Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

בקרת גישה באמצעות IAM

בדף הזה מוסבר על אפשרויות בקרת הגישה ב-Cloud Data Fusion.

אפשר לשלוט בגישה למשאבים ב-Cloud Data Fusion בדרכים הבאות:

כדי לשלוט בגישה לפעולות של מישור הבקרה, כמו יצירה ועדכון של מכונות באמצעות מסוף Google Cloud ,‏ Google Cloud CLI ו-REST API, צריך להשתמש בניהול זהויות והרשאות גישה (IAM), כמו שמתואר בדף הזה.
כדי להעניק גישה לשירותי נתונים, כמו BigQuery או Cloud Storage, לחשבון שירות שבו פועלים צינורות עיבוד נתונים, צריך להשתמש ב-IAM. Google Cloud
כדי לשלוט בהרשאות מפורטות לפעולות שמבוצעות במופע, שנקראות פעולות במישור הנתונים, כמו הפעלת צינורות, משתמשים בבקרת גישה מבוססת-תפקידים (RBAC).

הערה: בדרך כלל לא מקצים תפקידי RBAC לחשבונות שירות של צינורות עיבוד נתונים.

מידע על הארכיטקטורה והמשאבים שקשורים לבקרת גישה ב-Cloud Data Fusion זמין במאמר Networking. מידע על הקצאת תפקידים והרשאות מופיע במאמר ניהול הגישה לפרויקטים, לתיקיות ולארגונים.

מידע על IAM ב-Cloud Data Fusion

אתם יכולים לשלוט בגישה לתכונות של Cloud Data Fusion על ידי הקצאת תפקידים והרשאות ב-IAM לחשבונות שירות ולגורמים אחרים ב Google Cloud פרויקט.

כדי להעניק גישה מפורטת לחשבונות משתמשים כך שהם יוכלו להשתמש בממשק האינטרנט של Cloud Data Fusion, צריך להשתמש ב-RBAC.

כברירת מחדל, Cloud Data Fusion משתמש בחשבונות השירות הבאים:

חשבון השירות של Cloud Data Fusion
חשבון השירות של Compute Engine שמוגדר כברירת מחדל

חשבון שירות ב-Cloud Data Fusion

חשבון השירות של Cloud Data Fusion הוא סוכן שירות שמנוהל על ידי Google ויכול לגשת למשאבים של לקוחות בזמן התכנון של צינור עיבוד הנתונים. סוכן השירות הזה נוסף אוטומטית לפרויקט כשמפעילים את Cloud Data Fusion API. היא משמשת לכל המקרים בפרויקט.

אלה התפקידים של סוכן השירות:

תקשורת עם שירותים אחרים, כמו Cloud Storage,‏ BigQuery או Datastream במהלך תכנון צינור עיבוד הנתונים.
הפעלת הביצוע על ידי הקצאת אשכולות של Managed Service for Apache Spark ושליחת משימות של צינורות נתונים.

תפקידים בחשבון השירות של Cloud Data Fusion

כברירת מחדל, לחשבון השירות של Cloud Data Fusion יש רק את התפקיד Cloud Data Fusion API Service Agent ‏(roles/datafusion.serviceAgent).

שם חשבון המשתמש של סוכן השירות הזה הוא service-CUSTOMER_PROJECT_NUMBER@gcp-sa-datafusion.iam.gserviceaccount.com.

משאבי ברירת המחדל הבאים משויכים לתפקיד של סוכן השירות של Cloud Data Fusion API.

תפקיד	משאב	הרשאות
סוכן שירות Cloud Data Fusion API	שירותים משויכים: BigQuery Bigtable Compute Engine Managed Service for Apache Spark Cloud DNS Firebase Cloud Monitoring קישוריות רשת Network Security Integration Network Services API מדיניות הארגון Recommender API Cloud Resource Manager API Service Networking Service Usage Spanner Cloud Storage Cloud Service Mesh	אפשר לעיין בהרשאות של סוכן השירות של Cloud Data Fusion API.

חשבון השירות של Compute Engine שמוגדר כברירת מחדל או חשבון שירות מותאם אישית

חשבון השירות של Compute Engine הוא חשבון ברירת המחדל שמשמש את Cloud Data Fusion לפריסה ולהרצה של משימות שצריכות לגשת למשאבים אחרים שלGoogle Cloud . כברירת מחדל, הוא מצורף למכונה וירטואלית של אשכול Managed Service for Apache Spark כדי לאפשר ל-Cloud Data Fusion לגשת למשאבים של Managed Service for Apache Spark במהלך הפעלת צינור.

