使用 IAM 进行访问权限控制

默认情况下,所有 Google Cloud 项目都只包含一位用户:原始项目创建者。其他用户在被添加为项目成员或绑定到特定资源之后,才能访问相关项目和 Dataplex Universal Catalog 资源。本页面介绍了向项目添加新用户的方式,以及如何设置 Dataplex Universal Catalog 资源的访问权限控制。

IAM 概览

Google Cloud 提供 Identity and Access Management (IAM),可让您授予对特定Google Cloud 资源的更精细访问权限,并防止对其他资源进行不必要的访问。IAM 允许您采用最小权限安全原则,因此您只需授予对您的资源的必要访问权限即可。

IAM 还允许您通过设置 IAM 政策来控制谁(身份)对哪些资源具有何种权限(角色)。 IAM 政策可为项目成员授予一个或多个特定角色,进而授予相应身份特定权限。例如,您可以为 Google 账号分配给定资源(如项目)的 roles/dataplex.admin 角色,此后该账号便可控制项目中的 Dataplex Universal Catalog 资源,但无法管理其他资源。您还可以使用 IAM 来管理向项目团队成员授予的基本角色。

针对用户的访问权限控制选项

为了让用户能够创建和管理您的 Dataplex Universal Catalog 资源,您可以将用户作为团队成员添加到项目或特定资源,然后使用 IAM 角色向这些用户授予权限

团队成员可以是具有有效 Google 账号的个人用户、Google 群组、服务账号或 Google Workspace 网域。当您将团队成员添加到项目或资源中时,请指定要向其授予的角色。IAM 提供三种类型的角色:预定义角色基本角色自定义角色

如需详细了解每个 Dataplex Universal Catalog 角色的功能以及特定角色向其授予权限的 API 方法,请参阅 Dataplex Universal Catalog IAM 角色

对于服务账号和群组等其他成员类型,请参阅政策绑定参考文档

服务账号

Dataplex Universal Catalog 使用的服务账号已被授予访问数据湖中管理的资源所需的权限。系统会自动向此服务账号授予包含数据湖实例的项目中的权限。您必须明确为此服务账号授予您要在数据湖中添加和管理的其他项目及资源的权限。

Dataplex Universal Catalog 中的服务账号采用以下格式:

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com

CUSTOMER_PROJECT_NUMBER 是您已在其中启用 Dataplex Universal Catalog API 的项目。

您必须为 Dataplex Universal Catalog 服务代理 (roles/dataplex.serviceAgent) 授予对您添加到数据湖或数据区域的底层资产的访问权限。

资源的 IAM 政策

Dataplex Universal Catalog 在 Cloud Storage 存储桶和 BigQuery 数据集等基础存储资源之上添加了虚拟层次结构。Dataplex Universal Catalog 会将分配给数据湖的 IAM 政策向下传播到数据区域资产,最后传播到这些资产指向的资源。这些政策会添加到基础存储资源(Cloud Storage 存储桶和 BigQuery 数据集)中已有的政策中。

通过 IAM 政策,您可以管理这些资源的 IAM 角色,用于取代或补充在项目级层管理角色。这可让您灵活地应用最小权限原则,仅授予协作者完成其工作所需的特定资源的权限。

资源会沿用其父级资源的政策。如果在项目级层设置政策,则项目的所有子资源都会沿用该政策。资源的有效政策是为该资源设置的政策及其从层次结构中更高层级沿用而来的政策的集合。如需了解详情,请参阅 IAM 政策层次结构

您可以使用 Google Cloud 控制台、IAM API 或 Google Cloud CLI 来获取和设置 IAM 政策。

后续步骤