In diesem Dokument werden IAM-Rollen (Identity and Access Management) beschrieben, die es Ihnen ermöglichen, Google Cloud-Ressourcen mithilfe von Data Catalog zu suchen und zu taggen.
Eine ausführliche Beschreibung von IAM und den entsprechenden Funktionen finden Sie in der IAM-Dokumentation.
IAM-Terminologie
- Berechtigungen
- Wird zur Laufzeit geprüft, damit Sie einen Vorgang ausführen oder auf eine Google Cloud-Ressource zugreifen können. Sie erhalten keine Berechtigungen direkt, sondern stattdessen Rollen, die Berechtigungen enthalten.
- Rollen Eine
- Rolle ist eine vordefinierte Sammlung von Berechtigungen. Benutzerdefinierte Rollen, die aus einer benutzerdefinierten Sammlung von Berechtigungen bestehen, sind ebenfalls zulässig.
Data Catalog-Rollen ansehen
Rufen Sie in der Google Cloud Console die Seite IAM und Verwaltung > Rollen auf.
Wählen Sie im Feld Filter die Option Verwendet in aus, geben Sie
Data CatalogoderData Lineageein und klicken Sie auf die Eingabetaste.Klicken Sie auf eine Rolle, um die Berechtigungen der Rolle im rechten Bereich aufzurufen.
Die Rolle „Data Catalog Admin“ hat beispielsweise vollständigen Zugriff auf alle Data Catalog-Ressourcen.
Vordefinierte Data Catalog-Rollen
Zu den vordefinierten Data Catalog-Rollen gehören „Data Catalog-Administrator“, „Data Catalog-Betrachter“ und „Data Catalog-Tag-Vorlagen-Ersteller“. Einige dieser Rollen werden in den folgenden Abschnitten beschrieben.
Eine Liste und Beschreibung der vordefinierten Data Catalog-Rollen und der Berechtigungen für die einzelnen Rollen finden Sie unter Data Catalog-Rollen.
Rolle „Data Catalog-Administrator“
Die Rolle roles/datacatalog.admin hat Zugriff auf alle Data Catalog-Ressourcen. Ein Data Catalog-Administrator kann einem Data Catalog-Projekt verschiedene Nutzertypen hinzufügen.
Rolle „Data Steward“ im Data Catalog
Mit der Rolle roles/datacatalog.dataSteward können Sie die Datenstewards und die Rich-Text-Übersicht für einen Dateneintrag wie eine BigQuery-Tabelle hinzufügen, bearbeiten oder löschen.
Data Catalog Betrachter-Rolle
Um den Zugriff auf Google Cloud-Ressourcen zu vereinfachen, bietet Data Catalog die Rolle roles/datacatalog.viewer mit Berechtigung zum Lesen von Metadaten für alle katalogisierten Google Cloud-Ressourcen.
Diese Rolle gewährt auch die Berechtigung zum Anzeigen von Data Catalog-Tag-Vorlagen und -Tags.
Gewähren Sie die Rolle „Data Catalog-Betrachter“ für Ihr Projekt, um Google Cloud-Ressourcen in Data Catalog aufzurufen.
Data Catalog Tag-Vorlagen- Ersteller-Rolle
Mit der Rolle roles/datacatalog.tagTemplateCreator können Sie Tag-Vorlagen erstellen.
Rolle „Data Catalog Search Admin“
Mit der Rolle roles/datacatalog.searchAdmin können Sie alle katalogisierten Google Cloud-Ressourcen in einem Projekt oder einer Organisation über die Suche abrufen.
Rolle „Data Catalog Migration Config Admin“
Mit der Rolle roles/datacatalog.migrationConfigAdmin können Sie die Konfiguration für die Migration von Ressourcen aus Data Catalog zu Dataplex Catalog festlegen und abrufen.
Vordefinierte Rollen für die Datenabfolge
Wenn Sie auf die Herkunft eines Data Catalog-Eintrags zugreifen möchten, benötigen Sie Zugriff auf den Eintrag im Data Catalog. Um auf den Data Catalog-Eintrag zuzugreifen, benötigen Sie eine Betrachterrolle für die entsprechende Systemressource oder die Rolle Data Catalog-Betrachter (roles/datacatalog.viewer) für das Projekt, in dem der Data Catalog-Eintrag gespeichert ist. In diesem Abschnitt werden die Rollen beschrieben, die zum Ansehen der Abfolge erforderlich sind.
Rolle „Abstammungsanzeige“
Mit der Rolle Data Lineage-Betrachter (roles/datalineage.viewer) können Sie die Dataplex-Abstammungskette in der Google Cloud Console aufrufen und Abstammungsinformationen mithilfe der Data Lineage API lesen. Die Ausführungen und Ereignisse für einen bestimmten Prozess werden im selben Projekt wie der Prozess gespeichert. Bei der automatischen Abfolge werden der Prozess, die Ausführungen und die Ereignisse im Projekt gespeichert, in dem der Job ausgeführt wurde, der die Abfolge generiert hat. Das kann beispielsweise das Projekt sein, in dem ein BigQuery-Job ausgeführt wurde.
