Este documento explica quais permissões conceder à conta de serviço do Cloud Data Fusion ao criar uma função personalizada que permita o acesso aos seus recursos.
Por padrão, o
papel do Identity and Access Management do agente de serviço da API Data Fusion
(roles/datafusion.serviceAgent) é atribuído à
conta de serviço do Cloud Data Fusion. Esse papel é altamente permissivo.
Em vez disso, você pode usar papéis personalizados para fornecer apenas as permissões de que o principal da conta de serviço precisa.
Para mais informações sobre as contas de serviço do Cloud Data Fusion, consulte Contas de serviço no Cloud Data Fusion.
Para mais informações sobre como criar funções personalizadas, consulte Criar uma função personalizada.
Permissões necessárias para a conta de serviço do Cloud Data Fusion
Ao criar uma função personalizada para a conta de serviço do Cloud Data Fusion, conceda as seguintes permissões com base nas tarefas que você planeja realizar na instância. Isso permite que o Cloud Data Fusion acesse seus recursos.
| Tarefa | Permissões necessárias |
|---|---|
| Receber clusters do Managed Service for Apache Spark |
|
| Criar um bucket do Cloud Storage por instância do Cloud Data Fusion e fazer upload de arquivos para execução de jobs do Managed Service for Apache Spark |
|
| Publicar registros no Cloud Logging |
|
| Publicar métricas do Cloud no Cloud Monitoring |
|
| Criar uma instância do Cloud Data Fusion com o VPC Peering |
|
| Criar uma instância do Cloud Data Fusion com uma zona de peering de DNS entre projetos de clientes e locatários |
|
| Criar uma instância do Cloud Data Fusion com Private Service Connect |
|
A seguir
- Saiba mais sobre como criar e gerenciar papéis personalizados.
- Saiba mais sobre as opções de controle de acesso no Cloud Data Fusion.