Cloud Data Fusion サービス アカウントに必要な最小限の権限

このドキュメントでは、Cloud Data Fusion サービス アカウントにリソースへのアクセスできるようにするカスタムロールを作成するときに、Cloud Data Fusion サービス アカウントに付与する権限について説明します。

デフォルトでは、Cloud Data Fusion API サービス エージェント（roles/datafusion.serviceAgent）の Identity and Access Management ロールが Cloud Data Fusion サービス アカウントに割り当てられています。このロールは非常に許容度が高いロールです。代わりに、カスタムロールを使用して、サービス アカウント プリンシパルに必要な権限のみを付与できます。

Cloud Data Fusion サービス アカウントの詳細については、Cloud Data Fusion のサービス アカウントをご覧ください。

カスタムロールの作成の詳細については、カスタムロールを作成するをご覧ください。

Cloud Data Fusion サービス アカウントに必要な権限

Cloud Data Fusion サービス アカウントのカスタムロールを作成する場合は、インスタンスで実行する予定のタスクに基づいて次の権限を付与します。これにより、Cloud Data Fusion はリソースにアクセスできます。

タスク	必要な権限
Cloud Data Fusion インスタンスを作成する	datafusion.instances.setIamPolicy datafusion.instances.getIamPolicy
Dataproc クラスタを取得する	dataproc.clusters.get
Cloud Data Fusion インスタンスごとに Cloud Storage バケットを作成し、Dataproc ジョブの実行用にファイルをアップロードする	storage.buckets.get storage.objects.get storage.buckets.create storage.objects.create storage.objects.update storage.buckets.delete storage.objects.delete
ログを Cloud Logging にパブリッシュする	logging.logEntries.create
Cloud 指標を Cloud Monitoring にパブリッシュする	monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.timeSeries.create
VPC ピアリングで Cloud Data Fusion インスタンスを作成する	compute.globalOperations.get compute.networks.addPeering compute.networks.removePeering compute.networks.update compute.networks.get
お客様のプロジェクトとテナント プロジェクトの間に DNS ピアリング ゾーンで Cloud Data Fusion インスタンスを作成する	dns.managedZones.create dns.managedZones.delete dns.managedZones.get dns.managedZones.list dns.networks.bindPrivateDNSZone dns.networks.targetWithPeeringZone
Private Service Connect で Cloud Data Fusion インスタンスを作成する	compute.networkAttachments.get compute.networkAttachments.update compute.networkAttachments.list

次のステップ

• カスタムロールの作成と管理の詳細。
• Cloud Data Fusion でのアクセス制御オプションの詳細を確認する。