Esta página foi traduzida pela API Cloud Translation.

Controle de acesso com uma conta de serviço de namespace

Nesta página, descrevemos como configurar uma conta de serviço do Identity and Access Management (IAM) para um namespace em uma instância do Cloud Data Fusion.

Sobre namespaces no Cloud Data Fusion

Um namespace é um agrupamento lógico de aplicativos, dados e metadados associados em uma instância do Cloud Data Fusion. Pense nos namespaces como um particionamento da instância. Qualquer aplicativo ou dado, aqui denominado entidade, pode existir de maneira independente em vários namespaces. Em uma única instância, um namespace armazena os dados e metadados de uma entidade independentemente de outro namespace.

Controle de acesso com uma conta de serviço de namespace

Para controlar o acesso aos recursos do Google Cloud, os namespaces no Cloud Data Fusion usam o Agente de serviço da API Cloud Data Fusion por padrão.

Para um melhor isolamento de dados, associe uma conta de serviço personalizada do IAM (conhecida como conta de serviço por namespace) a cada namespace. A conta de serviço personalizada do IAM, que pode ser diferente para diferentes namespaces, permite controlar o acesso aos recursos do Google Cloud entre namespaces para operações de tempo de projeto de pipeline no Cloud Data Fusion, como visualização de pipeline, Wrangler e validação de pipeline.

Antes de começar

As contas de serviço por namespace são compatíveis com instâncias ativadas para RBAC nas versões 6.10.0 e posteriores do Cloud Data Fusion.
As contas de serviço por namespace são usadas para controlar e gerenciar o acesso aos recursos do Google Cloud.

Papéis e permissões necessárias

Para receber as permissões necessárias para personalizar contas de serviço de namespace e conceder permissões a usuários em um namespace, peça ao administrador que conceda a você o papel de IAM Administrador do Cloud Data Fusion (roles/datafusion.admin) na instância do Cloud Data Fusion no projeto. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Gerenciar permissões para usuários em um namespace

Para dar aos usuários as permissões necessárias em um namespace, conceda papéis predefinidos do Cloud Data Fusion a eles. Para mais informações, consulte os papéis predefinidos do Cloud Data Fusion disponíveis para usuários em instâncias ativadas para RBAC.

Configurar uma conta de serviço de namespace

Console

Para configurar uma conta de serviço para o namespace, siga estas etapas:

Se você não tiver uma conta de serviço para o namespace, crie uma.
No console do Google Cloud, acesse a página Instâncias do Cloud Data Fusion e abra uma instância na interface da Web do Cloud Data Fusion.

Acesse "Instâncias"
Clique em Administrador do sistema > Configuração > Namespaces.
Clique no namespace que você quer configurar.
Clique na guia Contas de serviço e, em seguida, clique em Adicionar conta de serviço.

Observação: apenas uma conta de serviço de namespace pode ser adicionada a um namespace. Se uma conta de serviço já tiver sido adicionada ao namespace, a opção Adicionar conta de serviço não será exibida.
Conceda o papel de usuário da Identidade da carga de trabalho (roles/iam.workloadIdentityUser).

Observação: para usar uma conta de serviço do IAM com o namespace, a conta de serviço do Kubernetes (KSA) interna do Cloud Data Fusion requer as permissões incluídas nesse papel.

Para conceder o papel, siga estas etapas:
1. No campo Conta de serviço do design do pipeline, insira o e-mail da conta de serviço, por exemplo, SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com.
2. Siga as instruções na caixa de diálogo exibida.
Para concluir a configuração da conta de serviço, volte para o namespace da instância do Cloud Data Fusion e clique em Salvar.

Observação: a alteração na política do IAM na etapa 6 pode levar vários minutos para ser propagada. Se você receber um erro 403, talvez seja necessário aguardar mais tempo. Para mais informações, consulte Propagação da alteração de acesso.
Repita as etapas para configurar uma conta de serviço para cada namespace.

Observação: qualquer namespace que não tenha uma conta de serviço configurada continuará usando o Agente da API de serviço do Cloud Data Fusion, como antes.

API REST

Conceda o papel de usuário da Identidade da carga de trabalho (roles/iam.workloadIdentityUser).

Observação: para usar uma conta de serviço do IAM com o namespace, a conta de serviço do Kubernetes (KSA) interna do Cloud Data Fusion requer as permissões incluídas nesse papel.

Para conceder o papel, siga estas etapas:
1. Configure as variáveis de ambiente a seguir:
```
export TENANT_PROJECT_ID=TENANT_PROJECT
export GSA_PROJECT_ID=SERVICE_ACCOUNT_PROJECT
```
  Substitua:
  - TENANT_PROJECT: o ID do projeto de locatário. Para encontrá-la, acesse a página Instâncias e clique no nome da instância. O ID é exibido na página Detalhes da instância.
    