אתם יכולים לבחור חשבון שירות בהתאמה אישית לצירוף לאשכול של Managed Service for Apache Spark כשיוצרים מופע של Cloud Data Fusion, או על ידי יצירת פרופילי מחשוב חדשים בממשק האינטרנט של Cloud Data Fusion.

מידע נוסף זמין במאמר חשבונות שירות ב-Cloud Data Fusion.

תפקידים בחשבון השירות של Compute Engine

כדי לגשת למשאבים (כמו מקורות ויעדים) כשמריצים צינור, Cloud Data Fusion משתמש כברירת מחדל בחשבון השירות שמוגדר כברירת מחדל ב-Compute Engine.

אתם יכולים להגדיר חשבון שירות מותאם אישית בניהול המשתמשים עבור מופעים של Cloud Data Fusion ולהקצות תפקיד לחשבון הזה. אחרי כן, תוכלו לבחור את חשבון השירות הזה כשתיצרו מופעים חדשים.

תפקיד Cloud Data Fusion Runner

בפרויקט שמכיל את מופע Cloud Data Fusion, מעניקים את התפקיד Cloud Data Fusion Runner ‏ (datafusion.runner) לחשבונות שירות שמשמשים כברירת מחדל ולחשבונות שירות מותאמים אישית שמנוהלים על ידי המשתמש.

תפקיד	תיאור	הרשאה
מריץ משאבי Data Fusion‏ `(datafusion.runner)`	מאפשר לחשבון השירות של Compute Engine לתקשר עם שירותי Cloud Data Fusion בפרויקט הדייר	`datafusion.instances.runtime`

התפקיד 'משתמש בחשבון שירות'

בחשבון השירות שמוגדר כברירת מחדל או בחשבון שירות בניהול המשתמשים בפרויקט שבו מופעלים אשכולות של Managed Service for Apache Spark כשמריצים צינורות, מעניקים לחשבון השירות של Cloud Data Fusion את התפקיד 'משתמש בחשבון שירות' (roles/iam.serviceAccountUser).

מידע נוסף מופיע במאמר מתן הרשאה לחשבון שירות.

תפקיד של עובד (Worker) ב-Dataproc

כדי להריץ את המשימות באשכולות של Managed Service for Apache Spark, צריך להעניק את התפקיד Dataproc Worker ‏ (roles/dataproc.worker) לחשבונות השירות שמוגדרים כברירת מחדל או לחשבונות שירות בניהול המשתמש שמשמשים את צינורות עיבוד הנתונים של Cloud Data Fusion.

תפקידים למשתמשים

כדי להפעיל פעולה כלשהי ב-Cloud Data Fusion, לכם (הגורם הראשי) צריכות להיות הרשאות מספיקות. ההרשאות מחולקות לתפקידים, ואתם מעניקים את התפקידים לחשבון המשתמש.

אם RBAC לא מופעל, או אם אתם משתמשים במהדורה של Cloud Data Fusion שלא תומכת ב-RBAC, למשתמשים עם כל תפקיד IAM ב-Cloud Data Fusion יש גישה מלאה לממשק האינטרנט של Cloud Data Fusion. התפקיד 'אדמין' מאפשר למשתמשים רק לנהל את המופע, למשל פעולות של Create, Update, Upgrade ו-Delete.

מקצים לחשבונות משתמשים את התפקידים הבאים, בהתאם להרשאות שהם צריכים ב-Cloud Data Fusion.

תפקיד	תיאור	הרשאות
Cloud Data Fusion Admin (`roles/datafusion.admin`)	כל ההרשאות של Viewer, וגם הרשאות ליצור, לעדכן ולמחוק מופעים של Cloud Data Fusion.	`datafusion.instances.get` `datafusion.instances.list` `datafusion.instances.create` `datafusion.instances.delete` `datafusion.instances.update` `datafusion.operations.get` `datafusion.operations.list` `datafusion.operations.cancel` `resourcemanager.projects.get` `resourcemanager.projects.list`
צפייה ב-Cloud Data Fusion‏ (`roles/datafusion.viewer`)	יכולים לראות את המופעים של Cloud Data Fusion בפרויקט במסוף Google Cloud . אי אפשר ליצור, לעדכן או למחוק מכונות Cloud Data Fusion.	`datafusion.instances.get` `datafusion.instances.list` `datafusion.operations.get` `datafusion.operations.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

גישה למשאבים בפרויקט אחר בזמן העיצוב

בקטע הזה מוסבר על בקרת גישה למשאבים שנמצאים בפרויקט Google Cloud שונה מזה של מופע Cloud Data Fusion בזמן העיצוב.

