Questa pagina descrive l'autorizzazione granulare con il controllo controllo dell'accesso basato sui ruoli (RBAC), disponibile in Cloud Data Fusion 6.5 e versioni successive.
RBAC limita l'accesso all'interno degli ambienti in cui si sviluppano pipeline in Cloud Data Fusion. RBAC ti aiuta a gestire chi ha accesso alle risorse Cloud Data Fusion, cosa può fare con queste risorse e a quali aree (come istanze o spazi dei nomi) possono accedere. RBAC di Cloud Data Fusion è un sistema di autorizzazione che offre una gestione degli accessi granulare basata su Identity and Access Management (IAM).
Quando utilizzare RBAC
Controllo dell'accesso basato sui ruoli fornisce l'isolamento a livello di spazio dei nomi all'interno di una singola istanza Cloud Data Fusion. È consigliata per i seguenti casi d'uso:
- Contribuendo a ridurre al minimo il numero di istanze utilizzate dalla tua organizzazione.
- Avere più sviluppatori, team o unità aziendali che utilizzano una singola istanza Cloud Data Fusion.
Con il RBAC di Cloud Data Fusion, le organizzazioni possono:
- Consenti a un utente di eseguire una pipeline solo all'interno di uno spazio dei nomi, ma non di modificare artefatti o profili di calcolo di runtime.
- Consenti a un utente di visualizzare solo la pipeline, ma non di modificare o eseguire una pipeline.
- Consenti a un utente di creare, eseguire il deployment ed eseguire una pipeline.
Consigliato: anche quando utilizzi RBAC, per mantenere l'isolamento, la sicurezza e la stabilità delle prestazioni, utilizza istanze e progetti separati per gli ambienti di sviluppo e produzione.
Limitazioni
- A un utente possono essere assegnati uno o più ruoli a livello di istanza o di spazio dei nomi.
- RBAC è disponibile solo nella versione Enterprise di Cloud Data Fusion.
- Numero di spazi dei nomi: nessun limite fisso al numero di spazi dei nomi per istanza.
- Per il numero massimo di utenti in contemporanea in un'istanza abilitata per RBAC, consulta Prezzi.
- Ruoli personalizzati: la creazione di ruoli RBAC personalizzati non è supportata.
- RBAC di Cloud Data Fusion non supporta l'autorizzazione nella gestione delle connessioni.
- Se utilizzi i token di accesso OAuth dell'account di servizio per accedere alle istanze abilitate per RBAC della versione 6.5, devi specificare i seguenti ambiti, in particolare l'ambito
userinfo.email. In caso contrario, riscontrerai errori di autorizzazioni negate.https://www.googleapis.com/auth/userinfo.emailhttps://www.googleapis.com/auth/cloud-platformoppurehttps://www.googleapis.com/auth/servicecontrol
Role assignments (Assegnazioni di ruoli)
Un'assegnazione del ruolo è composta da tre elementi: entità, definizione del ruolo e ambito.
Entità
Un'entità (precedentemente nota come membro) può essere un Account Google (per gli utenti finali), un account di servizio (per app e macchine virtuali) o un gruppo Google che richiede l'accesso alle risorse di Cloud Data Fusion. Puoi assegnare un ruolo a una qualsiasi di queste entità.
Definizione del ruolo
Un ruolo contiene un insieme di autorizzazioni che consentono di eseguire azioni specifiche sulle risorse Google Cloud.
Cloud Data Fusion fornisce diversi ruoli predefiniti che puoi utilizzare.
Esempi:
- Il ruolo Amministratore istanze (
datafusion.admin) consente alle entità di creare ed eliminare spazi dei nomi e concedere autorizzazioni. - Il ruolo Sviluppatore (
datafusion.developer) consente alle entità di creare ed eliminare pipeline, eseguire il deployment di pipeline ed eseguire anteprime.
Ambito
L'ambito è l'insieme di risorse a cui si applica l'accesso. Quando assegni un ruolo, puoi limitare ulteriormente le azioni consentite definendo un ambito (ad esempio, un'istanza o uno spazio dei nomi). Questa operazione è utile se vuoi assegnare a qualcuno il ruolo Sviluppatore, ma solo per uno spazio dei nomi.
Suggerimenti sulla sicurezza
Adottare un modello di sicurezza e adattarlo alle esigenze e ai requisiti della tua organizzazione può essere impegnativo. I seguenti suggerimenti hanno lo scopo di aiutarti a semplificare il percorso di adozione del modello RBAC di Cloud Data Fusion:
- Il ruolo di amministratore dell'istanza deve essere concesso con cautela. Questo ruolo consente l'accesso completo a un'istanza e a tutte le risorse Cloud Data Fusion sottostanti. Un'entità con questo ruolo può concedere autorizzazioni ad altri utenti utilizzando l'API REST.
