Nesta página, descrevemos a autorização detalhada com o controle de acesso baseado em papéis (RBAC, na sigla em inglês), disponível no Cloud Data Fusion versões 6.5 e posteriores.
O RBAC restringe o acesso nos ambientes em que você desenvolve pipelines no Cloud Data Fusion. Ele ajuda a gerenciar quem tem acesso aos recursos do Cloud Data Fusion, o que eles podem fazer com esses recursos e quais áreas (como instâncias ou namespaces) eles podem acessar. O RBAC do Cloud Data Fusion é um sistema de autorização que fornece gerenciamento de acesso refinado com tecnologia do Identity and Access Management (IAM).
Quando usar o RBAC
O controle de acesso baseado em papéis fornece isolamento de nível de namespace em uma única instância do Cloud Data Fusion. Ela é recomendada para os seguintes casos de uso:
- ajudar a minimizar o número de instâncias usadas pela organização;
- Ter vários desenvolvedores, equipes ou unidades de negócios usa uma única instância do Cloud Data Fusion.
Com o RBAC do Cloud Data Fusion, as organizações podem:
- Permitir que um usuário execute apenas um pipeline em um namespace, mas não modifique artefatos ou perfis de computação de ambiente de execução.
- Permitir que um usuário apenas visualize o pipeline, mas não modifique ou execute um pipeline.
- Permitir que um usuário crie, implante e execute um pipeline.
Recomendado: mesmo com o uso do RBAC, para manter o isolamento, a segurança e a estabilidade do desempenho, use projetos e instâncias separados para ambientes de desenvolvimento e produção.
Limitações
- Um usuário pode receber um ou vários papéis no nível da instância ou do namespace.
- O RBAC está disponível apenas na edição Enterprise do Cloud Data Fusion.
- Número de namespaces: sem limite rígido para o número de namespaces por instância.
- Usuários: há suporte para no máximo 50 usuários por instância.
- Papéis personalizados: não é possível criar papéis RBAC personalizados.
- O RBAC do Cloud Data Fusion não é compatível com a autorização no Gerenciamento de conexão.
- Ao usar tokens de acesso OAuth da conta de serviço para acessar instâncias ativadas para o RBAC da versão 6.5, é necessário especificar os escopos a seguir, especialmente o
userinfo.email. Sem eles, você vai encontrar erros de permissão negada.https://www.googleapis.com/auth/userinfo.emailhttps://www.googleapis.com/auth/cloud-platformouhttps://www.googleapis.com/auth/servicecontrol
Role assignments (Atribuições da função)
Uma atribuição de papel consiste em três elementos: principal, definição de papel e escopo.
Principal
Um principal (anteriormente conhecido como membro) pode ser uma Conta do Google (para usuários finais), uma conta de serviço (para apps e máquinas virtuais) ou um grupo do Google que esteja solicitando acesso aos recursos do Cloud Data Fusion. É possível atribuir um papel a qualquer um desses principais.
Definição do papel
Um papel contém um conjunto de permissões que permitem realizar ações específicas nos recursos do Google Cloud.
O Cloud Data Fusion fornece vários papéis predefinidos que você pode usar.
Exemplos:
- O papel de administrador de instância (
datafusion.admin) permite que os principais criem e excluam namespaces e concedam permissões. - O papel de desenvolvedor (
datafusion.developer) permite que os principais criem e excluam pipelines, implantem pipelines e executem visualizações.
Escopo
O escopo é o conjunto de recursos a que o acesso se aplica. Ao fazer isso, você pode limitar ainda mais as ações permitidas pela definição de um escopo (por exemplo, uma instância ou namespace). Isso é útil se você quer atribuir a alguém o papel de desenvolvedor, mas apenas para um namespace.
Papéis predefinidos do Cloud Data Fusion
O RBAC do Cloud Data Fusion inclui vários papéis predefinidos que podem ser usados:
- Papel de acesso à instância (
datafusion.accessor) - Concede o acesso principal a uma instância do Cloud Data Fusion, mas não a quaisquer recursos dentro da instância. Use-o em combinação com outros papéis específicos de namespace para fornecer acesso refinado a ele.
