Dataplex Universal Catalog IAM 权限

借助 Dataplex Universal Catalog 权限，用户可对 Dataplex Universal Catalog 服务、资源和操作执行特定操作。例如，dataplex.datascans.create 权限允许用户在您的项目中创建 Dataplex Universal Catalog 数据扫描。您并非直接向用户授予权限，而是向其授予角色（角色本身会具有一项或多项权限）。

本文档重点介绍与 Dataplex Universal Catalog 相关的 IAM 权限。如需详细了解预定义的 Dataplex Universal Catalog 角色及其具有的权限，请参阅 Dataplex Universal Catalog IAM 角色。

如需详细了解 IAM 及其功能，请参阅 IAM 文档。

IAM 政策设置和获取权限

下表列出了获取和设置 IAM 权限所需的权限：

资源	API 方法	IAM 权限
条目类型	GetIamPolicy	dataplex.entryTypes.getIamPolicy
条目类型	SetIamPolicy	dataplex.entryTypes.setIamPolicy
切面类型	GetIamPolicy	dataplex.aspectTypes.getIamPolicy
切面类型	SetIamPolicy	dataplex.aspectTypes.setIamPolicy
条目组	GetIamPolicy	dataplex.entryGroups.getIamPolicy
条目组	SetIamPolicy	dataplex.entryGroups.setIamPolicy
湖泊	GetIamPolicy	dataplex.lakes.getIamPolicy
湖泊	SetIamPolicy	dataplex.lakes.setIamPolicy

元数据管理权限

对条目类型、切面类型、条目组和实体执行操作所需的权限集取决于资源是系统资源还是自定义资源。系统资源由 Dataplex Universal Catalog 定义，自定义资源由您或您的组织定义。

如需执行与多个资源相关的操作（例如，创建特定条目类型的条目，或向条目添加特定切面类型的切面），您可能需要拥有与这些资源关联的多种权限。

条目类型

如需创建和管理条目类型，您必须至少获得标准 create、get、list、update 和 delete 权限。

创建条目类型时，您必须获得使用您希望针对该条目类型将其标记为必需的每个切面类型的权限。

如需使用条目类型（例如，创建条目类型的条目），您必须获得该条目类型的 use 权限。

下表列出了对条目类型执行操作所需的权限：

操作	自定义条目类型所需的权限
列出条目类型	`dataplex.entryTypes.list`
获取条目类型	`dataplex.entryTypes.get`
创建条目类型	`dataplex.entryTypes.create` `dataplex.aspectTypes.use`（针对条目类型中每个必需的切面类型） `dataplex.entryGroups.useASPECT_TYPE`（针对条目类型中每个必需的系统切面类型）。请参阅系统切面类型的权限。
更新条目类型	`dataplex.entryTypes.update` `dataplex.aspectTypes.use`（针对条目类型中每个必需的切面类型） `dataplex.entryGroups.useASPECT_TYPE`（针对条目类型中每个必需的系统切面类型）。请参阅系统切面类型的权限。
删除条目类型	`dataplex.entryTypes.delete` `dataplex.aspectTypes.use`（针对条目类型中的必需切面类型） `dataplex.entryGroups.useASPECT_TYPE`（针对条目类型中每个必需的系统切面类型）。请参阅系统切面类型的权限。
使用条目类型（创建条目、更新顶级条目字段和必需的切面类型值时）	`dataplex.entryTypes.use` `dataplex.entries.create` 或 `dataplex.entries.update` `dataplex.aspectTypes.use`（针对创建或更新的每个切面）

切面类型

如需创建和管理切面类型，您必须获得标准 create、get、list、update 和 delete 权限。

如需使用某个切面类型（例如，将其作为可选切面附加到条目上），您必须获得该切面类型的 use 权限。

切面类型分为系统切面类型和自定义切面类型。系统切面类型由 Dataplex Universal Catalog 创建，自定义切面类型由您或您的组织创建。系统切面类型进一步分为可用和只读。如需了解详情，请参阅切面类型的类别。

下表列出了对自定义和系统切面类型执行操作所需的权限：

操作	自定义切面类型所需的权限	可用系统切面类型所需的权限	只读系统切面类型所需的权限
列出切面类型	`dataplex.aspectTypes.list`	不适用 (N/A)	不适用
获取切面类型	`dataplex.aspectTypes.get`	授予 `allUsers`	授予 `allUsers`
创建切面类型	`dataplex.aspectTypes.create`	不适用	不适用
更新切面类型	`dataplex.aspectTypes.update`	不适用	不适用
删除切面类型	`dataplex.aspectTypes.delete`	不适用	不适用
在创建或更新条目时设置可选的切面类型值	`dataplex.aspectTypes.use` `dataplex.entries.create` 或 `dataplex.entries.update`	`dataplex.entryGroups.useASPECT_TYPE`。请参阅系统切面类型的权限。 `dataplex.entries.create` 或 `dataplex.entries.update`	不适用
在创建或更新条目时设置必需的切面类型值	`dataplex.aspectTypes.use` `dataplex.entryTypes.use` `dataplex.entries.create` 或 `dataplex.entries.update`	`dataplex.entryGroups.useASPECT_TYPE`。请参阅系统切面类型的权限。 `dataplex.entryTypes.use` `dataplex.entries.create` 或 `dataplex.entries.update`	不适用

