Standardmäßig haben alle Google Cloud Projekte nur einen Nutzer: den ursprünglichen Projektersteller. Bis ein Nutzer als Projektmitglied hinzugefügt oder an eine bestimmte Ressource gebunden wird, hat kein anderer Nutzer Zugriff auf das Projekt und damit auf Dataplex Universal Catalog-Ressourcen. Auf dieser Seite wird beschrieben, wie Sie Ihrem Projekt neue Nutzer hinzufügen und wie Sie die Zugriffssteuerung für Ihre Dataplex Universal Catalog-Ressourcen festlegen.
IAM-Übersicht
Google Cloud bietet Identity and Access Management (IAM). Sie können damit bestimmtenGoogle Cloud -Ressourcen detaillierte Zugriffsrechte zuweisen und unerwünschten Zugriff auf andere Ressourcen verhindern. Durch IAM können Sie das Prinzip der geringsten Berechtigung anwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen gewähren.
Durch das Festlegen von IAM-Richtlinien können Sie steuern, wer (Identität) welche (Rollen) Berechtigungen für welche Ressourcen hat.
Anhand von IAM-Richtlinien werden einem Projektmitglied bestimmte Rollen zugewiesen, mit denen wiederum bestimmte Berechtigungen verknüpft sind.
Für eine bestimmte Ressource, z. B. ein Projekt, können Sie einem Google-Konto die Rolle roles/dataplex.admin zuweisen. Dieses Konto kann dann Dataplex Universal Catalog-Ressourcen im Projekt steuern, jedoch keine anderen Ressourcen verwalten. Mit IAM können Sie außerdem die grundlegenden Rollen von Projektteammitgliedern verwalten.
Zugriffssteuerungsoptionen für Nutzer
Um Nutzern die Möglichkeit zu geben, Ihre Dataplex Universal Catalog-Ressourcen zu erstellen und zu verwalten, können Sie Nutzer als Teammitglieder zu Ihrem Projekt oder zu bestimmten Ressourcen hinzufügen und ihnen Berechtigungen mithilfe von IAM-Rollen erteilen.
Teammitglieder können einzelne Nutzer mit gültigem Google-Konto sowie Google-Gruppen, Dienstkonten oder Google Workspace-Domains sein. Wenn Sie einem Projekt oder einer Ressource ein Teammitglied hinzufügen, geben Sie an, welche Rollen Sie dem Mitglied zuweisen möchten. IAM bietet drei Arten von Rollen: vordefinierte Rollen, einfache Rollen und benutzerdefinierte Rollen.
Weitere Informationen zu den Funktionen der einzelnen Dataplex Universal Catalog-Rollen und zu den API-Methoden, für die eine bestimmte Rolle Berechtigungen gewährt, finden Sie unter IAM-Rollen für Dataplex Universal Catalog.
Informationen zu anderen Mitgliedstypen wie Dienstkonten und Gruppen finden Sie in der Referenz für Richtlinienbindungen.
Dienstkonten
Dataplex Universal Catalog verwendet ein Dienstkonto, dem die erforderlichen Berechtigungen für den Zugriff auf Ressourcen gewährt wurden, die in einem Lake verwaltet werden. Diesem Dienstkonto werden automatisch Berechtigungen in dem Projekt gewährt, das eine Lake-Instanz enthält. Sie müssen dem Dienstkonto explizit Berechtigungen für andere Projekte und Ressourcen gewähren, die Sie einem Lake hinzufügen und darin verwalten möchten.
Das Dienstkonto in Dataplex Universal Catalog hat das folgende Format:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
CUSTOMER_PROJECT_NUMBER ist das Projekt, in dem Sie die Dataplex Universal Catalog API aktiviert haben.
Sie müssen dem Dataplex Universal Catalog-Dienstkonto (roles/dataplex.serviceAgent) Zugriff auf die zugrunde liegenden Assets gewähren, die Sie einem Lake oder einer Datenzone hinzufügen.
IAM-Richtlinien für Ressourcen
Dataplex Universal Catalog fügt eine virtuelle Hierarchie über den grundlegenden Speicherressourcen wie Cloud Storage-Buckets und BigQuery-Datasets hinzu. Dataplex Universal Catalog überträgt IAM-Richtlinien, die dem Lake zugewiesen sind, an Assets in Datenzonen und schließlich an die Ressourcen, auf die diese Assets verweisen. Die Richtlinien werden zu den bereits vorhandenen Richtlinien für die zugrunde liegende Speicherressource (Cloud Storage-Bucket und BigQuery-Dataset) hinzugefügt.
Mit einer IAM-Richtlinie können Sie IAM-Rollen auf diesen Ressourcen anstatt oder zusätzlich zur Rollenverwaltung auf Projektebene verwalten. So können Sie den Grundsatz der geringsten Berechtigung flexibel anwenden. Hierbei gewähren Sie Zugriff nur auf bestimmte Ressourcen, die Mitbearbeiter für ihre Arbeit benötigen.
Ressourcen erben auch die Richtlinien der ihnen übergeordneten Ressourcen. Wenn Sie auf Projektebene eine Richtlinie festlegen, wird sie von allen untergeordneten Ressourcen übernommen. Die geltende Richtlinie für eine Ressource ist die Kombination aus der für diese Ressource festgelegten Richtlinie und der Richtlinie, die von weiter oben in der Hierarchie übernommen wird. Weitere Informationen finden Sie unter IAM-Richtlinienhierarchie.
Sie können IAM-Richtlinien mithilfe der Google Cloud -Konsole, der IAM API oder der Google Cloud CLI abrufen und festlegen.
- Informationen zur Google Cloud Console finden Sie unter Zugriffssteuerung über die Google Cloud Console.
- Weitere Informationen zur API finden Sie unter Zugriffssteuerung über die API.
- Informationen zur Google Cloud CLI finden Sie unter Zugriffssteuerung mit der Google Cloud CLI.
Nächste Schritte
- Weitere Informationen zu IAM-Rollen
- Übersicht über IAM-Berechtigungen
- Weitere Informationen zur Sicherheit von Dataplex Universal Catalog-Lakes