    Acesse "Instâncias"
  - SERVICE_ACCOUNT_PROJECT: o ID do projeto do Google Cloud em que a conta de serviço do IAM está localizada.
2. Conceda o papel de usuário da Identidade da carga de trabalho:
```
gcloud iam service-accounts add-iam-policy-binding \
    --role roles/iam.workloadIdentityUser
    --member "serviceAccount:${TENANT_PROJECT_ID}.svc.id.goog[default/NAMESPACE_IDENTITY]" SERVICE_ACCOUNT_EMAIL \
    --project ${GSA_PROJECT_ID}
```
  Substitua:
  - NAMESPACE_IDENTITY: a identidade do namespace. Para mais informações, consulte Detalhes de um namespace.
  - SERVICE_ACCOUNT_EMAIL: o endereço de e-mail da conta de serviço, por exemplo, SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com.
Valide o e-mail da conta de serviço do namespace da etapa anterior. Defina environment variables e execute o seguinte comando:
```
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" ${CDAP_ENDPOINT}/v3/namespaces/NAMESPACE_NAME/credentials/workloadIdentity/validate -X POST -d '{"serviceAccount":"SERVICE_ACCOUNT_EMAIL"}'
```
Substitua:
- NAMESPACE_NAME: o ID do namespace.
- SERVICE_ACCOUNT_EMAIL: o e-mail da conta de serviço do IAM que você quer definir no namespace.
Observação: a alteração na política do IAM na etapa 1b pode levar vários minutos para ser propagada. Se você receber um erro 403, talvez seja necessário aguardar mais tempo. Para mais informações, consulte Propagação da alteração de acesso.

Defina a conta de serviço do namespace. Defina o environment variables e execute o seguinte comando:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json"
 ${CDAP_ENDPOINT}/v3/namespaces/NAMESPACE_NAME/credentials/workloadIdentity -X PUT -d '{"serviceAccount":"SERVICE_ACCOUNT_EMAIL"}'

Editar uma conta de serviço de namespace

Console

Para editar uma conta de serviço de namespace, siga estas etapas:

Na instância do Cloud Data Fusion, clique em Administrador do sistema > Configuração > Namespaces.
Clique no namespace que tem a conta de serviço que você quer editar.
Para editar a conta de serviço, acesse a guia Contas de serviço. Ao lado do nome da conta de serviço, clique em Menu > Editar.
Siga as etapas para configurar uma conta de serviço de namespace.

API REST

Para editar uma conta de serviço de namespace, siga estas etapas:

Defina o environment variables e execute o seguinte comando:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json"
 ${CDAP_ENDPOINT}/v3/namespaces/NAMESPACE_NAME/credentials/workloadIdentity -X PUT -d '{"serviceAccount":"SERVICE_ACCOUNT_EMAIL"}'

Substitua:

NAMESPACE_NAME: o ID do namespace.
SERVICE_ACCOUNT_EMAIL: o e-mail da conta de serviço do IAM que você quer definir no namespace.

Excluir uma conta de serviço de namespace

Console

Para excluir uma conta de serviço de um namespace, siga estas etapas:

Na instância do Cloud Data Fusion, clique em Administrador do sistema > Configuração > Namespaces.
Clique no namespace que tem a conta de serviço que você quer excluir.
Para remover a conta de serviço, acesse a guia Contas de serviço. Ao lado do nome da conta de serviço, clique em Menu > Excluir.

API REST

Para excluir uma conta de serviço de um namespace, siga estas etapas:

Defina o environment variables e execute o seguinte comando:
```
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" ${CDAP_ENDPOINT}/v3/namespaces/NAMESPACE_NAME/credentials/workloadIdentity -X DELETE
```
Substitua:
- NAMESPACE_NAME: o ID do namespace.
Observação: a exclusão remove a associação da conta de serviço com o namespace, mas não exclui a conta de serviço.

Acessar a conta de serviço do namespace

Console

Para receber informações da conta de serviço do namespace, siga estas etapas:

No console do Google Cloud, acesse a página Instâncias do Cloud Data Fusion e abra uma instância na interface da Web do Cloud Data Fusion.

Acesse "Instâncias"
Clique em Administrador do sistema > Configuração > Namespaces.
Clique no nome de um namespace para ver os detalhes da conta de serviço.

API REST

Para conseguir o nome da conta de serviço do namespace, siga estas etapas:

Defina o environment variables e execute o seguinte comando:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" ${CDAP_ENDPOINT}/v3/namespaces/NAMESPACE_NAME/credentials/workloadIdentity -X GET

Substitua:

NAMESPACE_NAME: o ID do namespace.

Se bem-sucedido, você receberá o e-mail da conta de serviço na seguinte resposta:

Response: {"serviceAccount":"SERVICE_ACCOUNT_EMAIL"}

A seguir

Saiba mais sobre o caso de uso para controle de acesso com contas de serviço de namespace.
Saiba mais sobre o controle de acesso baseado em papéis no Cloud Data Fusion.