כשמעצבים צינורות עיבוד נתונים בממשק האינטרנט של Cloud Data Fusion, יכול להיות שתשתמשו בפונקציות כמו Wrangler או Preview, שמאפשרות גישה למשאבים בפרויקטים אחרים.

בקטעים הבאים מוסבר איך לזהות את חשבון השירות בסביבה שלכם ואז להעניק לו את ההרשאות המתאימות.

קביעת חשבון השירות של הסביבה

שם חשבון השירות הוא Cloud Data Fusion Service Account והחשבון הראשי של סוכן השירות הזה הוא service-CUSTOMER_PROJECT_NUMBER@gcp-sa-datafusion.iam.gserviceaccount.com.

הענקת הרשאה לגישה למשאבים בפרויקט אחר

כדי להעניק את התפקידים שנותנים הרשאה לגשת למשאבים שונים, פועלים לפי השלבים הבאים:

בפרויקט שבו נמצא משאב היעד, מוסיפים את חשבון השירות של Cloud Data Fusion‏ (service-CUSTOMER_PROJECT_NUMBER@gcp-sa-datafusion.iam.gserviceaccount.com) כחשבון משתמש.
מקצים תפקידים לחשבון השירות של Cloud Data Fusion במשאב היעד בפרויקט שבו משאב היעד נמצא.

אחרי שנותנים את התפקידים, אפשר לגשת למשאבים בפרויקט אחר בזמן העיצוב, באותו אופן שבו ניגשים למשאבים בפרויקט שבו נמצא המופע.

גישה למשאבים בפרויקט אחר בזמן הריצה

בקטע הזה מוסבר על בקרת גישה למשאבים שנמצאים בפרויקט אחר Google Cloud מזה של מופע Cloud Data Fusion בזמן הריצה.

בזמן ההפעלה, מפעילים את צינור הנתונים באשכול Managed Service for Apache Spark, שעשוי לגשת למשאבים בפרויקטים אחרים. כברירת מחדל, האשכול של Managed Service for Apache Spark מופעל באותו פרויקט שבו מופעל מופע Cloud Data Fusion, אבל אפשר להשתמש באשכולות בפרויקט אחר.

כדי לגשת למשאבים בפרויקטים אחרים Google Cloud , פועלים לפי השלבים הבאים:

קובעים את חשבון השירות של הפרויקט.
בפרויקט שבו נמצא המשאב, מקצים תפקידי IAM לחשבון השירות שמוגדר כברירת מחדל ב-Compute Engine כדי לתת לו גישה למשאבים בפרויקט אחר.

איך קובעים את חשבון השירות של Compute Engine

מידע נוסף על חשבון השירות של Compute Engine זמין במאמר מידע על IAM ב-Cloud Data Fusion.

הענקת גישת IAM למשאבים בפרויקט אחר

חשבון השירות שמוגדר כברירת מחדל ב-Compute Engine צריך הרשאות כדי לגשת למשאבים בפרויקט אחר. התפקידים וההרשאות האלה יכולים להיות שונים בהתאם למשאב שרוצים לגשת אליו.

כדי לגשת למשאבים, פועלים לפי השלבים הבאים:

מקצים תפקידים והרשאות, ומציינים את חשבון השירות של Compute Engine כחשבון משתמש בפרויקט שבו נמצא משאב היעד.
מוסיפים תפקידים מתאימים כדי לקבל גישה למשאב.

הרשאות ל-Cloud Data Fusion API

כדי להפעיל את Cloud Data Fusion API, צריך את ההרשאות הבאות.

קריאה ל-API	הרשאה
`instances.create`	`datafusion.instances.create`
`instances.delete`	`datafusion.instances.delete`
`instances.list`	`datafusion.instances.list`
`instances.get`	`datafusion.instances.get`
`instances.update`	`datafusion.instances.update`
`operations.cancel`	`datafusion.operations.cancel`
`operations.list`	`datafusion.operations.list`
`operations.get`	`datafusion.operations.get`

הרשאות לביצוע משימות נפוצות

כדי לבצע משימות נפוצות ב-Cloud Data Fusion, צריך את ההרשאות הבאות:

משימה	הרשאות
גישה לממשק האינטרנט של Cloud Data Fusion	`datafusion.instances.get`
גישה לדף Instances ב-Cloud Data Fusion במסוף Google Cloud	`datafusion.instances.list`
גישה לדף Details (פרטים) של מופע	`datafusion.instances.get`
יצירת מופע חדש	`datafusion.instances.create`
עדכון התוויות והאפשרויות המתקדמות להתאמה אישית של מכונה	`datafusion.instances.update`
מחיקת מכונה	`datafusion.instances.delete`

המאמרים הבאים

מידע נוסף על בקרת גישה בין כמה פרויקטים