Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan mode bertindak sebagai yang ketat

Mode bertindak sebagai yang ketat mengaktifkan pemeriksaan keamanan tambahan untuk tindakan pengguna berikut di Dataform:

Membuat atau memperbarui repositori
Membuat atau memperbarui konfigurasi alur kerja
Membuat pemanggilan alur kerja
Memperbarui konfigurasi rilis

Pemeriksaan keamanan tambahan ini mewajibkan pengguna yang melakukan tindakan ini memiliki izin iam.serviceAccounts.actAs pada akun layanan efektif, yaitu agen layanan atau akun layanan yang kredensialnya digunakan untuk menjalankan alur kerja. Untuk mengetahui informasi selengkapnya, lihat Melampirkan akun layanan ke resource.

Anda dapat mengaktifkan mode ini dengan cara berikut:

Saat membuat repositori
Saat memperbarui repositori yang ada dengan flag repositori strict_act_as_checks

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk menyelesaikan tugas dalam dokumen ini, minta administrator untuk memberi Anda peran IAM Service Account User (roles/iam.serviceAccountUser) di akun layanan kustom. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Menentukan akun layanan yang efektif

Anda dapat menentukan akun layanan efektif yang menjalankan alur kerja sesuai dengan jenis resource dan kondisi berikut:

Jenis resource Akun layanan yang efektif

Repositori

Jenis resource	Akun layanan yang efektif
Repositori	Jika Anda memilih akun layanan kustom saat membuat repositori, akun layanan `Repository.ServiceAccount` akan digunakan. Jika tidak, nilai defaultnya adalah agen layanan Dataform.
Konfigurasi alur kerja	Anda dapat memilih akun layanan kustom saat membuat konfigurasi alur kerja. Jika tidak, defaultnya adalah agen layanan Dataform repositori.
Pemanggilan alur kerja	Jika hasil kompilasi adalah `WORKFLOW_CONFIG`, akun layanan efektif konfigurasi alur kerja akan digunakan. Jika Anda membuat pemanggilan alur kerja dari hasil kompilasi, akun layanan `WorkflowInvocation.InvocationConfig` akan digunakan jika disetel. Jika tidak, defaultnya adalah agen layanan Dataform repositori.

Jika Anda memilih akun layanan kustom saat membuat repositori, akun layanan Repository.ServiceAccount akan digunakan.

Jika tidak, nilai defaultnya adalah agen layanan Dataform.

Konfigurasi alur kerja

Anda dapat memilih akun layanan kustom saat membuat konfigurasi alur kerja.

Jika tidak, defaultnya adalah agen layanan Dataform repositori.

Pemanggilan alur kerja

Jika hasil kompilasi adalah WORKFLOW_CONFIG, akun layanan efektif konfigurasi alur kerja akan digunakan.

Jika Anda membuat pemanggilan alur kerja dari hasil kompilasi, akun layanan WorkflowInvocation.InvocationConfig akan digunakan jika disetel.

Jika tidak, defaultnya adalah agen layanan Dataform repositori.

Memberikan peran IAM Service Account User

Peran Service Account User (roles/iam.serviceAccountUser) berisi izin iam.serviceAccounts.actAs, yang diperlukan untuk mode bertindak sebagai yang ketat. Saat menggunakan Dataform API, Anda harus memiliki peran Pengguna Akun Layanan yang diberikan untuk akun layanan yang efektif berdasarkan metode projects.locations.repositories yang Anda panggil:

create atau patch
- Jika properti Repository.ServiceAccount ditetapkan, Anda harus memiliki peran Pengguna Akun Layanan yang diberikan untuk properti tersebut.
- Jika Anda memanggil metode patch, Anda harus memiliki peran Pengguna Akun Layanan yang diberikan untuk semua akun layanan efektif di semua konfigurasi alur kerja di repositori.
workflowConfigs.create atau workflowConfigs.patch
- Anda harus memiliki peran Pengguna Akun Layanan yang diberikan untuk akun layanan efektif yang digunakan dalam konfigurasi alur kerja.
releaseConfigs.patch
- Anda harus memiliki peran Pengguna Akun Layanan yang diberikan untuk semua akun layanan efektif yang digunakan dalam konfigurasi alur kerja menggunakan konfigurasi rilis ini.
workflowInvocations.create
- Anda harus memiliki peran Pengguna Akun Layanan yang diberikan untuk akun layanan efektif yang digunakan dalam pemanggilan alur kerja.

Untuk mengetahui informasi selengkapnya, lihat peran yang diperlukan untuk membuat konfigurasi alur kerja dan peran yang diperlukan untuk membuat konfigurasi rilis.

Rilis otomatis untuk repositori

Jika mode bertindak sebagai diaktifkan, rilis otomatis akan dinonaktifkan untuk konfigurasi rilis repositori Dataform. Hal ini tidak berlaku untuk repositori yang terhubung ke repositori pihak ketiga.

Selain itu, jika Anda mengaktifkan mode bertindak sebagai, ada pemeriksaan pada repositori untuk mengetahui apakah repositori tersebut telah menyetel konfigurasi rilis otomatis menggunakan jadwal Cron. Hal ini tidak berlaku untuk repositori yang terhubung ke repositori pihak ketiga.

Langkah berikutnya

Untuk mempelajari cara membuat repositori, lihat Membuat repositori.
Untuk mempelajari lebih lanjut cara Dataform bekerja dengan BigQuery, lihat Ringkasan alur kerja.
Untuk mempelajari cara membuat konfigurasi alur kerja, lihat Menjadwalkan eksekusi.
Untuk mempelajari cara membuat konfigurasi rilis, lihat Mengonfigurasi kompilasi.