En esta página, se describe el caso de uso en el que controlas el acceso a los recursos de Google Clouda nivel del espacio de nombres cuando migras datos de Cloud Storage a BigQuery.
Para controlar el acceso a los recursos Google Cloud , los espacios de nombres de Cloud Data Fusion usan el Agente de servicio de la API de Cloud Data Fusion de forma predeterminada.
Para lograr un mejor aislamiento de datos, puedes asociar una cuenta de servicio de IAM personalizada (conocida como cuenta de servicio por espacio de nombres) con cada espacio de nombres. La cuenta de servicio de IAM personalizada, que puede ser diferente para diferentes espacios de nombres, te permite controlar el acceso a los recursos deGoogle Cloud entre espacios de nombres para las operaciones de tiempo de diseño de canalizaciones en Cloud Data Fusion, como la vista previa de canalizaciones, Wrangler y la validación de canalizaciones.
Para obtener más información, consulta Control de acceso con cuentas de servicio de espacio de nombres.
Situación
En este caso de uso, tu departamento de marketing migra datos de Cloud Storage a BigQuery con Cloud Data Fusion.
El departamento de marketing tiene tres equipos: A, B y C. Tu objetivo es establecer un enfoque estructurado para controlar el acceso a los datos en Cloud Storage a través de los espacios de nombres de Cloud Data Fusion correspondientes a cada equipo: A, B y C, respectivamente.
Solución
En los siguientes pasos, se muestra cómo controlar el acceso a los recursos de Google Cloud con cuentas de servicio de espacio de nombres, lo que evita el acceso no autorizado entre los almacenes de datos de diferentes equipos.
Asocia una cuenta de servicio de Identity and Access Management a cada espacio de nombres
Configura una cuenta de servicio de IAM en el espacio de nombres de cada equipo (consulta Cómo configurar una cuenta de servicio de espacio de nombres):
Para configurar el control de acceso, agrega una cuenta de servicio personalizada para el equipo A, por ejemplo,
team-a@pipeline-design-time-project.iam.gserviceaccount.com.
Figura 1: Agrega una cuenta de servicio personalizada para el equipo A. Repite los pasos de configuración para los equipos B y C para configurar el control de acceso con cuentas de servicio personalizadas similares.
Limita el acceso a los buckets de Cloud Storage
Otorga los permisos adecuados para limitar el acceso a los buckets de Cloud Storage:
- Otorga a la cuenta de servicio de IAM el permiso
storage.buckets.list, que es necesario para mostrar los buckets de Cloud Storage en el proyecto. Para obtener más información, consulta Cómo enumerar buckets. Otorga permiso a la cuenta de servicio de IAM para acceder a los objetos en buckets específicos.
Por ejemplo, otorga el rol de Visualizador de objetos de almacenamiento a la cuenta de servicio de IAM asociada con el espacio de nombres
team_Aen el bucketteam_a1. Este permiso permite que el equipo A vea y enumere objetos y carpetas administradas, junto con sus metadatos, en ese bucket en un entorno de tiempo de diseño aislado.
Figura 2: En la página Buckets de Cloud Storage, agrega el equipo como principal y asígnale el rol de usuario de objetos de almacenamiento.
Crea la conexión de Cloud Storage en los espacios de nombres correspondientes
Crea una conexión de Cloud Storage en el espacio de nombres de cada equipo:
En la consola de Google Cloud, ve a la página Instancias de Cloud Data Fusion y abre una instancia en la interfaz web de Cloud Data Fusion.
Haz clic en Administrador del sistema > Configuración > Espacios de nombres.
Haz clic en el espacio de nombres que deseas usar, por ejemplo, el espacio de nombres del equipo A.
Haz clic en la pestaña Conexiones y, luego, en Agregar conexión.
Selecciona GCS y configura la conexión.
Figura 3: Configura la conexión de Cloud Storage para el espacio de nombres. Para crear una conexión de Cloud Storage para cada espacio de nombres, repite los pasos anteriores. Luego, cada equipo puede interactuar con una copia aislada de ese recurso para sus operaciones de tiempo de diseño.
Valida el aislamiento del tiempo de diseño para cada espacio de nombres
El equipo A puede validar el aislamiento en el diseño accediendo a los buckets de Cloud Storage en sus respectivos espacios de nombres:
En la consola de Google Cloud, ve a la página Instancias de Cloud Data Fusion y abre una instancia en la interfaz web de Cloud Data Fusion.
Haz clic en Administrador del sistema > Configuración > Espacios de nombres.
Selecciona un espacio de nombres, por ejemplo, el espacio de nombres del equipo A,
team_A.Haz clic en Menú > Wrangler.
Haz clic en GCS.
En la lista de buckets, haz clic en el bucket
team_a1.Puedes ver la lista de buckets porque el espacio de nombres del equipo A tiene permiso
storage.buckets.list.Cuando hagas clic en el bucket, podrás ver su contenido porque el espacio de nombres del equipo A tiene el rol de visualizador de objetos de almacenamiento.
Figuras 4 y 5: Verifica que el equipo A pueda acceder al bucket de almacenamiento adecuado. Regresa a la lista de buckets y haz clic en el bucket
team_b1oteam_c1. El acceso está restringido, ya que aislaste este recurso de tiempo de diseño para el equipo A con su cuenta de servicio de espacio de nombres.
Figura 6: Verifica que el equipo A no pueda acceder a los buckets de almacenamiento del equipo B y C.
¿Qué sigue?
- Obtén más información sobre las funciones de seguridad en Cloud Data Fusion.