Este documento explica que autorizações deve conceder à conta de serviço do Cloud Data Fusion quando cria uma função personalizada que lhe permite aceder aos seus recursos.
Por predefinição, a função de gestão de identidade e de acesso (IAM) do
agente do serviço da API Cloud Data Fusion
(roles/datafusion.serviceAgent) é atribuída à
conta de serviço do Cloud Data Fusion. Esta função é altamente permissiva.
Em alternativa, pode usar funções personalizadas para fornecer apenas as autorizações de que a conta principal da conta de serviço precisa.
Para mais informações sobre as contas de serviço do Cloud Data Fusion, consulte o artigo Contas de serviço no Cloud Data Fusion.
Para mais informações sobre a criação de funções personalizadas, consulte o artigo Crie uma função personalizada.
Autorizações necessárias para a conta de serviço do Cloud Data Fusion
Quando cria uma função personalizada para a conta de serviço do Cloud Data Fusion, conceda as seguintes autorizações com base nas tarefas que planeia realizar na sua instância. Isto permite que o Cloud Data Fusion aceda aos seus recursos.
| Tarefa | Autorizações necessárias |
|---|---|
| Obtenha clusters do Dataproc |
|
| Crie um contentor do Cloud Storage por instância do Cloud Data Fusion e carregue ficheiros para a execução de tarefas do Dataproc |
|
| Publique registos no Cloud Logging |
|
| Publique métricas da nuvem no Cloud Monitoring |
|
| Crie uma instância do Cloud Data Fusion com interligação de VPC |
|
| Crie uma instância do Cloud Data Fusion com uma zona de intercâmbio de DNS entre os projetos do cliente e do inquilino |
|
| Crie uma instância do Cloud Data Fusion com o Private Service Connect |
|
O que se segue?
- Saiba mais sobre como criar e gerir funções personalizadas.
- Saiba mais acerca das opções de controlo de acesso no Cloud Data Fusion.