Dataplex Universal Catalog 權限可讓使用者對 Dataplex Universal Catalog 服務、資源和作業執行特定動作。舉例來說,dataplex.datascans.create 權限可讓使用者在專案中建立 Dataplex Universal Catalog 資料掃描作業。您無法直接授予使用者權限,而是將隨附一或多個權限的角色指派給他們。
本文著重說明與 Dataplex Universal Catalog 相關的 IAM 權限。如要進一步瞭解預先定義的 Dataplex Universal Catalog 角色及其包含的權限,請參閱「Dataplex Universal Catalog IAM 角色」。
如需 IAM 和其功能的詳細說明,請參閱 IAM 說明文件。
身分與存取權管理政策設定和取得權限
下表列出取得及設定 IAM 權限所需的權限:
| 資源 | API 方法 | IAM 權限 |
|---|---|---|
| 項目類型 | GetIamPolicy | dataplex.entryTypes.getIamPolicy |
| 項目類型 | SetIamPolicy | dataplex.entryTypes.setIamPolicy |
| 切面類型 | GetIamPolicy | dataplex.aspectTypes.getIamPolicy |
| 切面類型 | SetIamPolicy | dataplex.aspectTypes.setIamPolicy |
| 項目群組 | GetIamPolicy | dataplex.entryGroups.getIamPolicy |
| 項目群組 | SetIamPolicy | dataplex.entryGroups.setIamPolicy |
| 湖泊 | GetIamPolicy | dataplex.lakes.getIamPolicy |
| 湖泊 | SetIamPolicy | dataplex.lakes.setIamPolicy |
中繼資料管理權限
如要對項目類型、切面類型、項目群組和項目執行作業,所需的一組權限取決於資源是系統資源還是自訂資源。系統資源由 Dataplex Universal Catalog 定義,自訂資源則由您或貴機構定義。
如要執行與多項資源相關的作業 (例如建立特定項目類型的項目,或在項目中新增特定方面類型的方面),您可能需要與資源相關聯的多項權限。
項目類型
如要建立及管理項目類型,您必須至少獲得標準的 create、get、list、update 和 delete 權限。
建立項目類型時,您必須獲得權限,才能使用要標示為該項目類型必要項目的每個切面類型。
如要使用項目類型 (例如建立項目類型的項目),您必須獲得該項目類型的 use 權限。
下表列出操作項目類型所需的權限:
| 作業 | 自訂項目類型所需的權限 |
|---|---|
| 列出項目類型 | dataplex.entryTypes.list |
| 取得項目類型 | dataplex.entryTypes.get |
| 建立項目類型 |
|
| 更新項目類型 |
|
| 刪除項目類型 |
|
|
使用項目類型 (建立項目、更新頂層項目欄位和必要切面類型值時) |
|
切面類型
如要建立及管理切面類型,您必須獲得標準的 create、get、list、update 和 delete 權限。
如要使用切面類型 (例如將其附加為項目的選用切面),您必須獲得切面類型的 use 權限。
切面類型分為系統切面類型和自訂切面類型。系統切面類型由 Dataplex Universal Catalog 建立,自訂切面類型則由您或貴機構建立。系統切面類型會進一步分類為可用和唯讀。詳情請參閱層面類型類別。
下表列出操作自訂和系統層面類型所需的權限:
| 作業 | 自訂切面類型所需的權限 | 可用的系統切面類型所需權限 | 唯讀系統切面類型所需的權限 |
|---|---|---|---|
| 列出切面類型 | dataplex.aspectTypes.list |
不適用 (N/A) | 不適用 |
| 取得切面類型 | dataplex.aspectTypes.get |
授予對象:allUsers |
授予對象:allUsers |
| 建立切面類型 | dataplex.aspectTypes.create |
不適用 | 不適用 |
| 更新切面類型 | dataplex.aspectTypes.update |
不適用 | 不適用 |
| 刪除切面類型 | dataplex.aspectTypes.delete |
不適用 | 不適用 |
| 建立或更新項目時,設定選填的面向類型值 |
|
|
不適用 |
| 建立或更新項目時,設定必要層面類型值 |
|
|
不適用 |
項目群組
如要建立及管理項目群組,您必須獲得標準的 create、get、list、update 和 delete 權限。
項目群組分為系統項目群組和自訂項目群組。前者由 Dataplex Universal Catalog 建立,後者則由您或貴機構建立。詳情請參閱「項目群組類別」。
下表列出操作項目群組所需的權限:
| 作業 | 自訂項目群組所需的權限 | 系統項目群組 (以「@」開頭) 的必要權限 |
|---|---|---|
