Zugriffssteuerung mit IAM

Um den Zugriff für Nutzer innerhalb eines Projekts oder einer Organisation einzuschränken, können Sie IAM-Rollen (Identitäts- und Zugriffsverwaltung) für Dataflow verwenden. Sie können den Zugriff auf Dataflow-bezogene Ressourcen steuern, anstatt Nutzern die Rolle Betrachter, Bearbeiter oder Inhaber für das gesamte Google Cloud-Projekt zuzuweisen.

Diese Seite konzentriert sich auf die Verwendung der IAM-Rollen von Dataflow. Eine ausführliche Beschreibung von IAM und den entsprechenden Funktionen finden Sie in der IAM-Dokumentation.

Jede Dataflow-Methode fordert vom Aufrufer bestimmte Berechtigungen. Eine Liste der Berechtigungen und Rollen, die Dataflow unterstützt, finden Sie im nachfolgenden Abschnitt.

Berechtigungen und Rollen

In diesem Abschnitt sind die Berechtigungen und Rollen zusammengefasst, die von Dataflow IAM unterstützt werden.

Erforderliche Berechtigungen

In der folgenden Tabelle sind die Berechtigungen aufgelistet, die der Aufrufer haben muss, um die einzelnen Methoden aufzurufen:

Methode Erforderliche Berechtigungen
dataflow.jobs.create dataflow.jobs.create
dataflow.jobs.cancel dataflow.jobs.cancel
dataflow.jobs.updateContents dataflow.jobs.updateContents
dataflow.jobs.list dataflow.jobs.list
dataflow.jobs.get dataflow.jobs.get
dataflow.messages.list dataflow.messages.list
dataflow.metrics.get dataflow.metrics.get
dataflow.jobs.snapshot dataflow.jobs.snapshot

Rollen

In der folgenden Tabelle sind die Dataflow IAM-Rollen und die jeweiligen Berechtigungen aufgeführt, die eine Rolle enthält. Jede Berechtigung gilt für einen bestimmten Ressourcentyp. Eine Liste der Berechtigungen finden Sie auf der Seite Rollen in der Google Cloud Console.

Rolle Berechtigungen

Dataflow-Administrator
(roles/dataflow.admin)

Minimale Rolle zur Erstellung und Verwaltung von Dataflow-Jobs

  • compute.machineTypes.get
  • compute.projects.get
  • compute.regions.list
  • compute.zones.list
  • dataflow.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storage.buckets.get
  • storage.objects.create
  • storage.objects.get
  • storage.objects.list

Dataflow-Entwickler
(roles/dataflow.developer)

Bietet das Ausführen und Bearbeiten von Dataflow-Jobs.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • compute.projects.get
  • compute.regions.list
  • compute.zones.list
  • dataflow.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Dataflow-Betrachter
(roles/dataflow.viewer)

Bietet Lesezugriff auf alle Ressourcen in Verbindung mit Dataflow.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • dataflow.jobs.get
  • dataflow.jobs.list
  • dataflow.messages.*
  • dataflow.metrics.*
  • dataflow.snapshots.get
  • dataflow.snapshots.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Dataflow-Worker
(roles/dataflow.worker)

Bietet die erforderlichen Berechtigungen für ein Compute Engine-Dienstkonto, um Arbeitseinheiten für eine Dataflow-Pipeline auszuführen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • autoscaling.sites.readRecommendations
  • autoscaling.sites.writeMetrics
  • autoscaling.sites.writeState
  • compute.instanceGroupManagers.update
  • compute.instances.delete
  • compute.instances.setDiskAutoDelete
  • dataflow.jobs.get
  • logging.logEntries.create
  • storage.buckets.get
  • storage.objects.create
  • storage.objects.get

Die Rolle "Dataflow-Worker" (roles/dataflow.worker) bietet die Berechtigungen, die ein Compute Engine-Dienstkonto benötigt, um Arbeitseinheiten für eine Apache Beam-Pipeline auszuführen. Die Rolle "Dataflow-Worker" muss einem Dienstkonto zugewiesen sein, das Arbeit vom Dataflow-Dienst anfordern und aktualisieren kann.

Die Rolle "Dataflow-Dienst-Agent" (roles/dataflow.serviceAgent) wird ausschließlich vom Dataflow-Dienstkonto verwendet. Sie bietet dem Dienstkonto Zugriff auf verwaltete Ressourcen in Ihrem Google Cloud-Projekt, um Dataflow-Jobs auszuführen. Sie wird dem Dienstkonto automatisch zugewiesen, wenn Sie die Dataflow API für Ihr Projekt auf der API-Seite der Google Cloud Console aktivieren.

Jobs erstellen

Zum Erstellen eines Jobs enthält die Rolle roles/dataflow.admin die minimalen Berechtigungen, die zum Ausführen und Prüfen von Jobs erforderlich sind.

Alternativ sind die folgenden Berechtigungen erforderlich:

Beispiel für eine Rollenzuweisung

Die folgende Gliederung veranschaulicht den Nutzen der verschiedenen Dataflow-Rollen:

  • Der Entwickler, der Jobs erstellt und prüft, benötigt die Rolle roles/dataflow.admin.
  • Für eine komplexere Verwaltung von Berechtigungen benötigt der Entwickler, der mit dem Dataflow-Job interagiert, die Rolle roles/dataflow.developer.
    • Sie benötigen die Rolle roles/storage.objectAdmin oder eine ähnliche Rolle, um die erforderlichen Dateien bereitzustellen.
    • Für die Fehlerbehebung und Kontingentprüfung benötigen sie die Rolle roles/compute.viewer des Projekts.
    • Sofern keine anderen Rollen zugewiesen wurden, ermöglicht diese Rolle den Entwicklern, Dataflow-Jobs zu erstellen und zu löschen, nicht aber mit den einzelnen VMs zu interagieren oder auf andere Cloud-Dienste zuzugreifen.
  • Das Controller-Dienstkonto benötigt die Rolle roles/dataflow.worker, um Daten für den Dataflow-Dienst zu verarbeiten. Für den Zugriff auf Auftragsdaten benötigt das Dienstkonto andere Rollen, wie z. B. roles/storage.objectAdmin.

Dataflow-Rollen zuweisen

Dataflow-Rollen können derzeit nur auf Organisations- und Projektebene festgelegt werden.

Informationen zum Verwalten von Rollen auf Organisationsebene finden Sie unter Zugriffssteuerung für Organisationen mithilfe von IAM.

Informationen zum Festlegen von Rollen auf Projektebene erhalten Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.