Data Catalog 和通用目录之间的 IAM 权限映射

本文档介绍了 Data Catalog 权限与 BigQuery 通用目录权限之间的映射。

详情请参阅以下内容:

条目组

下表详细列出了 Data Catalog 权限与通用目录权限之间的对应关系,适用于对条目组执行的常见操作:

操作 Data Catalog 中所需的权限 通用目录中所需的权限
创建条目组 datacatalog.entryGroups.create dataplex.entryGroups.create
更新条目组 datacatalog.entryGroups.update dataplex.entryGroups.update
查看条目组的详细信息 datacatalog.entryGroups.get dataplex.entryGroups.get
删除条目组 datacatalog.entryGroups.delete dataplex.entryGroups.delete

如需详细了解条目组,请参阅 Data Catalog 中的条目组通用目录中的条目组

条目数

下表详细列出了 Data Catalog 权限与通用目录权限之间的对应关系,适用于对条目执行的常见操作:

操作 Data Catalog 中所需的权限 通用目录中所需的权限 备注
创建自定义条目 datacatalog.entries.create

dataplex.entries.create

dataplex.entryTypes.use(使用条目类型创建该类型的条目)

dataplex.aspectTypes.use(使用切面类型创建具有相应切面的条目)

Data Catalog 不支持条目类型。

在数据目录中,您只能在创建条目后为其创建标记。在通用目录中,您可以在创建条目时为其创建方面。
使用可重复使用的系统条目类型创建条目 不适用 对入口点组指定的权限,例如 dataplex.entryGroups.useENTRY_TYPE 如需了解详情,请参阅系统方面类型和条目类型
查看自定义条目的详细信息 datacatalog.entries.get dataplex.entries.get -
查看系统条目的详细信息 特定于系统的权限,例如 bigquery.tables.get

dataplex.entries.get(适用于 entries.get 方法)

系统专用权限,例如 bigquery.tables.get(适用于 lookupEntry 方法)

在通用目录中,您可以使用 entries.get 方法或 lookupEntry 方法检索条目。这两种方法之间的区别在于所需的权限。

Google Cloud 控制台使用 lookupEntry 方法。
列出条目 datacatalog.entries.list(适用于自定义条目) dataplex.entries.list(适用于系统条目和自定义条目)

Data Catalog 不支持列出系统条目。

在通用目录中,系统条目组是您可以设置权限的有效资源。
执行搜索 无需针对搜索操作本身获取权限 dataplex.projects.search

在 Data Catalog 中,您无需特殊权限即可执行搜索。

如需在通用目录中执行搜索,您需要拥有用于执行搜索的项目的 dataplex.projects.search 权限。此项目是使用 searchEntries 方法中的 name 参数设置的,而 scope 参数定义了您要搜索的项目。

在 Data Catalog 和通用目录中,搜索结果都需要接受系统专用权限检查。您只能看到您有权访问的资源。

如需详细了解在通用目录中搜索条目所需的权限,请参阅条目
更新自定义条目中的字段(标记和方面除外) datacatalog.entries.update

dataplex.entries.update

dataplex.entryTypes.use

 通用目录中的 entryTypes.use 权限用于保护非方面字段,例如 entrySource。例如,您可以使用此权限来阻止用户修改由受管理的连接管道设置的字段。
为特定条目(而非条目组)设置权限

通常不支持。

不过,您可以在更新系统条目的标记时为特定条目设置权限。这需要对源系统的权限。

 不支持

IAM 政策仅适用于条目组。

在 Data Catalog 中,如果您要更新系统条目的标记,则需要对源系统拥有相应权限。例如,当您更新 BigQuery 表的标记时,需要拥有 bigquery.tables.updateTag 权限。您可以为特定条目设置此权限。

在通用目录中,如需更新条目的方面,您需要 dataplex.entries.update,但无法对特定条目进行设置。
删除条目 datacatalog.entries.delete dataplex.entries.delete -

如需详细了解条目,请参阅 Data Catalog 中的条目通用目录中的条目

标记模板和切面类型

下表详细列出了 Data Catalog 权限与通用目录权限之间的对应关系,适用于对标记模板(在 Data Catalog 中)和切面类型(在通用目录中)执行的常见操作。

操作 Data Catalog 中所需的权限 通用目录中所需的权限 备注
创建标记模板或切面类型 datacatalog.tagTemplates.create dataplex.aspectTypes.create -
更新标记模板或切面类型 datacatalog.tagTemplates.update dataplex.aspectTypes.update -
查看标记模板或切面类型的详细信息 datacatalog.tagTemplates.get dataplex.aspectTypes.get -
列出所有标记模板或切面类型 不支持 dataplex.aspectTypes.list Data Catalog 不支持列出标记模板。
使用可重复使用的系统切面类型 不适用 对条目组(而非 dataplex.aspectTypes.use)指定的权限。例如 dataplex.entryGroups.useASPECT_TYPE 如需了解详情,请参阅系统方面类型和条目类型
删除标记模板或切面类型 datacatalog.tagTemplates.delete dataplex.aspectTypes.delete -

标记和切面

下表详细列出了 Data Catalog 权限与通用目录权限之间的对应关系,适用于对标记(在 Data Catalog 中)和方面(在通用目录中)执行的常见操作。

操作 Data Catalog 中所需的权限 通用目录中所需的权限 备注
创建、更新和删除标记或方面

datacatalog.entries.updateTag

服务相关等效项(例如 bigquery.tables.updateTag

datacatalog.tagTemplates.use

dataplex.entries.update

dataplex.aspectTypes.use

在 Data Catalog 中,标记是条目中的独立资源。您需要使用不同的方法更新代码和条目,并且所需的相应权限也各不相同。

在通用目录中,方面存储在条目中,而不是作为独立资源。您可以通过更新条目来更新条目的各个方面。 这适用于系统条目和自定义条目。
列出标记或切面

datacatalog.entries.get(适用于公开代码和不公开代码)

datacatalog.tagTemplates.get(适用于每个自有标签。如果您无权访问某个代码,则该代码将不会显示在搜索结果中。)

 dataplex.entries.get 在通用目录中,检索条目时,其方面也会一并列出。

后续步骤