| 建立項目群組 | dataplex.entryGroups.create |
不適用 |
| 更新項目群組 | dataplex.entryGroups.update |
不適用 |
| 刪除項目群組 | dataplex.entryGroups.delete |
不適用 |
| 可列出項目群組 | dataplex.entryGroups.list |
dataplex.entryGroups.list |
| 取得項目群組 | dataplex.entryGroups.get |
dataplex.entryGroups.get |
實體
如要建立及管理項目,您必須獲得標準的 create、get、list、update 和 delete 權限。
注意事項:
- 如要使用查詢 (
LookupEntry) 和搜尋 (SearchEntries) 方法,必須取得原始來源系統的項目權限。舉例來說,如果來源是 BigQuery 資料表,您需要bigquery.tables.get權限。 - 建立項目或更新項目的頂層欄位時,您必須具備項目類型的
use權限。 - 如要建立、更新或刪除必要切面,您必須在項目的項目類型和基礎切面類型中,獲得
use權限。這是因為項目類型會強制執行必要切面。 - 建立、更新或刪除選用層面時,您必須具備層面類型層面的
use權限。 - 當您 upsert 項目 (
UpdateEntry與allow_missing = True),您必須獲得create權限。
如要進一步瞭解項目所依據的項目類型,請參閱「項目類型類別」。
下表列出操作項目所需的權限:
| 作業 | 依據自訂項目類型建立的項目 | 根據可用的系統項目類型輸入 | 根據唯讀系統項目類型建立項目 |
|---|---|---|---|
| 建立項目 |
|
|
不適用 |
| 更新項目 |
|
|
無法編輯頂層欄位和必要切面。 |
| 可列出項目 | dataplex.entries.list |
dataplex.entries.list |
dataplex.entries.list |
| 可取得項目 | dataplex.entries.get |
dataplex.entries.get |
dataplex.entries.get |
| 查詢項目 |
原始來源系統的讀取權限。 如果是自訂項目,則為 |
原始來源系統的讀取權限。 如果是自訂項目,則為 |
原始來源系統的讀取權限。 如果是自訂項目,則為 |
| 搜尋項目 |
原始來源系統的讀取權限。 如果是自訂項目,則為 |
原始來源系統的讀取權限。 如果是自訂項目,則為 |
原始來源系統的讀取權限。 如果是自訂項目,則為 |
中繼資料工作權限
| 作業 | IAM 權限 |
|---|---|
| 建立中繼資料匯入工作 |
|
| 建立中繼資料匯出工作 |
|
| 存取中繼資料匯出工作匯出的結果 |
|
| 取得中繼資料工作 |
|
| 列出中繼資料工作 |
|
| 取消中繼資料工作 |
|
系統切面類型和項目類型
每個系統定義的切面類型和系統定義的項目類型都有自己的 IAM 權限。這些權限採用 dataplex.entryGroups.useASPECT_TYPE 或 dataplex.entryGroups.useENTRY_TYPE 等格式。舉例來說,overview 系統切面類型的權限為 dataplex.entryGroups.useOverviewAspect。
下表列出適用於系統定義切面類型和項目類型的權限。
| 資源 | IAM 權限 |
|---|---|
contacts (系統切面類型) |
dataplex.entryGroups.useContactsAspect |
data-quality-scorecard (系統切面類型) |
dataplex.entryGroups.useDataQualityScorecardAspect |
generic (系統切面類型) |
dataplex.entryGroups.useGenericAspect |
generic (系統輸入類型) |
dataplex.entryGroups.useGenericEntry |
overview (系統切面類型) |
dataplex.entryGroups.useOverviewAspect |
schema (系統切面類型) |
dataplex.entryGroups.useSchemaAspect |
Lake、可用區和資產權限
下表列出操作湖泊、區域和資產所需的權限:
| API 方法 | IAM 權限 |
|---|---|
| CreateLake | dataplex.lakes.create |
| UpdateLake | dataplex.lakes.update |
| DeleteLake | dataplex.lakes.delete |
| ListLakes | dataplex.lakes.list |
| GetLake | dataplex.lakes.get |
| ListLakeActions | dataplex.lakeActions.list |
| CreateZone | dataplex.zones.create |
| UpdateZone | dataplex.zones.update |
| DeleteZone | dataplex.zones.delete |
