Halaman ini menjelaskan kasus penggunaan ketika Anda mengontrol akses ke resource Google Cloud di tingkat namespace saat memigrasikan data dari Cloud Storage ke BigQuery.
Untuk mengontrol akses ke resource Google Cloud, namespace di Cloud Data Fusion, gunakan Agen Layanan Cloud Data Fusion API secara default.
Untuk isolasi data yang lebih baik, Anda dapat mengaitkan akun layanan IAM yang disesuaikan (dikenal sebagai Akun Layanan Per Namespace) dengan setiap namespace. Akun layanan IAM yang disesuaikan, yang dapat berbeda untuk namespace yang berbeda, memungkinkan Anda mengontrol akses ke resource Google Cloud di antara namespace untuk operasi waktu desain pipeline di Cloud Data Fusion, seperti pratinjau pipeline, Wrangler, dan validasi pipeline.
Untuk mengetahui informasi selengkapnya, lihat Kontrol akses dengan akun layanan namespace.
Skenario
Dalam kasus penggunaan ini, departemen pemasaran Anda memigrasikan data dari Cloud Storage ke BigQuery menggunakan Cloud Data Fusion.
Departemen pemasaran memiliki tiga tim: A, B, dan C. Tujuan Anda adalah membuat pendekatan terstruktur untuk mengontrol akses data di Cloud Storage melalui namespace Cloud Data Fusion yang sesuai dengan masing-masing tim—A, B, dan C.
Solusi
Langkah-langkah berikut menunjukkan cara mengontrol akses ke resource Google Cloud dengan akun layanan namespace, sehingga mencegah akses tidak sah antara datastore milik tim yang berbeda.
Mengaitkan akun layanan Identity and Access Management ke setiap namespace
Konfigurasikan akun layanan IAM di namespace untuk setiap tim (lihat Mengonfigurasi akun layanan namespace):
Siapkan kontrol akses dengan menambahkan akun layanan khusus untuk Tim A—misalnya,
team-a@pipeline-design-time-project.iam.gserviceaccount.com
.Ulangi langkah-langkah konfigurasi untuk Tim B dan C guna menyiapkan kontrol akses dengan akun layanan serupa yang disesuaikan.
Membatasi akses ke bucket Cloud Storage
Batasi akses ke bucket Cloud Storage dengan memberikan izin yang sesuai:
- Berikan izin
storage.buckets.list
kepada akun layanan IAM, yang diperlukan untuk mencantumkan bucket Cloud Storage dalam project. Untuk informasi selengkapnya, lihat Mencantumkan bucket. Berikan izin kepada akun layanan IAM untuk mengakses objek di bucket tertentu.
Misalnya, berikan peran Storage Object Viewer ke akun layanan IAM yang terkait dengan namespace
team_A
pada bucketteam_a1
. Izin ini memungkinkan Tim A melihat dan mencantumkan objek dan folder terkelola, bersama metadatanya, dalam bucket tersebut di lingkungan waktu desain yang terisolasi.
Membuat koneksi Cloud Storage di namespace masing-masing
Buat koneksi Cloud Storage di namespace masing-masing tim:
Di konsol Google Cloud, buka halaman Instance Cloud Data Fusion, lalu buka instance di antarmuka web Cloud Data Fusion.
Klik System admin > Configuration > Namespaces.
Klik namespace yang ingin Anda gunakan—misalnya, namespace untuk Tim A.
Klik tab Connections, lalu klik Add connection.
Pilih GCS, lalu konfigurasikan koneksi.
Buat koneksi Cloud Storage untuk setiap namespace dengan mengulangi langkah-langkah sebelumnya. Selanjutnya, setiap tim dapat berinteraksi dengan salinan resource tersebut untuk operasi waktu desain mereka.
Memvalidasi isolasi waktu desain untuk setiap namespace
Tim A dapat memvalidasi isolasi pada desain dengan mengakses bucket Cloud Storage di namespace masing-masing:
Di konsol Google Cloud, buka halaman Instance Cloud Data Fusion, lalu buka instance di antarmuka web Cloud Data Fusion.
Klik System admin > Configuration > Namespaces.
Pilih namespace—misalnya namespace Tim A,
team_A
.Klik > Wrangler.
MenuKlik GCS.
Di daftar bucket, klik bucket
team_a1
.Anda dapat melihat daftar bucket karena namespace Tim A memiliki izin
storage.buckets.list
.Saat mengklik bucket, Anda dapat melihat kontennya karena namespace Tim A memiliki peran Storage Object Viewer.
Kembali ke daftar bucket, lalu klik bucket
team_b1
atauteam_c1
. Akses tersebut akan dibatasi karena Anda mengisolasi resource waktu desain ini untuk Tim A menggunakan akun layanan namespace-nya.
Langkah selanjutnya
- Pelajari lebih lanjut fitur keamanan di Cloud Data Fusion.