- Papel de leitor (
datafusion.viewer) - Concede acesso a um principal em um namespace para visualizar pipelines, mas não para criar ou executar pipelines.
- Papel de operador (
datafusion.operator) - Concede acesso a um principal em um namespace para acessar e executar pipelines, alterar o perfil de computação, criar perfis de computação ou fazer upload de artefatos. Pode executar as mesmas ações que um desenvolvedor, com exceção dos pipelines de visualização.
- Papel de desenvolvedor (
datafusion.developer) - Concede acesso a um principal em um namespace para criar e modificar recursos limitados dentro do namespace, como pipelines.
- Papel de editor (
datafusion.editor) - Concede ao principal acesso total a todos os recursos do Cloud Data Fusion em um namespace dentro de uma instância do Cloud Data Fusion. Esse papel precisa ser concedido ao principal além do papel de acessador de instâncias. Com esse papel, o principal pode criar, excluir e modificar recursos no namespace.
- Papel de administrador de instâncias (
datafusion.admin) - Concede acesso a todos os recursos em uma instância do Cloud Data Fusion. Atribuído pelo IAM. Não atribuído no nível do namespace pelo RBAC.
| Operação | datafusion.accessor | datafusion.viewer | datafusion.operator | datafusion.developer | datafusion.editor | datafusion.admin |
|---|---|---|---|---|---|---|
| Instâncias | ||||||
| Acessar instância | ||||||
| Namespaces | ||||||
| Criar namespace | * | |||||
| Namespace de acesso com acesso explícito concedido | ||||||
| Acessar namespace sem acesso explícito concedido | * | |||||
| Editar namespace | ||||||
| Excluir namespace | ||||||
| Conta de serviço de namespace | ||||||
| Adicionar conta de serviço | ||||||
| Editar conta de serviço | ||||||
| Remover conta de serviço | ||||||
| Usar conta de serviço | ||||||
| RBAC | ||||||
| Conceder ou revogar permissões para outros principais no namespace | * | |||||
| Programações | ||||||
| Criar programação | ||||||
| Acessar programação | ||||||
| Mudar programação | ||||||
| Perfis de computação | ||||||
| Criar perfis de computação | ||||||
| Exibir perfis de computação | ||||||
| Editar perfis de computação | ||||||
| Excluir perfis de computação | ||||||
| Conexões | ||||||
| Criar conexões | ||||||
| Ver conexões | ||||||
| Editar contatos | ||||||
| Excluir conexões | ||||||
| Usar conexões | ||||||
| Pipelines | ||||||
| Criar pipelines | ||||||
| Conferir pipelines | ||||||
| Editar pipelines | ||||||
| Excluir pipelines | ||||||
| Visualizar pipelines | ||||||
| Implantar canais | ||||||
| Executar pipelines | ||||||
| Chaves seguras | ||||||
| Criar chaves seguras | ||||||
| Conferir chaves de segurança | ||||||
| Excluir chaves seguras | ||||||
| Tags | ||||||
| Criar tags | ||||||
| Visualizar tags | ||||||
| Excluir tags | ||||||
| Hub do Cloud Data Fusion | ||||||
| Implantar plug-ins | ||||||
| Gerenciamento de controle de origem | ||||||
| Configurar o repositório de controle de origem | ||||||
| Sincronizar pipelines de um namespace | ||||||
| Linhagem | ||||||
| Ver linhagem | ||||||
| Registros | ||||||
| Mostrar registros | ||||||
Recomendações de segurança
A adoção de um modelo de segurança e atendê-lo às necessidades e requisitos da sua organização pode ser um desafio. As recomendações a seguir têm como objetivo ajudar você a simplificar a jornada para adotar o modelo do RBAC do Cloud Data Fusion:
- O papel de administrador da instância precisa ser concedido com cuidado. Esse papel permite acesso total a uma instância e a todos os recursos subjacentes do Cloud Data Fusion. Um principal com esse papel pode conceder permissões a outras pessoas usando a API REST.
