En este documento, se explican los permisos que debes otorgar a la cuenta de servicio de Cloud Data Fusion cuando creas un rol personalizado que le permite acceder a tus recursos.
De forma predeterminada, el
rol de Identity and Access Management de Agente de servicio de la API de Cloud Data Fusion
(roles/datafusion.serviceAgent) se asigna a la
cuenta de servicio de Cloud Data Fusion. Este rol es muy permisivo.
En su lugar, puedes usar roles personalizados para proporcionar solo los permisos que necesita el principal de la cuenta de servicio.
Para obtener más información sobre las cuentas de servicio de Cloud Data Fusion, consulta Cuentas de servicio en Cloud Data Fusion.
Para obtener más información sobre la creación de roles personalizados, consulta Crea un rol personalizado.
Permisos necesarios para la cuenta de servicio de Cloud Data Fusion
Cuando crees un rol personalizado para la cuenta de servicio de Cloud Data Fusion, otorga los siguientes permisos según las tareas que planeas realizar en tu instancia. Esto permite que Cloud Data Fusion acceda a tus recursos.
| Tarea | Permisos necesarios |
|---|---|
| Obtener clústeres de Managed Service for Apache Spark |
|
| Crear un bucket de Cloud Storage por instancia de Cloud Data Fusion y subir archivos para la ejecución de trabajos de Managed Service for Apache Spark |
|
| Publicar registros en Cloud Logging |
|
| Publicar métricas de Cloud en Cloud Monitoring |
|
| Crear una instancia de Cloud Data Fusion con intercambio de tráfico de VPC |
|
| Crear una instancia de Cloud Data Fusion con una zona de intercambio de tráfico de DNS entre proyectos de clientes y de tenants |
|
| Crear una instancia de Cloud Data Fusion con Private Service Connect |
|
¿Qué sigue?
- Obtén más información para crear y administrar roles personalizados.
- Obtén más información sobre las opciones de control de acceso en Cloud Data Fusion.