借助 Dataplex Universal Catalog 权限,用户可对 Dataplex Universal Catalog 服务、资源和操作执行特定操作。例如,dataplex.datascans.create 权限允许用户在您的项目中创建 Dataplex Universal Catalog 数据扫描。您不直接授予用户权限,而是向其授予角色(角色自带一个或多个权限)。
本文档重点介绍与 Dataplex Universal Catalog 相关的 IAM 权限。如需详细了解预定义的 Dataplex Universal Catalog 角色及其包含的权限,请参阅 Dataplex Universal Catalog IAM 角色。
如需详细了解 IAM 及其功能,请参阅 IAM 文档。
IAM 政策设置和获取权限
下表列出了获取和设置 IAM 权限所需的权限:
| 资源 | API 方法 | IAM 权限 |
|---|---|---|
| 条目类型 | GetIamPolicy | dataplex.entryTypes.getIamPolicy |
| 条目类型 | SetIamPolicy | dataplex.entryTypes.setIamPolicy |
| 切面类型 | GetIamPolicy | dataplex.aspectTypes.getIamPolicy |
| 切面类型 | SetIamPolicy | dataplex.aspectTypes.setIamPolicy |
| 条目组 | GetIamPolicy | dataplex.entryGroups.getIamPolicy |
| 条目组 | SetIamPolicy | dataplex.entryGroups.setIamPolicy |
| 湖 | GetIamPolicy | dataplex.lakes.getIamPolicy |
| 湖 | SetIamPolicy | dataplex.lakes.setIamPolicy |
元数据管理权限
对条目类型、切面类型、条目组和条目执行操作所需的权限集取决于资源是系统资源还是自定义资源。系统资源由 Dataplex Universal Catalog 定义,自定义资源由您或您的组织定义。
如需执行与多种资源相关的操作(例如,创建特定条目类型的条目,或向条目添加特定切面类型的切面),您可能需要与这些资源关联的多种权限。
条目类型
如需创建和管理条目类型,您必须至少具有标准 create、get、list、update 和 delete 权限。
创建条目类型时,您必须获得使用每个切面类型的权限,才能将相应切面类型标记为该条目类型的必需切面类型。
如需使用条目类型(例如,创建相应条目类型的条目),您必须拥有该条目类型的 use 权限。
下表列出了对条目类型执行操作所需的权限:
| 操作 | 自定义条目类型所需的权限 |
|---|---|
| 列出条目类型 | dataplex.entryTypes.list |
| 获取条目类型 | dataplex.entryTypes.get |
| 创建条目类型 |
|
| 更新条目类型 |
|
| 删除条目类型 |
|
|
使用条目类型 (创建条目、更新顶级条目字段和必需的方面类型值时) |
|
切面类型
如需创建和管理方面类型,您必须具有标准 create、get、list、update 和 delete 权限。
如需使用某个切面类型(例如,将其作为可选切面附加到条目上),您必须获得该切面类型的 use 权限。
切面类型分为系统切面类型和自定义切面类型。 系统切面类型由 Dataplex Universal Catalog 创建,自定义切面类型由您或您的组织创建。系统方面类型进一步分为可用的和只读的。如需了解详情,请参阅切面类型的类别。
下表列出了对自定义和系统方面类型进行操作所需的权限:
| 操作 | 自定义切面类型所需的权限 | 可用的系统方面类型所需的权限 | 只读系统切面类型所需的权限 |
|---|---|---|---|
| 列出切面类型 | dataplex.aspectTypes.list |
不适用 (N/A) | 不适用 |
| 获取切面类型 | dataplex.aspectTypes.get |
授予对象:allUsers |
授予对象:allUsers |
| 创建切面类型 | dataplex.aspectTypes.create |
不适用 | 不适用 |
| 更新切面类型 | dataplex.aspectTypes.update |
不适用 | 不适用 |
| 删除切面类型 | dataplex.aspectTypes.delete |
不适用 | 不适用 |
| 在创建或更新条目时设置可选的方面类型值 |
|
|
不适用 |
| 在创建或更新条目时设置必需的方面类型值 |
|
|
不适用 |
条目组
如需创建和管理条目组,您必须获得标准 create、get、list、update 和 delete 权限。
条目组分为系统条目组(由 Dataplex Universal Catalog 创建)和自定义条目组(由您或您的组织创建)。如需了解详情,请参阅条目组类别。
下表列出了对条目组执行操作所需的权限:
| 操作 | 自定义条目组所需的权限 | 系统条目组(以 @ 开头)所需的权限 |
|---|---|---|
