Mindestberechtigungen für das Cloud Data Fusion-Dienstkonto

In diesem Dokument wird erläutert, welche Berechtigungen Sie dem Cloud Data Fusion-Dienstkonto zuweisen müssen, wenn Sie eine benutzerdefinierte Rolle erstellen, mit der es auf Ihre Ressourcen zugreifen kann.

.

Standardmäßig ist dem Cloud Data Fusion-Dienstkonto die Identity and Access Management-Rolle Cloud Data Fusion API-Dienst-Agent (roles/datafusion.serviceAgent) zugewiesen. Diese Rolle ist sehr weit gefasst. Stattdessen können Sie benutzerdefinierte Rollen verwenden, um nur die Berechtigungen bereitzustellen, die das Hauptkonto des Dienstkontos benötigt.

Weitere Informationen zu Cloud Data Fusion-Dienstkonten finden Sie unter Dienstkonten in Cloud Data Fusion.

Weitere Informationen zum Erstellen benutzerdefinierter Rollen finden Sie unter Benutzerdefinierte Rolle erstellen.

Erforderliche Berechtigungen für das Cloud Data Fusion-Dienstkonto

Wenn Sie eine benutzerdefinierte Rolle für das Cloud Data Fusion-Dienstkonto erstellen, weisen Sie die folgenden Berechtigungen zu, je nachdem, welche Aufgaben Sie in Ihrer Instanz ausführen möchten. Dadurch kann Cloud Data Fusion auf Ihre Ressourcen zugreifen.

Aufgabe Erforderliche Berechtigungen
Erstellen Sie eine Cloud Data Fusion-Instanz.
  • datafusion.instances.setIamPolicy
  • datafusion.instances.getIamPolicy
Dataproc-Cluster abrufen
  • dataproc.clusters.get
Cloud Storage-Bucket pro Cloud Data Fusion-Instanz erstellen und Dateien für die Ausführung von Dataproc-Jobs hochladen
  • storage.buckets.get
  • storage.objects.get
  • storage.buckets.create
  • storage.objects.create
  • storage.objects.update
  • storage.buckets.delete
  • storage.objects.delete
Logs in Cloud Logging veröffentlichen
  • logging.logEntries.create
Cloud-Messwerte in Cloud Monitoring veröffentlichen
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.timeSeries.create
Cloud Data Fusion-Instanz mit VPC-Peering erstellen
  • compute.globalOperations.get
  • compute.networks.addPeering
  • compute.networks.removePeering
  • compute.networks.update
  • compute.networks.get
Cloud Data Fusion-Instanz mit DNS-Peering-Zone zwischen Kunden- und Mandantenprojekten erstellen
  • dns.managedZones.create
  • dns.managedZones.delete
  • dns.managedZones.get
  • dns.managedZones.list
  • dns.networks.bindPrivateDNSZone
  • dns.networks.targetWithPeeringZone
Cloud Data Fusion-Instanz mit Private Service Connect erstellen
  • compute.networkAttachments.get
  • compute.networkAttachments.update
  • compute.networkAttachments.list

Nächste Schritte