- Non dovrebbe essere concesso il ruolo Amministratore istanza se le entità devono avere accesso a singoli spazi dei nomi all'interno di un'istanza Cloud Data Fusion. Concedi invece il ruolo Funzione di accesso alle istanze con uno dei ruoli Visualizzatore/Sviluppatore/Operatore/Editor concessi su un sottoinsieme degli spazi dei nomi.
- Puoi assegnare prima il ruolo Funzione di accesso all'istanza in modo sicuro, in quanto consente alle entità di accedere all'istanza, ma non alle risorse all'interno dell'istanza. In genere questo ruolo viene utilizzato insieme a uno dei Visualizzatore/sviluppatori/operatori/editor per concedere l'accesso a uno o a un sottoinsieme degli spazi dei nomi all'interno di un'istanza.
- Si consiglia di assegnare il ruolo di Visualizzatore agli utenti o ai gruppi Google che vorranno utilizzare self-service per comprendere lo stato dei job in esecuzione o visualizzare pipeline o log con istanze Cloud Data Fusion. Ad esempio, i consumatori di report giornalieri che vogliono sapere se l'elaborazione è stata completata.
- Il ruolo Sviluppatore è consigliato per gli sviluppatori ETL responsabili della creazione, del test e della gestione delle pipeline.
- Il ruolo Operatore per uno spazio dei nomi è consigliato per gli utenti che forniscono servizi di amministratore delle operazioni o DevOps. Possono eseguire tutte le azioni che gli sviluppatori possono eseguire (ad eccezione dell'anteprima delle pipeline), nonché eseguire il deployment degli artefatti e gestire i profili di calcolo.
- Il ruolo Editor per uno spazio dei nomi è un ruolo con privilegi che concede all'utente o al gruppo Google l'accesso completo a tutte le risorse nello spazio dei nomi. L'editor può essere considerato l'unione dei ruoli sviluppatore e operatore.
- Gli operatori e gli amministratori devono diffidare di installare plug-in o artefatti non attendibili, poiché ciò può rappresentare un rischio per la sicurezza.
Risoluzione dei problemi
Questa sezione di pagina mostra come risolvere i problemi relativi a RBAC in Cloud Data Fusion.
Un'entità con il ruolo Visualizzatore Cloud Data Fusion per uno spazio dei nomi in RBAC può modificare le pipeline
L'accesso si basa su una combinazione di ruoli IAM e RBAC. I ruoli IAM hanno la precedenza sui ruoli RBAC. Controlla se l'entità ha ruoli IAM di Editor progetto o Amministratore di Cloud Data Fusion.
Un'entità con il ruolo Amministratore istanza in RBAC non può visualizzare le istanze Cloud Data Fusion nella console Google Cloud
Esiste un problema noto in Cloud Data Fusion a causa del quale le entità con il ruolo Amministratore istanza non possono visualizzare le istanze nella console Google Cloud. Per risolvere il problema, concedi all'entità il Visualizzatore progetto o uno dei ruoli IAM di Cloud Data Fusion, oltre a renderli amministratori per un'istanza. Questo concede l'accesso in Visualizzatore all'entità per tutte le istanze del progetto.
Impedisci a un'entità di visualizzare gli spazi dei nomi in cui non ha ruolo
Per impedire a un'entità di visualizzare gli spazi dei nomi in cui non ha ruoli, non deve avere il Visualizzatore progetto o nessun ruolo IAM di Cloud Data Fusion. Concedi invece i ruoli RBAC all'entità nello spazio dei nomi in cui devono operare.
L'entità con questo tipo di accesso non vedrà l'elenco delle istanze Cloud Data Fusion nella console Google Cloud. Fornisci, invece, un link diretto all'istanza, simile al seguente:
https://INSTANCE_NAME-PROJECT_ID.REGION_NAME.datafusion.googleusercontent.com/
Quando l'entità apre l'istanza, Cloud Data Fusion mostra un elenco di spazi dei nomi in cui all'entità viene concesso il ruolo RBAC.
Concedi il ruolo di accesso a Cloud Data Fusion a un'entità
Il ruolo Funzione di accesso è assegnato implicitamente a un'entità quando gli viene assegnato qualsiasi altro ruolo RBAC per qualsiasi istanza Cloud Data Fusion. Per verificare se un'entità ha quel ruolo in una determinata istanza, consulta Analizzatore criteri IAM.
Passaggi successivi
- Scopri come utilizzare RBAC in Cloud Data Fusion.