Sie benötigen unterschiedliche Rollen, um die Herkunftsabfolge zwischen Assets und die Metadaten der Assets aufzurufen. Für Ersteres benötigen Sie die Rolle Data Lineage-Betrachter (roles/datalineage.viewer). Für Letzteres benötigen Sie dieselben Rollen wie für den Zugriff auf Metadateneinträge im Data Catalog.
Rollen zum Aufrufen der Abfolge zwischen zwei Assets
Wenn Sie die Herkunft zwischen Assets sehen möchten, benötigen Sie die Rolle Data Lineage-Betrachter (roles/datalineage.viewer) für die folgenden Projekte:
- Das Projekt, in dem Sie die Abfolge aufrufen (aktives Projekt), also das Projekt im Drop-down-Menü oben in der Google Cloud Console oder das Projekt, von dem aus API-Aufrufe erfolgen. Das ist normalerweise das Data Catalog-Ressourcenprojekt.
- Die Projekte, in denen die Abfolge aufgezeichnet wird (Compute-Projekt). Die Abfolge wird wie oben beschrieben im Projekt gespeichert, in dem der entsprechende Prozess ausgeführt wurde. Dieses Projekt kann sich von dem Projekt unterscheiden, in dem das Asset gespeichert ist, für das Sie die Herkunft ansehen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten. Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Weisen Sie je nach Anwendungsfall die Rolle Datenabstammungsverlauf – Betrachter (roles/datalineage.viewer) auf Ordner- oder Organisationsebene zu, um Zugriff auf die Abstammungslinie zu gewähren (siehe Einzelne Rolle zuweisen oder widerrufen).
Rollen, die für die Datenabfolge erforderlich sind, können nur über die Google Cloud CLI gewährt werden.
Rollen, mit denen sich Asset-Metadaten in der Abfolge ansehen lassen
Wenn Metadaten zu einem Asset in Data Catalog gespeichert sind, können Sie diese nur aufrufen, wenn Sie für die entsprechende Systemressource die Rolle „Betrachter“ oder für das Projekt, in dem der Data Catalog-Eintrag gespeichert ist, die Rolle Data Catalog-Betrachter (roles/datacatalog.viewer) haben. Möglicherweise haben Sie über die entsprechenden Betrachterrollen Zugriff auf Assets im Stammbaumdiagramm oder in der Liste, aber keinen Zugriff auf die Stammbaumbeziehungen zwischen ihnen. Das ist der Fall, wenn Sie für das Projekt, in dem die Datenreihe aufgezeichnet wurde, nicht die Rolle Data Lineage-Betrachter (roles/datalineage.viewer) haben. In diesem Fall zeigen die Data Lineage API und die Google Cloud Console weder die Datenabfolge noch einen Fehler an, um zu verhindern, dass Informationen zur Existenz der Datenabfolge weitergegeben werden. Wenn also keine Herkunft für ein Asset angegeben ist, bedeutet das nicht, dass es keine Herkunft gibt, sondern dass Sie möglicherweise keinen Zugriff darauf haben.
Rolle „Data Lineage-Ereignis-Ersteller“
Mit der Rolle roles/datalineage.producer können Nutzer Informationen zur Datenherkunft mithilfe der Data Lineage API manuell erfassen.
Rolle „Data Lineage-Bearbeiter“
Mit der Rolle roles/datalineage.editor können Nutzer Informationen zur Datenabfolge manuell mithilfe der Data Lineage API ändern.
Rolle „Data Lineage-Administrator“
Mit der Rolle roles/datalineage.admin können Nutzer alle in diesem Abschnitt aufgeführten Abstammungsvorgänge ausführen.
Rollen zum Ansehen öffentlicher und privater Tags
Sie können mit der einfachen Suche nach öffentlichen Tags suchen. Sie können sich einen Dateneintrag einschließlich seiner öffentlichen Tags ansehen, sofern Sie die erforderlichen Berechtigungen haben. Für die Tag-Vorlage sind keine zusätzlichen Berechtigungen erforderlich. Informationen zu den Berechtigungen, die zum Ansehen der Dateneingabe erforderlich sind, finden Sie in der Tabelle in diesem Abschnitt.
Wir empfehlen jedoch, die Berechtigung datacatalog.tagTemplates.get auch Nutzern zu erteilen, die nach diesen öffentlichen Tags suchen sollen. Mit dieser Berechtigung können Nutzer auch das Suchprädikat tag: oder die Suchfacette „Tag-Vorlage“ auf der Suchseite von Data Catalog verwenden.
