Secara default, semua project dilengkapi dengan satu pengguna, yaitu pembuat project asli. Google Cloud Tidak ada pengguna lain yang memiliki akses ke project, sehingga akses ke resource Dataplex Universal Catalog sampai pengguna ditambahkan sebagai anggota project atau terikat dengan resource tertentu. Halaman ini menjelaskan cara menambahkan pengguna baru ke project dan cara menetapkan kontrol akses untuk resource Dataplex Universal Catalog Anda.
Ringkasan IAM
Google Cloud menawarkan Identity and Access Management (IAM), yang memungkinkan Anda memberikan akses yang lebih terperinci ke resourceGoogle Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM memungkinkan Anda menerapkan prinsip hak istimewa terendah untuk keamanan, jadi Anda hanya memberikan akses yang diperlukan ke resource Anda.
IAM juga memungkinkan Anda mengontrol siapa (identitas) yang memiliki izin apa (peran) ke resource mana dengan menetapkan kebijakan IAM.
Kebijakan IAM memberikan peran tertentu kepada anggota project, sehingga identitas tersebut memiliki izin tertentu.
Misalnya, untuk resource tertentu, seperti project, Anda dapat menetapkan peran
roles/dataplex.admin ke Akun Google dan akun tersebut dapat
mengontrol resource Dataplex Universal Catalog dalam project, tetapi tidak dapat
mengelola resource lain. Anda juga dapat menggunakan IAM untuk
mengelola peran dasar yang diberikan kepada anggota tim project.
Opsi kontrol akses untuk pengguna
Agar pengguna dapat membuat dan mengelola resource Katalog Universal Dataplex, Anda dapat menambahkan pengguna sebagai anggota tim ke project Anda atau ke resource tertentu dan memberi mereka izin menggunakan peran IAM.
Anggota tim dapat berupa pengguna perorangan dengan Akun Google yang valid, Google Grup, akun layanan, atau domain Google Workspace. Saat menambahkan anggota tim ke project atau ke resource, Anda menentukan peran yang akan diberikan kepada mereka. IAM menyediakan tiga jenis peran: peran bawaan, peran dasar, dan peran khusus.
Untuk mengetahui informasi selengkapnya tentang kemampuan setiap peran Dataplex Universal Catalog, dan metode API yang izinnya diberikan oleh peran tertentu, lihat Peran IAM Dataplex Universal Catalog.
Untuk jenis anggota lainnya, seperti akun layanan dan grup, lihat Referensi pengikatan kebijakan.
Akun layanan
Dataplex Universal Catalog menggunakan akun layanan yang telah diberi izin yang diperlukan untuk mengakses resource yang dikelola dalam lake. Akun layanan ini otomatis diberi izin di project yang berisi instance lake. Anda harus memberikan izin secara eksplisit ke project dan resource lain yang ingin Anda tambahkan dan kelola dalam lake.
Akun layanan di Dataplex Universal Catalog memiliki format berikut:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
CUSTOMER_PROJECT_NUMBER adalah project tempat Anda telah
mengaktifkan Dataplex Universal Catalog API.
Anda harus memberikan akses Agen Layanan Dataplex Universal Catalog (roles/dataplex.serviceAgent) ke aset pokok yang Anda tambahkan ke data lake atau zona data.
Kebijakan IAM untuk resource
Dataplex Universal Catalog menambahkan hierarki virtual di atas resource penyimpanan dasar seperti bucket Cloud Storage dan set data BigQuery. Dataplex Universal Catalog menyebarluaskan kebijakan IAM yang ditetapkan ke data lake hingga ke aset zona data dan akhirnya ke resource yang ditunjuk oleh aset ini. Kebijakan ditambahkan ke kebijakan yang sudah ada di resource penyimpanan dasar (bucket Cloud Storage dan set data BigQuery).
Dengan kebijakan IAM, Anda dapat mengelola peran IAM pada resource tersebut, bukan mengelola peran di level project. Hal ini memberi Anda fleksibilitas untuk menerapkan prinsip hak istimewa terendah, yaitu memberikan akses hanya ke resource tertentu yang diperlukan kolaborator untuk melakukan pekerjaan mereka.
Resource juga mewarisi kebijakan resource induknya. Jika Anda menetapkan kebijakan di level project, kebijakan tersebut akan diwarisi oleh semua resource turunannya. Kebijakan yang efektif untuk suatu resource adalah gabungan kebijakan yang ditetapkan pada resource tersebut dan kebijakan yang diwariskan dari posisi yang lebih tinggi dalam hierarki. Untuk mengetahui informasi selengkapnya, baca informasi tentang hierarki kebijakan IAM.
Anda dapat memperoleh dan menetapkan kebijakan IAM menggunakan konsol Google Cloud , IAM API, atau Google Cloud CLI.
- Untuk konsol Google Cloud , lihat Kontrol akses menggunakan konsol Google Cloud .
- Untuk API, lihat Kontrol akses menggunakan API.
- Untuk Google Cloud CLI, lihat Kontrol akses menggunakan Google Cloud CLI.
Apa langkah selanjutnya?
- Pelajari Peran IAM lebih lanjut
- Pelajari lebih lanjut izin IAM.
- Pelajari lebih lanjut keamanan data lake Dataplex Universal Catalog.