条目组

如需创建和管理条目组，您必须获得标准 create、get、list、update 和 delete 权限。

条目组分为系统条目组（由 Dataplex Universal Catalog 创建）和自定义条目组（由您或您的组织创建）。如需了解详情，请参阅条目组类别。

下表列出了对条目组执行操作所需的权限：

操作	自定义条目组所需的权限	系统条目组（以 @ 开头）所需的权限
创建条目组	`dataplex.entryGroups.create`	不适用
更新条目组	`dataplex.entryGroups.update`	不适用
删除条目组	`dataplex.entryGroups.delete`	不适用
列出条目组	`dataplex.entryGroups.list`	`dataplex.entryGroups.list`
获取条目组	`dataplex.entryGroups.get`	`dataplex.entryGroups.get`

条目数

如需创建和管理条目，您必须获得标准 create、get、list、update 和 delete 权限。

请注意以下几点：

对于查找 (LookupEntry) 和搜索 (SearchEntries) 方法，必须从原始来源系统获得条目的权限。例如，如果来源是 BigQuery 表，您需要拥有 bigquery.tables.get 权限。
创建条目或更新条目的顶级字段时，您必须获得条目类型的 use 权限。
创建、更新或删除必需的切面时，您必须获得对条目的条目类型以及底层切面类型的 use 权限。这是因为必需的切面由条目类型强制执行。
创建、更新或删除可选切面时，您必须获得切面的切面类型的 use 权限。
更新或插入条目（allow_missing = True 的 UpdateEntry）时，您必须获得 create 权限。

如需详细了解条目所基于的条目类型，请参阅条目类型的类别。

下表列出了对条目执行操作所需的权限：

操作	基于自定义条目类型的条目	基于可用系统条目类型的条目	基于只读系统条目类型的条目
创建条目	`dataplex.entries.create` `dataplex.entryTypes.use` `dataplex.aspectTypes.use`（针对创建的每个切面） `dataplex.entryGroups.useASPECT_TYPE`（针对创建的可用系统切面类型的每个切面）。请参阅系统切面类型的权限。	`dataplex.entries.create` `dataplex.entryGroups.useENTRY_TYPE`。请参阅系统条目类型的权限。 `dataplex.entryGroups.useASPECT_TYPE`（针对创建的每个系统切面）。请参阅系统切面类型的权限。 `dataplex.aspectTypes.use`（针对创建的每个自定义切面）	不适用
更新条目	`dataplex.entries.update` `dataplex.entryTypes.use`（用于更新顶级字段或必需的切面） `dataplex.aspectTypes.`use（针对更新的每个切面） `dataplex.entryGroups.useASPECT_TYPE`（针对更新的每个系统切面）。请参阅系统切面类型的权限。 `dataplex.entries.create`（如果 `allow_missing` 为 `True`）	`dataplex.entries.update` `dataplex.entryGroups.useENTRY_TYPE`（用于更新顶级字段或必需的切面）。请参阅系统条目类型的权限。 `dataplex.aspectTypes.use`（针对更新的每个自定义切面） `dataplex.entryGroups.useASPECT_TYPE`（针对属于系统切面类型的每个切面）。请参阅系统切面类型的权限。 `dataplex.entries.create`（如果 `allow_missing` 为 `True`）	`dataplex.entries.update` `dataplex.aspectTypes.use`（针对更新的每个自定义切面） `dataplex.entryGroups.useASPECT_TYPE`（针对更新的可用系统切面类型的每个切面）。请参阅系统切面类型的权限。无法修改顶级字段和必需的切面。
列出条目	`dataplex.entries.list`	`dataplex.entries.list`	`dataplex.entries.list`
获取条目	`dataplex.entries.get`	`dataplex.entries.get`	`dataplex.entries.get`
查找条目	原始来源系统的读取权限。对于自定义条目，此权限为 `dataplex.entries.get`，因为 Dataplex Universal Catalog 被视为原始来源系统。	原始来源系统的读取权限。对于自定义条目，此权限为 `dataplex.entries.get`，因为 Dataplex Universal Catalog 被视为原始来源系统。	原始来源系统的读取权限。对于自定义条目，此权限为 `dataplex.entries.get`，因为 Dataplex Universal Catalog 被视为原始来源系统。
搜索条目	原始来源系统的读取权限。对于自定义条目，此权限为 `dataplex.entries.get`，因为 Dataplex Universal Catalog 被视为原始来源系统。	原始来源系统的读取权限。对于自定义条目，此权限为 `dataplex.entries.get`，因为 Dataplex Universal Catalog 被视为原始来源系统。	原始来源系统的读取权限。对于自定义条目，此权限为 `dataplex.entries.get`，因为 Dataplex Universal Catalog 被视为原始来源系统。

