In Looker (Google Cloud Core) wird Identity and Access Management (IAM) verwendet, um Nutzer- und Administratorzugriff über eine Reihe von IAM-Rollen bereitzustellen. Eine ausführliche Beschreibung von Google Cloud IAM finden Sie in der IAM-Dokumentation.
Was ist Identity and Access Management (IAM)?
Mit IAM können Sie steuern, wer Zugriff auf die Ressourcen in Ihrem Google Cloud -Projekt hat. Durch IAM können Sie das Prinzip der geringsten Berechtigung anwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen gewähren.
Hauptkonten sind die Akteure bei IAM. Hauptkonten können einzelne Nutzer, Gruppen oder Workspace-Domains sein. Hauptkonten erhalten Rollen, mit denen sie Aktionen mit Looker (Google Cloud Core) und allgemein mit Google Cloud ausführen können. Jede Rolle umfasst eine oder mehrere Berechtigungen. Berechtigungen bilden die Grundlage von IAM: Jede Berechtigung gestattet es einem Hauptkonto, eine bestimmte Aktion auszuführen.
Mit der Berechtigung looker.instances.login kann sich ein Hauptkonto beispielsweise in Looker (Google Cloud Core)-Instanzen anmelden. Diese Berechtigung ist in mehreren vordefinierten Rollen enthalten, darunter die Rolle „Looker-Administrator“ (roles/looker.admin) und die Rolle „Looker-Instanznutzer“ (roles/looker.instanceUser).
Erforderliche Rolle
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Project IAM Admin (roles/resourcemanager.projectIamAdmin) für das Projekt zuzuweisen, in dem die Instanz erstellt wurde, um die Berechtigungen zu erhalten, die Sie zum Zuweisen von Looker (Google Cloud Core)-IAM-Rollen benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
IAM-Rollen im Vergleich zu Looker-Rollen
Es gibt zwei Arten von Rollen, mit denen Berechtigungen für Looker (Google Cloud Core) gewährt werden: IAM-Rollen und Looker-Rollen.
Looker-IAM-Rollen:Diese Rollen steuern die folgenden Möglichkeiten:
- Funktionen von Nutzern in der Google Cloud Console in Bezug auf Looker (Google Cloud Core)
In Kombination mit OAuth gelten sie auch für die folgenden Funktionen:
- Möglichkeiten für Nutzer, sich in einer Looker (Google Cloud Core)-Instanz anzumelden
- Ob Nutzern automatisch die Looker-Rolle Admin über IAM zugewiesen wird, wenn sie sich in einer Looker (Google Cloud Core)-Instanz anmelden. Weitere Informationen finden Sie in der Dokumentation Authentifizierung und Autorisierung mit OAuth und IAM.
Informationen zum Gewähren von IAM-Rollen finden Sie in der IAM-Dokumentation.
Looker-Rollen:Diese Rollen legen fest, was Nutzer tun können, nachdem sie sich in einer Looker (Google Cloud Core)-Instanz angemeldet haben. Informationen zum Zuweisen von Looker-Rollen finden Sie in der Dokumentation zu Rollen und Gruppen.
Looker-Rollen werden innerhalb einer Looker (Google Cloud Core)-Instanz zugewiesen oder widerrufen. Die Looker-Rolle Administrator über IAM ist davon ausgenommen, da sie nur über IAM zugewiesen oder widerrufen werden kann. IAM-Rollen können nur in der Google Cloud Console zugewiesen oder widerrufen werden.
IAM-Rollen für Looker (Google Cloud Core)
Es sind drei vordefinierte Rollen für Looker (Google Cloud Core)-Nutzer verfügbar. Diese Rollen werden auf Google Cloud Projektebene gewährt und steuern den Zugriff einheitlich für alle Looker (Google Cloud Core)-Instanzen in einem Google Cloud Projekt. Wenn sich ein Nutzer mit OAuth authentifiziert, wirkt sich die jedem Hauptkonto zugewiesene IAM-Rolle auch darauf aus, welche Looker-Rollen bei der Anmeldung in der Instanz zugewiesen werden.
| Rollenname | Berechtigungen |
|---|---|
Looker Viewer
Lesezugriff auf alle Looker (Google Cloud Core)-Ressourcen in der Google Cloud Konsole. |
looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Looker Instance User
Zugriff zum Anmelden in einer Looker (Google Cloud Core)-Instanz. |
looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list |
Looker-Administrator
Uneingeschränkter Zugriff auf alle Looker (Google Cloud Core)-Ressourcen. |
looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Mindestens ein Hauptkonto muss die IAM-Rolle „Looker Admin“ (roles/looker.admin) haben.
Wenn die vordefinierten Rollen nicht die gewünschten Berechtigungen bieten, können Sie auch eigene benutzerdefinierte Rollen erstellen.
Nächste Schritte
- Google OAuth für die Nutzerauthentifizierung in Looker (Google Cloud Core) verwenden
- Nutzer in Looker (Google Cloud Core) verwalten
- Looker-Instanz (Google Cloud Core) erstellen
- Looker (Google Cloud Core)-Administratoreinstellungen
- Looker (Google Cloud Core)-Instanz über die Google Cloud Console verwalten