliki Project Viewer atau peran IAM Cloud Data Fusion. Sebagai gantinya, hanya berikan peran RBAC kepada akun utama dalam namespace tempat akun utama tersebut perlu beroperasi.

Akun utama dengan akses semacam ini tidak akan melihat daftar instance Cloud Data Fusion di konsol Google Cloud. Sebagai gantinya, beri mereka link langsung ke instance, seperti berikut ini: https://INSTANCE_NAME-PROJECT_ID.REGION_NAME.datafusion.googleusercontent.com/

Saat akun utama membuka instance, Cloud Data Fusion akan menampilkan daftar namespace tempat akun utama diberi peran RBAC.

Memberikan peran Cloud Data Fusion Accessor ke akun utama

Peran Accessor secara implisit ditetapkan ke sebuah akun utama jika peran RBAC lainnya ditetapkan kepadanya untuk instance Cloud Data Fusion apa pun. Untuk memverifikasi apakah akun utama memiliki peran tersebut pada instance tertentu, lihat Penganalisis Kebijakan IAM.

Langkah selanjutnya