Cloud Data Fusion 服務帳戶所需的最低權限

本文說明在您建立可讓 Cloud Data Fusion 服務帳戶存取資源的自訂角色時,應授予該帳戶哪些權限。

根據預設,Cloud Data Fusion API 服務代理人 (roles/datafusion.serviceAgent) 身分與存取權管理角色會指派給 Cloud Data Fusion 服務帳戶。這個角色的權限相當寬鬆。您可以改用自訂角色,只提供服務帳戶主體所需的權限。

如要進一步瞭解 Cloud Data Fusion 服務帳戶,請參閱「Cloud Data Fusion 中的服務帳戶」。

如要進一步瞭解如何建立自訂角色,請參閱「建立自訂角色」。

Cloud Data Fusion 服務帳戶的必要權限

為 Cloud Data Fusion 服務帳戶建立自訂角色時,請根據您打算在執行個體中執行的作業,授予下列權限。這樣 Cloud Data Fusion 就能存取您的資源。

工作 必要權限
建立 Cloud Data Fusion 執行個體
  • datafusion.instances.setIamPolicy
  • datafusion.instances.getIamPolicy
取得 Dataproc 叢集
  • dataproc.clusters.get
為每個 Cloud Data Fusion 執行個體建立 Cloud Storage 值區,並上傳檔案以執行 Dataproc 工作
  • storage.buckets.get
  • storage.objects.get
  • storage.buckets.create
  • storage.objects.create
  • storage.objects.update
  • storage.buckets.delete
  • storage.objects.delete
將記錄檔發布至 Cloud Logging
  • logging.logEntries.create
將 Cloud 指標發布至 Cloud Monitoring
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.timeSeries.create
使用 VPC 配對建立 Cloud Data Fusion 執行個體
  • compute.globalOperations.get
  • compute.networks.addPeering
  • compute.networks.removePeering
  • compute.networks.update
  • compute.networks.get
在客戶和租用戶專案之間建立 Cloud Data Fusion 執行個體,並設有 DNS 對等區
  • dns.managedZones.create
  • dns.managedZones.delete
  • dns.managedZones.get
  • dns.managedZones.list
  • dns.networks.bindPrivateDNSZone
  • dns.networks.targetWithPeeringZone
使用 Private Service Connect 建立 Cloud Data Fusion 執行個體
  • compute.networkAttachments.get
  • compute.networkAttachments.update
  • compute.networkAttachments.list

後續步驟