| 创建条目组 | dataplex.entryGroups.create |
不适用 |
| 更新条目组 | dataplex.entryGroups.update |
不适用 |
| 删除条目组 | dataplex.entryGroups.delete |
不适用 |
| 列出条目组 | dataplex.entryGroups.list |
dataplex.entryGroups.list |
| 获取条目组 | dataplex.entryGroups.get |
dataplex.entryGroups.get |
条目数
如需创建和管理条目,您必须具有标准 create、get、list、update 和 delete 权限。
请注意以下几点:
- 对于查找 (
LookupEntry) 和搜索 (SearchEntries) 方法,条目需要原始来源系统的许可。例如,如果来源是 BigQuery 表,您需要拥有bigquery.tables.get权限。 - 创建条目或更新条目的顶级字段时,您必须获得条目类型的
use权限。 - 当您创建、更新或删除必需的方面时,必须获得对条目的条目类型以及底层方面类型的
use权限。这是因为必需的方面由条目类型强制执行。 - 创建、更新或删除可选方面时,您必须拥有相应方面的方面类型的
use权限。 - 当您通过
UpdateEntry和allow_missing = True插入或更新条目时,必须被授予create权限。
如需详细了解条目所基于的条目类型,请参阅条目类型的类别。
下表列出了对条目执行操作所需的权限:
| 操作 | 基于自定义条目类型的条目 | 基于可用系统条目类型的条目 | 基于只读系统条目类型的条目 |
|---|---|---|---|
| 创建条目 |
|
|
不适用 |
| 更新条目 |
|
|
无法修改顶级字段和必需的方面。 |
| 列出条目 | dataplex.entries.list |
dataplex.entries.list |
dataplex.entries.list |
| 获取条目 | dataplex.entries.get |
dataplex.entries.get |
dataplex.entries.get |
| 查找条目 |
原始来源系统的读取权限。 对于自定义条目,此值为 |
原始来源系统的读取权限。 对于自定义条目,此值为 |
原始来源系统的读取权限。 对于自定义条目,此值为 |
| 搜索条目 |
原始来源系统的读取权限。 对于自定义条目,此值为 |
原始来源系统的读取权限。 对于自定义条目,此值为 |
原始来源系统的读取权限。 对于自定义条目,此值为 |
元数据作业权限
| 操作 | IAM 权限 |
|---|---|
| 创建元数据导入作业 |
|
| 创建元数据导出作业 |
|
| 访问元数据导出作业的导出结果 |
|
| 获取元数据作业 |
|
| 列出元数据作业 |
|
| 取消元数据作业 |
|
系统方面类型和条目类型
每个系统定义的方面类型和系统定义的条目类型都有自己的 IAM 权限。这些权限采用 dataplex.entryGroups.useASPECT_TYPE 或 dataplex.entryGroups.useENTRY_TYPE 等格式。例如,overview 系统方面类型的权限为 dataplex.entryGroups.useOverviewAspect。
下表列出了适用于系统定义的方面类型和条目类型的权限。
| 资源 | IAM 权限 |
|---|---|
contacts(系统方面类型) |
dataplex.entryGroups.useContactsAspect |
data-quality-scorecard(系统方面类型) |
dataplex.entryGroups.useDataQualityScorecardAspect |
generic(系统方面类型) |
dataplex.entryGroups.useGenericAspect |
generic(系统条目类型) |
dataplex.entryGroups.useGenericEntry |
overview(系统方面类型) |
dataplex.entryGroups.useOverviewAspect |
schema(系统方面类型) |
dataplex.entryGroups.useSchemaAspect |
数据湖、区域和资产权限
下表列出了对数据湖、数据区和资产执行操作所需的权限:
| API 方法 | IAM 权限 |
|---|---|
| CreateLake | dataplex.lakes.create |
| UpdateLake | dataplex.lakes.update |
| DeleteLake | dataplex.lakes.delete |
| ListLakes | dataplex.lakes.list |
| GetLake | dataplex.lakes.get |
| ListLakeActions | dataplex.lakeActions.list |
| CreateZone | dataplex.zones.create |
| UpdateZone | dataplex.zones.update |
| DeleteZone | dataplex.zones.delete |
