Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan kontrol akses berbasis peran (RBAC)

Halaman ini menjelaskan otorisasi terperinci dengan role-based access control (RBAC) di Cloud Data Fusion.

Dengan mengaktifkan RBAC di instance Cloud Data Fusion, Anda dapat mengontrol akses dalam instance dan namespace, seperti siapa yang dapat mengakses resource Cloud Data Fusion dan apa yang dapat mereka lakukan dengan resource tersebut.

Kasus penggunaan untuk RBAC

RBAC menyediakan isolasi tingkat namespace dalam satu instance Cloud Data Fusion. Direkomendasikan untuk kasus penggunaan berikut:

Membantu meminimalkan jumlah instance yang digunakan oleh organisasi Anda.
Beberapa developer, tim, atau unit bisnis menggunakan satu instance Cloud Data Fusion.

Dengan RBAC Cloud Data Fusion, organisasi dapat:

Mengizinkan pengguna hanya menjalankan pipeline dalam namespace, tetapi tidak mengubah artefak atau profil komputasi runtime.
Mengizinkan pengguna hanya melihat pipeline, tetapi tidak mengubah atau menjalankan pipeline.
Izinkan pengguna membuat, men-deploy, dan menjalankan pipeline.

Direkomendasikan: Meskipun Anda menggunakan RBAC, untuk menjaga isolasi, keamanan, dan stabilitas performa, gunakan project dan instance terpisah untuk lingkungan pengembangan dan produksi.

Batasan

Pengguna dapat diberi satu atau beberapa peran di tingkat instance atau namespace.
RBAC hanya tersedia di edisi Cloud Data Fusion Enterprise.
Jumlah namespace: Tidak ada batas ketat untuk jumlah namespace per instance.
Untuk mengetahui jumlah maksimum pengguna serentak dalam instance yang mendukung RBAC, lihat Harga.
Saat menggunakan token akses OAuth akun layanan untuk mengakses instance yang mendukung RBAC versi 6.5, cakupan berikut harus ditentukan, terutama cakupan userinfo.email. Tanpa izin tersebut, Anda akan mengalami error izin ditolak.
- https://www.googleapis.com/auth/userinfo.email
- https://www.googleapis.com/auth/cloud-platform atau https://www.googleapis.com/auth/servicecontrol

Role assignments

Penetapan peran terdiri dari tiga elemen: akun utama, definisi peran, dan cakupan.

Akun utama

Anda memberikan peran kepada akun utama untuk mengubah aksesnya ke resource Cloud Data Fusion.

Definisi peran

Peran berisi serangkaian izin yang memungkinkan Anda melakukan tindakan tertentu pada Google Cloud resource.

Cloud Data Fusion menyediakan beberapa peran bawaan yang dapat Anda gunakan.

Contoh:

Peran Admin Instance (datafusion.admin) memungkinkan akun utama membuat dan menghapus namespace, serta memberikan izin.
Peran Developer (datafusion.developer) memungkinkan akun utama membuat dan menghapus pipeline, men-deploy pipeline, dan menjalankan pratinjau.

Cakupan

Cakupan adalah kumpulan resource yang menjadi tujuan penerapan akses. Saat menetapkan peran, Anda dapat membatasi lebih lanjut tindakan yang diizinkan dengan menentukan cakupan, seperti instance atau namespace. Hal ini berguna jika Anda ingin menetapkan peran Developer kepada seseorang, tetapi hanya untuk satu namespace.

Rekomendasi keamanan

Menerapkan model keamanan dan menyesuaikannya dengan kebutuhan dan persyaratan organisasi Anda bisa menjadi tantangan. Rekomendasi berikut dimaksudkan untuk membantu Anda menyederhanakan perjalanan Anda dalam mengadopsi model RBAC Cloud Data Fusion:

