Mindestberechtigungen für das Cloud Data Fusion-Dienstkonto
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
In diesem Dokument wird erläutert, welche Berechtigungen Sie dem Cloud Data Fusion-Dienstkonto zuweisen müssen, wenn Sie eine benutzerdefinierte Rolle erstellen, mit der es auf Ihre Ressourcen zugreifen kann.
.
Standardmäßig ist dem Cloud Data Fusion-Dienstkonto die Identity and Access Management-Rolle Cloud Data Fusion API-Dienst-Agent (roles/datafusion.serviceAgent) zugewiesen. Diese Rolle ist sehr weit gefasst.
Stattdessen können Sie benutzerdefinierte Rollen verwenden, um nur die Berechtigungen bereitzustellen, die das Hauptkonto des Dienstkontos benötigt.
Erforderliche Berechtigungen für das Cloud Data Fusion-Dienstkonto
Wenn Sie eine benutzerdefinierte Rolle für das Cloud Data Fusion-Dienstkonto erstellen, weisen Sie die folgenden Berechtigungen zu, je nachdem, welche Aufgaben Sie in Ihrer Instanz ausführen möchten. Dadurch kann Cloud Data Fusion auf Ihre Ressourcen zugreifen.
Aufgabe
Erforderliche Berechtigungen
Erstellen Sie eine Cloud Data Fusion-Instanz.
datafusion.instances.setIamPolicy
datafusion.instances.getIamPolicy
Dataproc-Cluster abrufen
dataproc.clusters.get
Cloud Storage-Bucket pro Cloud Data Fusion-Instanz erstellen und Dateien für die Ausführung von Dataproc-Jobs hochladen
storage.buckets.get
storage.objects.get
storage.buckets.create
storage.objects.create
storage.objects.update
storage.buckets.delete
storage.objects.delete
Logs in Cloud Logging veröffentlichen
logging.logEntries.create
Cloud-Messwerte in Cloud Monitoring veröffentlichen
monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list
monitoring.timeSeries.create
Cloud Data Fusion-Instanz mit VPC-Peering erstellen
compute.globalOperations.get
compute.networks.addPeering
compute.networks.removePeering
compute.networks.update
compute.networks.get
Cloud Data Fusion-Instanz mit DNS-Peering-Zone zwischen Kunden- und Mandantenprojekten erstellen
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-04-09 (UTC)."],[[["This document outlines the necessary permissions for the Cloud Data Fusion Service Account when using custom roles to access resources, as opposed to the default highly permissive role."],["Custom roles allow you to grant specific permissions to the service account principal, tailoring access to only what is needed for designated tasks."],["Permissions required for tasks such as instance creation, Dataproc cluster access, Cloud Storage interaction, and publishing logs or metrics are detailed in the provided table."],["Additional configurations like VPC peering, DNS peering, and Private Service Connect each have their own specific permissions needed to create a Cloud Data Fusion instance."]]],[]]
