本文件說明如何保護及管理 Dataplex 通用目錄資料湖的存取權。
您可以透過 Dataplex 通用目錄安全性模型,管理下列工作項目的使用者權限:
- 管理湖泊 (建立及附加資產、可用區和其他湖泊)
- 透過對應資產 (例如Google Cloud 資源,例如 Cloud Storage 值區和 BigQuery 資料集) 存取與湖泊連結的資料
- 存取與資料湖連結的資料中繼資料
湖泊管理員可透過授予基本和預先定義的角色,控管對 Dataplex 通用目錄資源 (例如湖泊、可用區和資產) 的存取權。
基本角色
| 角色 | 說明 |
|---|---|
| Dataplex 檢視器 ( roles/dataplex.viewer) |
可查看 (但無法編輯) 湖泊及其已設定的可用區和資產。 |
| Dataplex 編輯器 ( roles/dataplex.editor) |
編輯湖泊的權限。可建立及設定湖泊、可用區、資產和工作。 |
| Dataplex 管理員 ( roles/dataplex.administrator) |
具備完整的資料湖泊管理權限。 |
| Dataplex 開發人員 ( roles/dataplex.developer) |
可在資料湖泊中執行資料分析工作負載。* |
如要執行 Spark 工作,請建立 Dataproc 叢集,並在您要將運算歸屬的專案中提交 Dataproc 工作。
預先定義的角色
Google Cloud 會管理預先定義的角色,為 Dataplex 通用目錄提供精細的存取權。
中繼資料角色
中繼資料角色可查看中繼資料,例如資料表結構定義。
| 角色 | 說明 |
|---|---|
| Dataplex 中繼資料寫入器 ( roles/dataplex.metadataWriter) |
可更新特定資源的中繼資料。 |
| Dataplex 中繼資料讀取器 ( roles/dataplex.metadataReader) |
可讀取中繼資料 (例如查詢資料表)。 |
資料角色
將資料角色授予主體後,該主體就能讀取或寫入湖泊資產所指向的基礎資源資料。
Dataplex 通用目錄會將其角色對應至每個基礎儲存空間資源的資料角色,例如 Cloud Storage 和 BigQuery。
Dataplex 通用目錄會將 Dataplex 通用目錄資料角色轉譯並傳播至基礎儲存空間資源,為每個儲存空間資源設定正確的角色。您可以在湖泊階層 (例如湖泊) 中授予單一 Dataplex 通用目錄資料角色,而 Dataplex 通用目錄會維護與該湖泊連結的所有資源上,對資料的特定存取權 (例如,Cloud Storage 值區和 BigQuery 資料集會由底層可用區的資產參照)。
舉例來說,授予主體湖泊的 dataplex.dataWriter 角色,可讓主體取得湖泊內所有資料、其底層區域和資產的寫入權限。在較低層級 (可用區) 授予的資料存取權角色,會在湖泊階層中沿用至基礎資產。
| 角色 | 說明 |
|---|---|
| Dataplex 資料讀取器 ( roles/dataplex.dataReader) |
能夠從附加至資產的儲存空間讀取資料,包括儲存空間值區和 BigQuery 資料集 (及其內容)。* |
| Dataplex 資料寫入器 ( roles/dataplex.dataWriter) |
可寫入資產所指向的基礎資源。* |
| Dataplex 資料擁有者 ( roles/dataplex.dataOwner) |
將擁有者角色授予基礎資源,包括管理子項資源的權限。舉例來說,您可以管理 BigQuery 資料集的基礎資料表,因為您是該資料集的資料擁有者。 |
保護自有湖泊
您可以保護資料湖泊和相關資料的存取權,並加以管理。在 Google Cloud 控制台中,請使用下列其中一個檢視畫面:
- 「Permissions」分頁標籤中的 Dataplex Universal Catalog「Manage」檢視畫面
- Dataplex 通用目錄的「安全」檢視畫面
使用「管理」檢視畫面
您可以透過「Permissions」分頁管理湖泊資源的所有權限,並查看所有權限的未篩選檢視畫面,包括繼承的權限。
如要保護湖泊,請按照下列步驟操作:
在 Google Cloud 控制台中,前往 Dataplex 通用目錄。