Peran Admin Instance harus diberikan dengan hati-hati. Peran ini memungkinkan akses penuh ke instance dan semua resource Cloud Data Fusion yang mendasarinya. Akun utama dengan peran ini dapat memberikan izin kepada orang lain dengan menggunakan REST API.
Peran Admin Instance tidak boleh diberikan jika akun utama harus memiliki akses ke setiap namespace dalam instance Cloud Data Fusion. Sebagai gantinya, berikan peran Instance Accessor dengan salah satu peran Viewer/Developer/Operator/Editor yang diberikan pada subset namespace.
Peran Instance Accessor aman untuk ditetapkan terlebih dahulu, karena memungkinkan akses pokok ke instance, tetapi tidak akan memberikan akses ke resource apa pun dalam instance. Peran ini biasanya digunakan bersama dengan salah satu peran Pelihat/Developer/Operator/Editor untuk memberikan akses ke satu atau subset namespace dalam instance.
Peran Viewer direkomendasikan untuk ditetapkan kepada pengguna atau grup Google yang ingin melakukan layanan mandiri untuk memahami status tugas yang sedang berjalan, atau melihat pipeline atau log dengan instance Cloud Data Fusion. Misalnya, konsumen laporan harian yang ingin mengetahui apakah pemrosesan telah selesai.
Peran developer direkomendasikan untuk developer ETL yang bertanggung jawab membuat, menguji, dan mengelola pipeline.
Peran operator untuk namespace direkomendasikan bagi pengguna yang menyediakan layanan administrator operasi atau DevOps. Mereka dapat melakukan semua tindakan yang dapat dilakukan developer (kecuali melihat pratinjau pipeline) dan juga men-deploy artefak serta mengelola profil komputasi.
Peran editor untuk namespace adalah peran istimewa yang memberi pengguna atau grup Google akses penuh ke semua resource di namespace. Editor dapat dianggap sebagai gabungan peran developer dan operator.
Operator dan Admin harus berhati-hati saat menginstal plugin atau artefak yang tidak tepercaya karena dapat menimbulkan risiko keamanan.

Pemecahan masalah

Bagian halaman ini menunjukkan cara menyelesaikan masalah terkait RBAC di Cloud Data Fusion.

Akun utama yang memiliki peran Pelihat Cloud Data Fusion untuk namespace di RBAC dapat mengedit pipeline

Akses didasarkan pada kombinasi peran IAM dan RBAC. Peran IAM lebih diutamakan daripada peran RBAC. Periksa apakah akun utama memiliki peran IAM Project Editor atau Admin Cloud Data Fusion.

Principal yang memiliki peran Instance Admin di RBAC tidak dapat melihat instance Cloud Data Fusion di konsol Google Cloud

Ada masalah umum di Cloud Data Fusion yang menyebabkan prinsipal dengan peran Admin Instance tidak dapat melihat instance di konsol Google Cloud . Untuk memperbaiki masalah ini, berikan peran Project Viewer atau salah satu peran IAM Cloud Data Fusion kepada akun utama selain menjadikannya Admin untuk instance. Peran ini memberikan akses Pelihat ke akun utama untuk semua instance dalam project.

Mencegah akun utama melihat namespace tempat mereka tidak memiliki peran

Untuk mencegah akun utama melihat namespace tempat mereka tidak memiliki peran, mereka tidak boleh memiliki peran Project Viewer atau salah satu peran IAM Cloud Data Fusion. Sebagai gantinya, hanya berikan peran RBAC kepada akun utama di namespace tempat mereka perlu beroperasi.

Akun utama dengan jenis akses ini tidak akan melihat daftar instance Cloud Data Fusion di konsol Google Cloud . Sebagai gantinya, berikan link langsung ke instance, yang mirip dengan berikut ini: https://INSTANCE_NAME-PROJECT_ID.REGION_NAME.datafusion.googleusercontent.com/

Saat akun utama membuka instance, Cloud Data Fusion akan menampilkan daftar namespace tempat akun utama diberi peran RBAC.

Memberikan peran Cloud Data Fusion Accessor kepada akun utama

Peran Pengakses ditetapkan secara implisit ke akun utama saat peran RBAC lain ditetapkan ke akun utama tersebut untuk instance Cloud Data Fusion apa pun. Untuk memverifikasi apakah suatu akun utama memiliki peran tersebut di instance tertentu, lihat IAM Policy Analyzer.

Langkah berikutnya

Pelajari cara menggunakan RBAC di Cloud Data Fusion.