Memberikan akses yang diperlukan Formulir data

Dokumen ini menunjukkan cara memberikan peran Identity and Access Management (IAM) yang diperlukan oleh akun layanan Dataform untuk menjalankan alur kerja di BigQuery.

Tentang akun layanan di Dataform

Saat Anda membuat repositori Dataform pertama, Dataform akan otomatis membuat akun layanan default. Formulir data menggunakan akun layanan default untuk berinteraksi dengan BigQuery atas nama Anda. Akun layanan Dataform default tidak diberi peran atau izin BigQuery secara default. Anda harus memberikan akses yang diperlukan ke akun layanan Dataform default.

ID akun layanan Dataform default Anda menggunakan format berikut:

service-YOUR_PROJECT_NUMBER@gcp-sa-dataform.iam.gserviceaccount.com

Ganti YOUR_PROJECT_NUMBER dengan ID angka project Google Cloud Anda. Anda dapat menemukan ID project Google Cloud di dasbor Konsol Google Cloud. Untuk informasi selengkapnya, lihat Mengidentifikasi project.

Selain akun layanan Dataform default, Anda dapat menggunakan akun layanan lainnya untuk menjalankan alur kerja atas nama Anda. Anda dapat mengonfigurasi akun layanan kustom:

• Di tingkat repositori, untuk menjalankan semua alur kerja di repositori tertentu.

• Satu per satu untuk setiap konfigurasi alur kerja.

Saat membuat repositori Dataform atau konfigurasi alur kerja, Anda dapat memilih akun layanan apa pun yang terkait dengan project Google Cloud yang dapat Anda akses. Anda harus mengonfigurasi izin yang diperlukan untuk semua akun layanan yang terkait dengan resource Dataform Anda.

Akun layanan kustom yang terkait dengan repositori Dataform hanya digunakan untuk menjalankan alur kerja dari repositori tersebut. Semua operasi repositori lainnya masih dilakukan oleh akun layanan Dataform default.

Peran yang diperlukan untuk akun layanan Dataform

Akun layanan default dan kustom yang digunakan dalam Dataform memerlukan peran IAM BigQuery berikut agar dapat menjalankan alur kerja di BigQuery:

• BigQuery Data Editor pada project tempat Dataform memerlukan akses baca dan tulis. File tersebut biasanya mencakup project yang menghosting repositori Dataform Anda.
• BigQuery Data Viewer pada project tempat Dataform memerlukan akses hanya baca.
• BigQuery Job User di project yang menghosting repositori Dataform Anda.
• BigQuery Data Owner jika ingin membuat kueri set data BigQuery.

Selain itu, Anda perlu memberikan akses Service Account Token Creator(roles/iam.serviceAccountTokenCreator) untuk akun layanan Dataform default ke semua akun layanan kustom yang ingin Anda gunakan dalam Formulir data.

Pertimbangan keamanan untuk akun layanan Dataform

Memberikan peran yang diperlukan oleh Dataform ke akun layanan harus disertai dengan pertimbangan keamanan berikut:

• Setiap akun layanan yang diberi peran yang diperlukan dapat memperoleh akses ke BigQuery atau Secret Manager, terlepas dari Kontrol Layanan VPC.

  Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi Kontrol Layanan VPC untuk Formulir Data.

• Setiap pengguna yang memiliki izin IAM dataform.repositories.create dapat mengeksekusi kode menggunakan akun layanan Dataform default dan semua izin yang diberikan ke akun layanan tersebut.

  Untuk mengetahui informasi selengkapnya, lihat Pertimbangan keamanan untuk izin Formulir data.

Untuk membatasi data yang dapat dibaca atau ditulis oleh pengguna atau akun layanan, Anda dapat memberikan izin IAM BigQuery yang terperinci ke set data atau tabel BigQuery yang dipilih. Untuk mengetahui informasi selengkapnya, lihat Mengontrol akses ke set data dan Mengontrol akses ke tabel dan tampilan.

Sebelum memulai

1. Di konsol Google Cloud, buka halaman Dataform.

   Buka halaman Dataform

2. Pilih atau buat repositori.

Memberikan peran BigQuery yang diperlukan ke akun layanan yang digunakan di Dataform

Untuk memberikan peran IAM BigQuery yang diperlukan ke akun layanan Dataform default Anda, atau akun layanan kustom yang ingin Anda gunakan di Dataform, ikuti langkah-langkah berikut:

1. Di konsol Google Cloud, buka halaman IAM.

   Buka halaman IAM

2. Klik Grant Access.

3. Di kolom New principals, masukkan ID akun layanan.

4. Di menu drop-down Select a role, pilih peran BigQuery Job User.

5. Klik Add another role, lalu di menu drop-down Select a role, pilih peran BigQuery Data Editor.

6. Klik Add another role, lalu di menu drop-down Select a role, pilih peran BigQuery Data Viewer.

7. Klik Save.

Memberikan akses pembuatan token ke akun layanan kustom

Untuk menggunakan akun layanan kustom di Dataform, akun layanan Dataform default harus dapat mengakses akun layanan kustom. Untuk memberikan akses ini, Anda harus menambahkan akun layanan Dataform default sebagai akun utama ke akun layanan khusus dengan peran Service Account Token Creator.

Untuk memberikan akses akun layanan Dataform default ke akun layanan kustom, ikuti langkah-langkah berikut:

1. Di Konsol Google Cloud, buka IAM > Service accounts.

   Buka halaman Akun layanan

2. Pilih project.

3. Di halaman Service accounts for project "YOUR_PROJECT_NAME", pilih akun layanan.

4. Buka Izin, lalu klik Berikan Akses.

5. Di kolom New principals, masukkan ID akun layanan Dataform default Anda.

6. Di menu drop-down Select a role, pilih peran Service Account Token Creator.

7. Klik Save.

Langkah selanjutnya

• Untuk mempelajari peran dan izin IAM BigQuery lebih lanjut, baca artikel Kontrol akses dengan IAM.
• Untuk mempelajari lebih lanjut cara memberikan izin terperinci ke set data BigQuery, lihat Mengontrol akses ke set data.
• Untuk mempelajari lebih lanjut cara memberikan izin terperinci ke tabel BigQuery, lihat Mengontrol akses ke tabel dan tampilan.
• Untuk mempelajari cara mengontrol akses Formulir Data dengan Kontrol Layanan VPC, lihat Mengonfigurasi Kontrol Layanan VPC untuk Formulir Data.