| ListZones | dataplex.zones.list |
| GetZone | dataplex.zones.get |
| ListZoneActions | dataplex.zoneActions.list |
| CreateAsset | dataplex.assets.create |
| UpdateAsset | dataplex.assets.update |
| DeleteAsset | dataplex.assets.delete |
| ListAssets | dataplex.assets.list |
| GetAsset | dataplex.assets.get |
| ListAssetActions | dataplex.assetActions.list |
工作權限
下表列出操作工作所需的權限:
| API 方法 | IAM 權限 |
|---|---|
| CreateTask | dataplex.tasks.create |
| UpdateTask | dataplex.tasks.update |
| DeleteTask | dataplex.tasks.delete |
| ListTasks | dataplex.tasks.list |
| GetTask | dataplex.tasks.get |
| ListJobs | dataplex.tasks.get |
| GetJob | dataplex.tasks.get |
| CancelJob | dataplex.tasks.cancel |
環境權限
下表列出環境作業所需的權限:
| API 方法 | IAM 權限 |
|---|---|
| CreateEnvironment | dataplex.environments.create |
| UpdateEnvironment | dataplex.environments.update |
| DeleteEnvironment | dataplex.environments.delete |
| ListEnvironments | dataplex.environments.list |
| GetEnvironment | dataplex.environments.get |
| CreateContent | dataplex.content.create |
| UpdateContent | dataplex.content.update |
| DeleteContent | dataplex.content.delete |
| ListContent | dataplex.content.list |
| GetContent | dataplex.content.get |
| ListSessions | dataplex.environments.get |
中繼資料權限
下表列出對實體和分割區執行作業時所需的權限:
| API 方法 | IAM 權限 |
|---|---|
| CreateEntity | dataplex.entities.create |
| UpdateEntity | dataplex.entities.update |
| DeleteEntity | dataplex.entities.delete |
| GetEntity | dataplex.entities.get |
| ListEntities | dataplex.entities.list |
| CreatePartition | dataplex.partitions.create |
| UpdatePartition | dataplex.partitions.update |
| DeletePartition | dataplex.partitions.delete |
| GetPartition | dataplex.partitions.get |
| ListPartitions | dataplex.partitions.list |
資料掃描權限
下表列出對資料掃描執行作業所需的權限:
| API 方法 | IAM 權限 |
|---|---|
| CreateDataScan | dataplex.datascans.create |
| UpdateDataScan | dataplex.datascans.update |
| DeleteDataScan | dataplex.datascans.delete |
| ListDataScans | dataplex.datascans.list |
| GetDataScan (基本檢視) | dataplex.datascans.get |
| GetDataScan (完整檢視畫面) | dataplex.datascans.getData |
| ListDataScanJobs | dataplex.datascans.get |
| GetDataScanJob (基本檢視) | dataplex.datascans.get |
| GetDataScanJob (完整檢視畫面) | dataplex.datascans.getData |
| RunDataScan | dataplex.datascans.run |