前往「管理」檢視畫面。
按一下您建立的湖泊名稱。
按一下「Permissions」(權限) 分頁標籤。
按一下「依角色查看」分頁標籤。
點選「新增」來新增角色。新增 Dataplex 資料讀取者、資料寫入者和資料擁有者角色。
確認畫面上顯示「Dataplex 資料讀取者」、「資料寫入者」和「資料擁有者」角色。
使用「安全」檢視畫面
Google Cloud 控制台中的 Dataplex 通用目錄「安全」檢視畫面提供下列資訊:
- 篩選器檢視畫面,僅顯示以特定資源為中心的 Dataplex 通用目錄角色
- 將資料角色與資料湖資源角色分開
- 從專案繼承 Dataplex 管理員角色的服務帳戶。
- 從專案繼承 Dataplex 編輯者和檢視者角色的主體 (電子郵件地址)。這些角色適用於所有資源。
- 從專案繼承 Dataplex 管理員角色的主體 (電子郵件地址)。
政策管理
指定安全性政策後,Dataplex Universal Catalog 會將權限套用至受管理資源的 IAM 政策。
在湖泊層級設定的安全性政策會傳播至該湖泊中管理的所有資源。Dataplex 通用目錄會在「管理」>「權限」分頁中,提供這些大規模傳播作業的傳播狀態和可視性。它會持續監控受管理的資源,以便在 Dataplex 通用目錄以外的 IAM 政策發生變更時,即時通知您。
資源連結至 Dataplex 通用目錄湖後,已擁有資源權限的使用者仍可繼續使用這些權限。同樣地,在將資源連結至 Dataplex Universal Catalog 後建立或更新的非 Dataplex Universal Catalog 角色繫結也會維持不變。
設定資料欄層級、資料列層級和資料表層級政策
Cloud Storage 值區資產會連結至相關的 BigQuery 外部資料表。
您可以升級 Cloud Storage 值區資產,這表示 Dataplex 通用目錄會移除已附加的外部資料表,並改為附加 BigLake 資料表。
您可以使用 BigLake 資料表 (而非外部資料表) 實施精細的存取權控管,包括資料列層級控管、資料欄層級控管和資料欄資料遮罩。
中繼資料安全性
中繼資料主要指的是與資料湖泊管理資源中使用者資料相關的架構資訊。
Dataplex 通用目錄探索功能會檢查受管理資源中的資料,並擷取表格式結構定義資訊。這些資料表會發布至 BigQuery、Dataproc Metastore 和 Data Catalog (已淘汰) 系統。
BigQuery
每個探索到的資料表都有一個在 BigQuery 中註冊的關聯資料表。每個區域都有一個相關聯的 BigQuery 資料集,其中會註冊與該資料區域中所發現資料表相關聯的所有外部資料表。
系統會在為該區建立的資料集下方註冊所發現的 Cloud Storage 代管資料表。
Dataproc Metastore
資料庫和資料表會在與 Dataplex Universal Catalog 湖泊執行個體相關聯的 Dataproc Metastore 中提供。每個資料區域都有一個相關聯的資料庫,每個資產可包含一或多個相關聯的資料表。
您可以設定 VPC-SC 網路,保護 Dataproc Metastore 服務中的資料。在建立資料湖時,Dataproc Metastore 執行個體會提供給 Dataplex 通用目錄,因此已成為使用者管理的資源。
Data Catalog
每個探索的表格都會在 Data Catalog (已淘汰) 中建立相關聯的項目,以便進行搜尋和探索。
在建立項目時,Data Catalog 需要 IAM 政策名稱。因此,Dataplex Universal Catalog 會提供 Dataplex Universal Catalog 資產資源的 IAM 政策名稱,以便與項目建立關聯。因此,Dataplex 通用目錄項目的權限會受到資產資源權限的影響。授予資產資源的 Dataplex 中繼資料讀取者角色 (roles/dataplex.metadataReader) 和 Dataplex 中繼資料寫入者角色 (roles/dataplex.metadataWriter)。
後續步驟
- 進一步瞭解 Dataplex 通用目錄 IAM。
- 進一步瞭解 Dataplex 通用目錄 IAM 角色。
- 進一步瞭解 Dataplex 通用目錄 IAM 權限。