| ListZones | dataplex.zones.list |
| GetZone | dataplex.zones.get |
| ListZoneActions | dataplex.zoneActions.list |
| CreateAsset | dataplex.assets.create |
| UpdateAsset | dataplex.assets.update |
| DeleteAsset | dataplex.assets.delete |
| ListAssets | dataplex.assets.list |
| GetAsset | dataplex.assets.get |
| ListAssetActions | dataplex.assetActions.list |
任务权限
下表列出了对任务执行操作所需的权限:
| API 方法 | IAM 权限 |
|---|---|
| CreateTask | dataplex.tasks.create |
| UpdateTask | dataplex.tasks.update |
| DeleteTask | dataplex.tasks.delete |
| ListTasks | dataplex.tasks.list |
| GetTask | dataplex.tasks.get |
| ListJobs | dataplex.tasks.get |
| GetJob | dataplex.tasks.get |
| CancelJob | dataplex.tasks.cancel |
环境权限
下表列出了对环境执行操作所需的权限:
| API 方法 | IAM 权限 |
|---|---|
| CreateEnvironment | dataplex.environments.create |
| UpdateEnvironment | dataplex.environments.update |
| DeleteEnvironment | dataplex.environments.delete |
| ListEnvironments | dataplex.environments.list |
| GetEnvironment | dataplex.environments.get |
| CreateContent | dataplex.content.create |
| UpdateContent | dataplex.content.update |
| DeleteContent | dataplex.content.delete |
| ListContent | dataplex.content.list |
| GetContent | dataplex.content.get |
| ListSessions | dataplex.environments.get |
元数据权限
下表列出了对实体和分区执行操作所需的权限:
| API 方法 | IAM 权限 |
|---|---|
| CreateEntity | dataplex.entities.create |
| UpdateEntity | dataplex.entities.update |
| DeleteEntity | dataplex.entities.delete |
| GetEntity | dataplex.entities.get |
| ListEntities | dataplex.entities.list |
| CreatePartition | dataplex.partitions.create |
| UpdatePartition | dataplex.partitions.update |
| DeletePartition | dataplex.partitions.delete |
| GetPartition | dataplex.partitions.get |
| ListPartitions | dataplex.partitions.list |
数据扫描权限
下表列出了对数据扫描进行操作所需的权限:
| API 方法 | IAM 权限 |
|---|---|
| CreateDataScan | dataplex.datascans.create |
| UpdateDataScan | dataplex.datascans.update |
| DeleteDataScan | dataplex.datascans.delete |
| ListDataScans | dataplex.datascans.list |
| GetDataScan(基本视图) | dataplex.datascans.get |
| GetDataScan(完整视图) | dataplex.datascans.getData |
| ListDataScanJobs | dataplex.datascans.get |
| GetDataScanJob(基本视图) | dataplex.datascans.get |
| GetDataScanJob(完整视图) | dataplex.datascans.getData |
| RunDataScan | dataplex.datascans.run |