- O papel de administrador de instâncias não deve ser concedido quando os principais precisam ter acesso a namespaces individuais em uma instância do Cloud Data Fusion. Em vez disso, conceda o papel de acessador de instâncias com um dos papéis de visualizador/desenvolvedor/operador/editor concedidos em um subconjunto dos namespaces.
- É seguro atribuir o papel Acessador de instâncias primeiro, já que ele permite o acesso dos principais à instância, mas não concede acesso a nenhum recurso dentro da instância. Esse papel normalmente é usado com um visualizador/desenvolvedor/operador/editor para dar acesso a um ou um subconjunto de namespaces em uma instância.
- É recomendado que o papel de leitor seja atribuído a usuários ou grupos do Google que se quiserem disponibilizar autoatendimento para entender o status de jobs em execução ou visualizar pipelines ou registros com instâncias do Cloud Data Fusion. de dados. Por exemplo, consumidores de relatórios diários que gostariam de saber se o processamento foi concluído.
- O papel de desenvolvedor é recomendado para desenvolvedores de ETL responsáveis por criar, testar e gerenciar pipelines.
- O papel de operador para um namespace é recomendado para usuários que fornecem serviços de administrador de operações ou DevOps. Eles podem realizar todas as ações que os desenvolvedores podem realizar (exceto visualizar pipelines) e também implantar artefatos e gerenciar perfis de computação.
- O papel de editor de um namespace é um papel privilegiado que concede ao usuário ou ao grupo do Google acesso total a todos os recursos no namespace. O Editor pode ser considerado a união dos papéis de desenvolvedor e operador.
- Operadores e Administradores precisam ter cuidado para instalar plug-ins ou artefatos não confiáveis, porque isso pode gerar um risco de segurança.
Solução de problemas
Nesta seção da página, mostramos como resolver problemas relacionados ao RBAC no Cloud Data Fusion.
Um principal com o papel Leitor do Cloud Data Fusion para um namespace no RBAC pode editar pipelines
O acesso é baseado em uma combinação de papéis do IAM e RBAC. Os papéis do IAM têm precedência sobre os do RBAC. Verifique se o principal tem os papéis do IAM Editor do projeto ou Administrador do Cloud Data Fusion.
Um administrador com o papel de administrador de instâncias no RBAC não pode visualizar as instâncias do Cloud Data Fusion no console do Google Cloud
Há um problema conhecido no Cloud Data Fusion em que os principais com o papel de administrador da instância não podem visualizar instâncias no console do Google Cloud. Para corrigir o problema, conceda o Leitor do projeto ou um dos papéis do IAM do Cloud Data Fusion ao principal, além de torná-lo administrador de uma instância. Isso concede acesso de leitor ao principal para todas as instâncias no projeto.
Impedir que um principal visualize namespaces sem papel
Para evitar que um principal visualize namespaces sem papel, ele não pode ter o Leitor do projeto ou nenhum dos papéis do IAM do Cloud Data Fusion. Em vez disso, conceda papéis do RBAC apenas ao principal no namespace em que ele precisa operar.
O principal com esse tipo de acesso não verá a lista de instâncias do Cloud Data Fusion no console do Google Cloud. Em vez disso, forneça a eles um link direto para a instância, semelhante a este:
https://INSTANCE_NAME-PROJECT_ID.REGION_NAME.datafusion.googleusercontent.com/
Quando o principal abre a instância, o Cloud Data Fusion exibe uma lista de namespaces em que o principal recebe o papel RBAC.
Conceder o papel de acessador do Cloud Data Fusion a um principal
O papel de Acessador é atribuído implicitamente a um principal quando qualquer outro papel do RBAC é atribuído a ele em qualquer instância do Cloud Data Fusion. Para verificar se um principal tem esse papel em uma instância específica, consulte a Analisador de políticas do IAM.
A seguir
- Saiba como usar o RBAC no Cloud Data Fusion.