En esta página, se describe el caso de uso en el que controlas el acceso a los recursos de Google Cloud a nivel del espacio de nombres cuando migras datos de Cloud Storage a BigQuery.
Para controlar el acceso a los recursos de Google Cloud, los espacios de nombres en Cloud Data Fusion usan el agente de servicio de la API de Cloud Data Fusion de forma predeterminada.
Para mejorar el aislamiento de datos, puedes asociar una cuenta de servicio de IAM personalizada (conocida como cuenta de servicio por espacio de nombres) a cada espacio de nombres. La cuenta de servicio de IAM personalizada, que puede ser diferente según los diferentes espacios de nombres, te permite controlar el acceso a los recursos de Google Cloud entre los espacios de nombres para las operaciones de diseño de canalizaciones en Cloud Data Fusion, como la vista previa de la canalización, Wrangler y la validación de la canalización.
Para obtener más información, consulta Control de acceso con cuentas de servicio de espacio de nombres.
Situación
En este caso de uso, tu departamento de marketing migra datos de Cloud Storage a BigQuery mediante Cloud Data Fusion.
El departamento de marketing tiene tres equipos: A, B y C. Tu objetivo es establecer un enfoque estructurado para controlar el acceso a los datos en Cloud Storage a través de los espacios de nombres de Cloud Data Fusion correspondientes a cada equipo: A, B y C, respectivamente.
Solución
En los siguientes pasos, se muestra cómo controlar el acceso a los recursos de Google Cloud con cuentas de servicio de espacio de nombres, lo que evita el acceso no autorizado entre los almacenes de datos de diferentes equipos.
Asocia una cuenta de servicio de Identity and Access Management a cada espacio de nombres
Configura una cuenta de servicio de IAM en el espacio de nombres para cada equipo (consulta Configura una cuenta de servicio de espacio de nombres):
Para configurar el control de acceso, agrega una cuenta de servicio personalizada para el Equipo A, por ejemplo,
team-a@pipeline-design-time-project.iam.gserviceaccount.com.
Figura 1: Agregar una cuenta de servicio personalizada para el Equipo A. Repite los pasos de configuración para los equipos B y C a fin de establecer el control de acceso con cuentas de servicio personalizadas similares.
Limita el acceso a los buckets de Cloud Storage
Otorga los permisos adecuados para limitar el acceso a los buckets de Cloud Storage:
- Otorga el permiso
storage.buckets.lista la cuenta de servicio de IAM, que es necesario para enumerar los buckets de Cloud Storage del proyecto. Para obtener más información, consulta Crea una lista de buckets. Otorga permiso a la cuenta de servicio de IAM para acceder a los objetos en buckets específicos.
Por ejemplo, otorga la función de visualizador de objetos de almacenamiento a la cuenta de servicio de IAM asociada con el espacio de nombres
team_Aen el bucketteam_a1. Este permiso le permite al Equipo A ver y enumerar objetos y carpetas administradas, junto con sus metadatos, en ese bucket en un entorno de tiempo de diseño aislado.
Figura 2: En la página Buckets de Cloud Storage, agrega al equipo como principal y asigna el rol de usuario de objeto de almacenamiento.
Crea la conexión de Cloud Storage en los espacios de nombres respectivos
Crea una conexión de Cloud Storage en el espacio de nombres de cada equipo:
En la consola de Google Cloud, ve a la página Instancias de Cloud Data Fusion y abre una instancia en la interfaz web de Cloud Data Fusion.
Haz clic en Administrador del sistema > Configuración > Espacios de nombres.
Haz clic en el espacio de nombres que deseas usar, por ejemplo, el del Equipo A.
Haz clic en la pestaña Conexiones y, luego, en Agregar conexión.
Selecciona GCS y configura la conexión.
Figura 3: Configura la conexión de Cloud Storage para el espacio de nombres. Repite los pasos anteriores a fin de crear una conexión a Cloud Storage para cada espacio de nombres. Cada equipo puede interactuar con una copia aislada de ese recurso para sus operaciones de tiempo de diseño.
Validar el aislamiento de tiempo de diseño de cada espacio de nombres
El equipo A puede validar el aislamiento en el diseño mediante el acceso a los buckets de Cloud Storage en sus respectivos espacios de nombres:
En la consola de Google Cloud, ve a la página Instancias de Cloud Data Fusion y abre una instancia en la interfaz web de Cloud Data Fusion.
Haz clic en Administrador del sistema > Configuración > Espacios de nombres.
Selecciona un espacio de nombres, por ejemplo, el espacio de nombres del equipo A,
team_A.Haz clic en Menú > Wrangler.
Haz clic en GCS.
En la lista de buckets, haz clic en el bucket
team_a1.Puedes ver la lista de buckets porque el espacio de nombres del equipo A tiene el permiso
storage.buckets.list.Cuando haces clic en el bucket, puedes ver su contenido porque el espacio de nombres del equipo A tiene el rol de visualizador de objetos de Storage.
Figuras 4 y 5: Verifica que el Equipo A pueda acceder al bucket de almacenamiento adecuado. Regresa a la lista de buckets y haz clic en el bucket
team_b1oteam_c1. El acceso es restringido, ya que aislaste este recurso de tiempo de diseño para el Equipo A con su cuenta de servicio de espacio de nombres.
Figura 6: Verifica que el equipo A no pueda acceder a los buckets de almacenamiento del equipo B y C.
¿Qué sigue?
- Obtén más información sobre las funciones de seguridad en Cloud Data Fusion.