Cloud Data Fusion 服務帳戶所需的最低權限

本文說明建立自訂角色時，應授予 Cloud Data Fusion 服務帳戶哪些權限，讓該服務帳戶存取您的資源。

。

根據預設，系統會將「Cloud Data Fusion API 服務代理人」(roles/datafusion.serviceAgent) Identity and Access Management 角色指派給 Cloud Data Fusion 服務帳戶。這個角色的權限非常寬鬆。 您可以改用自訂角色，只提供服務帳戶主體需要的權限。

如要進一步瞭解 Cloud Data Fusion 服務帳戶，請參閱「Cloud Data Fusion 中的服務帳戶」。

如要進一步瞭解如何建立自訂角色，請參閱「建立自訂角色」。

Cloud Data Fusion 服務帳戶的必要權限

為 Cloud Data Fusion 服務帳戶建立自訂角色時，請根據您打算在執行個體中執行的工作，授予下列權限。這樣 Cloud Data Fusion 才能存取您的資源。

工作	必要權限
取得 Dataproc 叢集	dataproc.clusters.get
為每個 Cloud Data Fusion 執行個體建立 Cloud Storage bucket，並上傳 Dataproc 工作執行作業的檔案	storage.buckets.get storage.objects.get storage.buckets.create storage.objects.create storage.objects.update storage.buckets.delete storage.objects.delete
將記錄檔發布至 Cloud Logging	logging.logEntries.create
將 Cloud 指標發布至 Cloud Monitoring	monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.timeSeries.create
建立具有 VPC 對等互連的 Cloud Data Fusion 執行個體	compute.globalOperations.get compute.networks.addPeering compute.networks.removePeering compute.networks.update compute.networks.get
在客戶和租戶專案之間建立具有 DNS 對等互連可用區的 Cloud Data Fusion 執行個體	dns.managedZones.create dns.managedZones.delete dns.managedZones.get dns.managedZones.list dns.networks.bindPrivateDNSZone dns.networks.targetWithPeeringZone
建立使用 Private Service Connect 的 Cloud Data Fusion 執行個體	compute.networkAttachments.get compute.networkAttachments.update compute.networkAttachments.list

後續步驟

• 進一步瞭解如何建立及管理自訂角色。
• 進一步瞭解 Cloud Data Fusion 中的存取權控管選項。