元数据作业权限

下表列出了处理元数据导入作业和元数据导出作业所需的权限。

操作	IAM 权限
创建元数据导入作业	`dataplex.metadataJobs.create` `dataplex.entryTypes.use`（针对作业范围内的自定义条目类型） `dataplex.entryTypes.useENTRY_TYPE`（针对作业范围内的每种系统条目类型）。请参阅系统条目类型的权限。不过，在运行仅切面的元数据导入作业时，无需此权限即可修改可选切面。 `dataplex.aspectTypes.use`（针对作业范围内的自定义切面类型） `dataplex.aspectTypes.useASPECT_TYPE`（针对作业范围内的每种系统切面类型）。请参阅系统切面类型的权限。 `dataplex.entryGroups.import`（针对作业范围内的条目组）
创建元数据导出作业	`dataplex.metadataJobs.create` `dataplex.entryGroups.export` `dataplex.entryGroups.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
访问从元数据导出作业导出的结果	`storage.objects.get`
获取元数据作业	`dataplex.metadataJobs.get`
列出元数据作业	`dataplex.metadataJobs.list`
取消元数据作业	`dataplex.metadataJobs.cancel`

系统切面类型和条目类型

每个系统定义的切面类型和系统定义的条目类型都有自己的 IAM 权限。这些权限采用 dataplex.entryGroups.useASPECT_TYPE 或 dataplex.entryGroups.useENTRY_TYPE 等格式。例如，overview 系统切面类型的权限为 dataplex.entryGroups.useOverviewAspect。

下表列出了适用于系统定义的切面类型和条目类型的权限。

资源	IAM 权限
`contacts`（系统切面类型）	`dataplex.entryGroups.useContactsAspect`
`data-quality-scorecard`（系统切面类型）	`dataplex.entryGroups.useDataQualityScorecardAspect`
`generic`（系统切面类型）	`dataplex.entryGroups.useGenericAspect`
`generic`（系统条目类型）	`dataplex.entryGroups.useGenericEntry`
`overview`（系统切面类型）	`dataplex.entryGroups.useOverviewAspect`
`schema`（系统切面类型）	`dataplex.entryGroups.useSchemaAspect`

数据湖、区域和资产权限

下表列出了对数据湖、区域和资产执行操作所需的权限：

API 方法	IAM 权限
CreateLake	dataplex.lakes.create
UpdateLake	dataplex.lakes.update
DeleteLake	dataplex.lakes.delete
ListLakes	dataplex.lakes.list
GetLake	dataplex.lakes.get
ListLakeActions	dataplex.lakeActions.list
CreateZone	dataplex.zones.create
UpdateZone	dataplex.zones.update
DeleteZone	dataplex.zones.delete
ListZones	dataplex.zones.list
GetZone	dataplex.zones.get
ListZoneActions	dataplex.zoneActions.list
CreateAsset	dataplex.assets.create
UpdateAsset	dataplex.assets.update
DeleteAsset	dataplex.assets.delete
ListAssets	dataplex.assets.list
GetAsset	dataplex.assets.get
ListAssetActions	dataplex.assetActions.list

任务权限

下表列出了对任务执行操作所需的权限：

API 方法	IAM 权限
CreateTask	dataplex.tasks.create
UpdateTask	dataplex.tasks.update
DeleteTask	dataplex.tasks.delete
ListTasks	dataplex.tasks.list
GetTask	dataplex.tasks.get
ListJobs	dataplex.tasks.get
GetJob	dataplex.tasks.get
CancelJob	dataplex.tasks.cancel

环境权限

下表列出了对环境执行操作所需的权限：

API 方法	IAM 权限
CreateEnvironment	dataplex.environments.create
UpdateEnvironment	dataplex.environments.update
DeleteEnvironment	dataplex.environments.delete
ListEnvironments	dataplex.environments.list
GetEnvironment	dataplex.environments.get
CreateContent	dataplex.content.create
UpdateContent	dataplex.content.update
DeleteContent	dataplex.content.delete
ListContent	dataplex.content.list
GetContent	dataplex.content.get
ListSessions	dataplex.environments.get

元数据权限

下表列出了对实体和分区执行操作所需的权限：

API 方法	IAM 权限
CreateEntity	dataplex.entities.create
UpdateEntity	dataplex.entities.update
DeleteEntity	dataplex.entities.delete
GetEntity	dataplex.entities.get
ListEntities	dataplex.entities.list
CreatePartition	dataplex.partitions.create
UpdatePartition	dataplex.partitions.update
DeletePartition	dataplex.partitions.delete
GetPartition	dataplex.partitions.get
ListPartitions	dataplex.partitions.list

数据扫描权限

下表列出了对数据扫描执行操作所需的权限：

API 方法	IAM 权限
CreateDataScan	dataplex.datascans.create
UpdateDataScan	dataplex.datascans.update
DeleteDataScan	dataplex.datascans.delete
ListDataScans	dataplex.datascans.list
GetDataScan（基本视图）	dataplex.datascans.get
GetDataScan（完整视图）	dataplex.datascans.getData
ListDataScanJobs	dataplex.datascans.get
GetDataScanJob（基本视图）	dataplex.datascans.get
GetDataScanJob（完整视图）	dataplex.datascans.getData
RunDataScan	dataplex.datascans.run