Cloud Data Fusion サービス アカウントに必要な最小限の権限

このドキュメントでは、Cloud Data Fusion サービス アカウントにリソースへのアクセスできるようにするカスタムロールを作成するときに、Cloud Data Fusion サービス アカウントに付与する権限について説明します。

デフォルトでは、 Cloud Data Fusion API サービス エージェントroles/datafusion.serviceAgent)の Identity and Access Management ロールが Cloud Data Fusion サービス アカウントに割り当てられます。このロールは非常に寛容です。 代わりに、カスタムロールを使用して、サービス アカウント プリンシパルに必要な権限のみを付与できます。

Cloud Data Fusion サービス アカウントの詳細については、 Cloud Data Fusion のサービス アカウントをご覧ください。

カスタムロールの作成について詳しくは、 カスタムロールの作成をご覧ください。

Cloud Data Fusion サービス アカウントに必要な権限

Cloud Data Fusion サービス アカウントのカスタムロールを作成する場合は、インスタンスで実行する予定のタスクに基づいて次の権限を付与します。これにより、Cloud Data Fusion はリソースにアクセスできます。

タスク 必要な権限
Managed Service for Apache Spark クラスタを取得する
  • dataproc.clusters.get
Cloud Data Fusion インスタンスごとに Cloud Storage バケットを作成し、Managed Service for Apache Spark ジョブ実行用のファイルをアップロードする
  • storage.buckets.get
  • storage.objects.get
  • storage.buckets.create
  • storage.objects.create
  • storage.objects.update
  • storage.buckets.delete
  • storage.objects.delete
Cloud Logging にログをパブリッシュする
  • logging.logEntries.create
Cloud 指標を Cloud Monitoring にパブリッシュする
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.timeSeries.create
VPC ピアリングで Cloud Data Fusion インスタンスを作成する
  • compute.globalOperations.get
  • compute.networks.addPeering
  • compute.networks.removePeering
  • compute.networks.update
  • compute.networks.get
お客様のプロジェクトとテナント プロジェクトの間に DNS ピアリング ゾーンで Cloud Data Fusion インスタンスを作成する
  • dns.managedZones.create
  • dns.managedZones.delete
  • dns.managedZones.get
  • dns.managedZones.list
  • dns.networks.bindPrivateDNSZone
  • dns.networks.targetWithPeeringZone
Private Service Connect で Cloud Data Fusion インスタンスを作成する
  • compute.networkAttachments.get
  • compute.networkAttachments.update
  • compute.networkAttachments.list

次のステップ