Permisos mínimos necesarios para la cuenta de servicio de Cloud Data Fusion

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En este documento, se explica qué permisos debes otorgar a la cuenta de servicio de Cloud Data Fusion cuando creas un rol personalizado que le permita acceder a tus recursos.

De forma predeterminada, el rol de administración de identidades y accesos de Agente de servicio de la API de Cloud Data Fusion (roles/datafusion.serviceAgent) se asigna a la cuenta de servicio de Cloud Data Fusion. Este rol es muy permisivo. En su lugar, puedes usar roles personalizados para proporcionar solo los permisos que necesita el principal de la cuenta de servicio.

Para obtener más información sobre las cuentas de servicio de Cloud Data Fusion, consulta Cuentas de servicio en Cloud Data Fusion.

Para obtener más información sobre cómo crear roles personalizados, consulta Crea un rol personalizado.

Permisos necesarios para la cuenta de servicio de Cloud Data Fusion

Cuando crees un rol personalizado para la cuenta de servicio de Cloud Data Fusion, otorga los siguientes permisos según las tareas que planeas realizar en tu instancia. Esto permite que Cloud Data Fusion acceda a tus recursos.

Tarea	Permisos necesarios
Cree una instancia de Cloud Data Fusion	datafusion.instances.setIamPolicy datafusion.instances.getIamPolicy
Obtén clústeres de Dataproc	dataproc.clusters.get
Crea un bucket de Cloud Storage por instancia de Cloud Data Fusion y sube archivos para la ejecución de trabajos de Dataproc	storage.buckets.get storage.objects.get storage.buckets.create storage.objects.create storage.objects.update storage.buckets.delete storage.objects.delete
Publica registros en Cloud Logging	logging.logEntries.create
Publica métricas de Cloud en Cloud Monitoring	monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.timeSeries.create
Crea una instancia de Cloud Data Fusion con vinculación de VPC	compute.globalOperations.get compute.networks.addPeering compute.networks.removePeering compute.networks.update compute.networks.get
Crea una instancia de Cloud Data Fusion con una zona de intercambio de tráfico de DNS entre los proyectos de cliente y usuario	dns.managedZones.create dns.managedZones.delete dns.managedZones.get dns.managedZones.list dns.networks.bindPrivateDNSZone dns.networks.targetWithPeeringZone
Crea una instancia de Cloud Data Fusion con Private Service Connect	compute.networkAttachments.get compute.networkAttachments.update compute.networkAttachments.list

¿Qué sigue?

• Obtén más información para crear y administrar roles personalizados.
• Obtén más información sobre las opciones de control de acceso en Cloud Data Fusion.