Für private Tags benötigen Sie Leseberechtigungen sowohl für die Tag-Vorlage als auch für den Dateneintrag, um nach dem Tag zu suchen und es auf der Seite mit den Eintragsdetails zu sehen. Nutzer müssen das Suchprädikat tag: oder die Suchfacette „Tag-Vorlage“ verwenden, um die Tags zu finden. Die einfache Suche nach privaten Tags wird nicht unterstützt.
Wichtige Hinweise:
Für die private Tag-Vorlage ist die Leseberechtigung
datacatalog.tagTemplates.getTagerforderlich.Die Leseberechtigungen für den Dateneintrag für öffentliche und private Tags sind in der folgenden Tabelle aufgeführt.
| Ressource | Permission | Rolle |
|---|---|---|
| BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/datacatalog.tagTemplateViewerroles/bigquery.metadataViewerroles/bigquery.connectionUser |
| Pub/Sub-Themen | pubsub.topics.get |
roles/datacatalog.tagTemplateViewerroles/pubsub.viewer |
| Spanner-Instanzen, ‑Datenbanken, ‑Tabellen und ‑Ansichten | Instance: spanner.instances.getDatabase:spanner.databases.getTable: spanner.databases.getViews: spanner.databases.getdatacatalog.tagTemplates.getTag |
Es sind keine vordefinierten Rollen verfügbar. |
| Bigtable-Instanzen und ‑Tabellen | bigtable.instances.getbigtable.tables.getdatacatalog.tagTemplates.getTag |
roles/datacatalog.tagTemplateViewerroles/bigtable.viewer |
| Dataproc Metastore-Dienste, -Datenbanken und -Tabellen | metastore.tables.getmetastore.databases.getmetastore.services.get |
roles/datacatalog.tagTemplateViewerroles/metastore.metadataViewer |
| Benutzerdefinierte Einträge | datacatalog.entries.get |
Es sind keine vordefinierten Rollen verfügbar. |
Rollen für die Suche in Google Cloud-Ressourcen
Vor der Suche nach oder Anzeige von Google Cloud-Ressourcen überprüft Data Catalog, ob Ihnen eine IAM-Rolle mit den von BigQuery, Pub/Sub, Dataproc Metastore oder einem anderen Quellsystem für den Zugriff auf die Ressourcen erforderlichen Metadaten-Leseberechtigungen gewährt wurde.
Beispiel:Der Data Catalog prüft, ob Ihnen eine Rolle mit bigquery.tables.get permission zugewiesen wurde, bevor BigQuery-Tabellenmetadaten angezeigt werden.
In der folgenden Tabelle sind die Berechtigungen und die zugehörigen Rollen aufgeführt, die erforderlich sind, um mit Data Catalog nach den aufgeführten Google Cloud-Ressourcen zu suchen.
| Ressource | Permission | Rolle |
|---|---|---|
| BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/bigquery.metadataViewerroles/bigquery.connectionUserSiehe auch Data Catalog-Betrachter-Rolle |
| Pub/Sub-Themen | pubsub.topics.get |
roles/pubsub.viewerSiehe auch Data Catalog-Betrachter-Rolle |
| Spanner-Datenbanken und ‑Tabellen | Instanz: spanner.instances.getDatenbank: spanner.databases.getAnsichten: spanner.databases.get |
Es sind keine vordefinierten Rollen verfügbar. |
| Bigtable-Instanzen und ‑Tabellen | bigtable.instances.getbigtable.tables.get |
roles/bigtable.viewerSiehe auch Data Catalog-Betrachter-Rolle |
| Dataplex-Lakes, -Zonen, -Tabellen und -Datensätze | dataplex.lakes.getdataplex.zones.get dataplex.entities.getdataplex.entities.get |
Es sind keine vordefinierten Rollen verfügbar. |
| Dataproc Metastore-Dienste, -Datenbanken und -Tabellen | metastore.tables.getmetastore.databases.get metastore.services.get |
roles/metastore.metadataViewer |
Rollen zum Anhängen von Tags an Google Cloud-Ressourcen
Für das Anhängen öffentlicher und privater Tags an Google Cloud-Ressourcen sind dieselben Berechtigungen erforderlich.
Mit Data Catalog können Nutzer Metadaten an Google Cloud-Ressourcen erweitern, indem sie Tags anhängen. Ein oder mehrere Tags, die an eine Ressource angehängt werden können, sind in einer Tag-Vorlage definiert.
Wenn ein Nutzer versucht, mit der Tag-Vorlage ein Tag an eine Google Cloud-Ressource anzuhängen, prüft Data Catalog, ob Sie die erforderlichen Berechtigungen zur Verwendung der Tag-Vorlage und zum Aktualisieren der Ressourcenmetadaten haben. Berechtigungen werden über IAM-Rollen gewährt, wie in der folgenden Tabelle dargestellt.
