Autorizzazioni minime richieste per il service account Cloud Data Fusion

Questo documento spiega quali autorizzazioni concedere al service account Cloud Data Fusion quando crei un ruolo personalizzato che gli consente di accedere alle tue risorse.

Per impostazione predefinita, al service account Cloud Data Fusion viene assegnato il ruolo Identity and Access Management Cloud Data Fusion API Service Agent(roles/datafusion.serviceAgent). Questo ruolo è molto permissivo. Puoi invece utilizzare i ruoli personalizzati per fornire solo le autorizzazioni di cui ha bisogno il principale del account di servizio.

Per saperne di più sui service account Cloud Data Fusion, consulta Service account in Cloud Data Fusion.

Per saperne di più sulla creazione di ruoli personalizzati, consulta Creare un ruolo personalizzato.

Autorizzazioni richieste per il service account Cloud Data Fusion

Quando crei un ruolo personalizzato per il service account Cloud Data Fusion, concedi le seguenti autorizzazioni in base alle attività che prevedi di eseguire nella tua istanza. In questo modo Cloud Data Fusion può accedere alle tue risorse.

Attività Autorizzazioni obbligatorie
Recupera i cluster Managed Service per Apache Spark
  • dataproc.clusters.get
Crea un bucket Cloud Storage per l'istanza Cloud Data Fusion e carica i file per l'esecuzione dei job di Managed Service per Apache Spark
  • storage.buckets.get
  • storage.objects.get
  • storage.buckets.create
  • storage.objects.create
  • storage.objects.update
  • storage.buckets.delete
  • storage.objects.delete
Pubblica i log in Cloud Logging
  • logging.logEntries.create
Pubblica le metriche Cloud in Cloud Monitoring
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.timeSeries.create
Crea un'istanza Cloud Data Fusion con il peering VPC
  • compute.globalOperations.get
  • compute.networks.addPeering
  • compute.networks.removePeering
  • compute.networks.update
  • compute.networks.get
Crea un'istanza Cloud Data Fusion con zona di peering DNS tra i progetti cliente e tenant
  • dns.managedZones.create
  • dns.managedZones.delete
  • dns.managedZones.get
  • dns.managedZones.list
  • dns.networks.bindPrivateDNSZone
  • dns.networks.targetWithPeeringZone
Crea un'istanza Cloud Data Fusion con Private Service Connect
  • compute.networkAttachments.get
  • compute.networkAttachments.update
  • compute.networkAttachments.list

Passaggi successivi