根據預設,所有 Google Cloud 專案都只有一位使用者,也就是原始專案建立者。除非使用者成為專案團隊成員或連結至特定資源,否則不能存取專案,因此也無法存取其中的 Dataplex Universal Catalog 資源。本頁面將說明您可以透過哪些方式在專案中新增使用者,以及如何為 Dataplex Universal Catalog 資源調整存取權控制設定。
IAM 總覽
Google Cloud 提供身分與存取權管理 (IAM),可讓您以更精細的方式授予特定Google Cloud 資源的存取權,避免其他資源遭到未經授權者擅自存取。IAM 能讓您採用最低權限安全性原則,僅授予必要的資源存取權限給使用者。
您也可以透過 IAM 政策,控管哪些身分具備哪些資源的哪些權限 (角色)。身分與存取權管理政策可將特定角色授予專案成員,讓對方擁有特定權限。舉例來說,您可以將某個特定資源 (例如專案) 的 roles/dataplex.admin 角色指派給一個 Google 帳戶,該帳戶即可控管專案中的 Dataplex Universal Catalog 資源,但無法管理其他資源。您也可以使用 IAM 管理授予專案團隊成員的基本角色。
使用者的存取權控制選項
如要讓使用者建立和管理 Dataplex Universal Catalog 資源,您可以將使用者新增為專案或特定資源的「團隊成員」,並使用 IAM「角色」來授予權限。
團隊成員可以是具備有效 Google 帳戶的個別使用者、Google 群組、服務帳戶或 Google Workspace 網域。新增專案或資源團隊成員時,您必須指定要授予他們的角色。 IAM 提供三種角色類型:預先定義的角色、基本角色和自訂角色。
如要進一步瞭解每個 Dataplex Universal Catalog 角色的功能,以及特定角色可授予權限的 API 方法,請參閱「Dataplex Universal Catalog IAM 角色」。
如需服務帳戶和群組等其他成員類型的相關資訊,請參閱政策繫結參考資料。
服務帳戶
Dataplex Universal Catalog 會使用已獲授必要權限的服務帳戶,存取湖泊中管理的資源。系統會自動授予這個服務帳戶權限,讓該帳戶存取含有 Lake 執行個體的專案。您必須明確授予權限,才能將其他專案和資源新增至資料湖並在其中管理。
Dataplex Universal Catalog 中的服務帳戶格式如下:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
CUSTOMER_PROJECT_NUMBER 是您啟用 Dataplex Universal Catalog API 的專案。
您必須授予 Dataplex Universal Catalog 服務代理程式 (roles/dataplex.serviceAgent) 存取權,才能存取您新增至資料湖泊或資料可用區的基礎資產。
資源的 IAM 政策
Dataplex Universal Catalog 會在 Cloud Storage bucket 和 BigQuery 資料集等基礎儲存資源之上,新增虛擬階層。Dataplex Universal Catalog 會將指派給 lake 的 IAM 政策向下傳播至資料區域資產,最後傳播至這些資產指向的資源。政策會新增至基本儲存資源 (Cloud Storage 值區和 BigQuery 資料集) 中現有的政策。
IAM 政策可讓您管理這些資源上的 IAM 角色,而不是在專案層級管理角色。這樣一來,您就能透過更靈活的方式來落實最小權限原則;例如將協作者的權限侷限在工作需要的資源上。
資源同時也會繼承父項資源的政策。如果您在專案層級設定政策,該層級的所有子項資源都會繼承這項政策。會對資源發揮作用的政策,除了在資源層級設定的政策外,還包括資源從上層階級繼承的政策。詳情請參閱 IAM 政策階層。
您可以使用 Google Cloud 控制台、IAM API 或 Google Cloud CLI 取得及設定 IAM 政策。
- 如要使用 Google Cloud 控制台,請參閱「使用 Google Cloud 控制台控管存取權」一文。
- 如要使用 API,請參閱透過 API 控管存取權的說明。
- 如要使用 Google Cloud CLI,請參閱使用 Google Cloud CLI 控管存取權。
後續步驟
- 進一步瞭解 IAM 角色。
- 進一步瞭解 IAM 權限。
- 進一步瞭解 Dataplex Universal Catalog 湖泊安全性。