In der folgenden Tabelle sind die Berechtigungen und die zugehörigen Rollen aufgeführt, die ein Nutzer benötigt, um mit Data Catalog öffentliche und private Tags an aufgeführte Google Cloud-Ressourcen anzuhängen.
In jeder Zeile der folgenden Tabelle sind die Berechtigungen aufgeführt, die zum Taggen von Ressourcen erforderlich sind. Durch die entsprechenden Rollen können zusätzliche Berechtigungen erteilt werden. Klicken Sie auf die einzelnen Rollen, um alle damit verknüpften Berechtigungen anzuzeigen.
Wichtige Hinweise:
Der Inhaber eines Dateneintrags hat standardmäßig die Berechtigung
datacatalog.entries.updateTag. Allen anderen Nutzern muss die Rolle datacatalog.tagEditor zugewiesen sein.Die Berechtigung
datacatalog.tagTemplates.useist auch für alle in der Tabelle aufgeführten Ressourcen erforderlich.
| Ressource | Permissions | Rolle |
|---|---|---|
| BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen |
bigquery.datasets.updateTagbigquery.tables.updateTagbigquery.models.updateTagbigquery.routines.updateTagbigquery.connections.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigquery.dataEditor |
| Pub/Sub-Themen | pubsub.topics.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/pubsub.editor |
| Spanner-Datenbanken und ‑Tabellen | Instanz: spanner.instances.UpdateTagDatenbank: spanner.databases.UpdateTagTabelle: spanner.databases.UpdateTagAnsichten: spanner.databases.UpdateTag |
Es sind keine vordefinierten Rollen verfügbar. |
| Bigtable-Instanzen und ‑Tabellen | bigtable.instances.updatebigtable.tables.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigtable.admin |
| Dataplex-Lakes, -Zonen, -Tabellen und -Datensätze | dataplex.lakes.updatedataplex.zones.update dataplex.entities.updatedataplex.entities.update |
Es sind keine vordefinierten Rollen verfügbar. |
| Dataproc Metastore-Dienste, -Datenbanken und -Tabellen | metastore.tables.updatemetastore.databases.update metastore.services.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/metastore.editorroles/metastore.metadataEditor |
Benutzerdefinierte Rollen für Google Cloud-Ressourcen
Vordefinierte Bearbeiterrollen für Dateneinträge aus anderen Google Cloud-Systemen bieten möglicherweise einen umfassenderen Schreibzugriff als erforderlich. Verwenden Sie benutzerdefinierte Rollen, um nur *.updateTag-Berechtigungen für eine Google Cloud-Ressource festzulegen.
Rollen zum Ändern der Übersicht mit Rich Text und Datenstewards im Data Catalog
Nutzer benötigen die folgenden Rollen, um eine Übersicht in Rich Text anzuhängen und Einträgen im Data Catalog Datenbetreuer zuzuweisen:
| Ressource | Permissions | Rolle |
|---|---|---|
| Google Cloud-Projekte | datacatalog.entries.updateOverview datacatalog.entries.updateContacts |
roles/datacatalog.dataSteward |
Rollen zum Ändern der Migrationskonfiguration im Data Catalog
Nutzer benötigen die folgenden Rollen, um die Konfiguration im Zusammenhang mit der Migration von Data Catalog zu Dataplex festzulegen und abzurufen:
| Ressource | Permissions | Rolle |
|---|---|---|
| Google Cloud-Projekte und ‑Organisationen | datacatalog.migrationConfig.set datacatalog.migrationConfig.get |
roles/datacatalog.migrationConfigAdmin |
Identitätsföderierung in Data Catalog
Mit der Identitätsföderation können Sie einen externen Identitätsanbieter (Identity Provider, IdP) verwenden, um Nutzer mit IAM zu authentifizieren und für Google Cloud-Dienste zu autorisieren.
Der Data Catalog unterstützt die Identity-Föderation mit den folgenden Einschränkungen:
- Die Methoden SearchCatalog und StarEntry der Data Catalog API unterstützen nur die Mitarbeiteridentitätsföderation und sind nicht für die Workload Identity-Föderation verfügbar.
- Dataplex unterstützt die Google Cloud Console für Nutzer der Identitätsföderation nicht
Nächste Schritte
- Benutzerdefinierte Rollen erstellen
- Rollen gewähren und verwalten
- Weitere Informationen zu den IAM-Rollen für Dataplex
- Weitere Informationen zur Zugriffssteuerung in BigQuery
- Weitere Informationen zur Pub/Sub-Zugriffssteuerung
- Weitere Informationen zur Zugriffssteuerung für Dataproc Metastore