O Looker (Google Cloud core) usa a gestão de identidade e de acesso (IAM) para aprovisionar o acesso de utilizadores e administradores através de um conjunto de funções de IAM. Para uma descrição detalhada do Google Cloud IAM, consulte a documentação do IAM.
O que é a gestão de identidade e de acesso (IAM)
A IAM permite-lhe controlar quem tem acesso aos recursos no seu Google Cloud projeto. O IAM permite-lhe adotar o princípio de segurança do menor privilégio, pelo que concede apenas o acesso necessário aos seus recursos.
Os principais são o "quem" da IAM. Os principais podem ser utilizadores individuais, grupos ou domínios do Workspace. Os principais recebem funções, o que lhes dá a capacidade de realizar ações com o Looker (Google Cloud Core), bem como Google Cloud de forma mais geral. Cada função é um conjunto de uma ou mais autorizações. As autorizações são as unidades básicas da IAM: cada autorização permite que um principal realize uma determinada ação.
Por exemplo, a autorização looker.instances.login permite que um principal inicie sessão em instâncias do Looker (Google Cloud Core). Esta autorização está incluída em várias funções predefinidas, incluindo a função de administrador do Looker (roles/looker.admin) e a função de utilizador da instância do Looker (roles/looker.instanceUser).
Função necessária
Para receber as autorizações de que precisa para atribuir funções de IAM do Looker (Google Cloud core),
peça ao seu administrador que lhe conceda a função de IAM de
administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin)
no projeto em que a instância foi criada.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Funções de IAM versus funções do Looker
Existem dois tipos diferentes de funções que concedem autorizações para o Looker (Google Cloud core): funções do IAM e funções do Looker.
Funções de IAM do Looker: estes tipos de funções regem as seguintes capacidades:
- Capacidades dos utilizadores na Google Cloud consola relativamente ao Looker (essencial para o Google Cloud)
Quando usadas em conjunto com o OAuth, também regem as seguintes capacidades:
- Capacidades dos utilizadores para iniciar sessão numa instância do Looker (Google Cloud Core)
- Se os utilizadores recebem ou não automaticamente a função do Looker Administrador através do IAM assim que iniciam sessão numa instância do Looker (Google Cloud core). Para mais informações, consulte a documentação Autenticação e autorização com OAuth e IAM.
Consulte a documentação do IAM para obter informações sobre como conceder funções do IAM.
Funções do Looker: estes tipos de funções regem o que os utilizadores podem fazer depois de iniciarem sessão numa instância do Looker (Google Cloud core). Consulte as páginas de documentação Funções e Grupos para ver informações sobre como conceder funções do Looker.
As funções do Looker são atribuídas ou revogadas numa instância do Looker (Google Cloud core), com exceção da função do Looker Administrador através do IAM, que só pode ser atribuída ou revogada através do IAM. As funções do IAM só podem ser atribuídas ou revogadas na Google Cloud consola.
Funções de IAM do Looker (Google Cloud Core)
Estão disponíveis três funções predefinidas para os utilizadores do Looker (Google Cloud Core). Estas funções são concedidas ao Google Cloud nível do projeto e controlam o acesso de forma uniforme para todas as instâncias do Looker (essencial para o Google Cloud) num Google Cloud projeto. Se um utilizador estiver a fazer a autenticação com o OAuth, a função do IAM atribuída a cada principal também afeta as funções do Looker atribuídas no início de sessão na instância.
| Nome da Função | Autorizações |
|---|---|
Looker Viewer
Acesso só de leitura a todos os recursos do Looker (essencial para o Google Cloud) na Google Cloud consola. |
looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Utilizador da instância do Looker
Acesso para iniciar sessão numa instância do Looker (Google Cloud Core). |
looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list |
Administrador do Looker
Acesso total a todos os recursos do Looker (Google Cloud Core). |
looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Pelo menos um principal tem de ter a função de IAM de administrador do Looker (roles/looker.admin).
Se as funções predefinidas não oferecerem o conjunto de autorizações que quer, também pode criar as suas próprias funções personalizadas.
O que se segue?
- Use o OAuth da Google para a autenticação de utilizadores do Looker (Google Cloud Core)
- Faça a gestão dos utilizadores no Looker (Google Cloud Core)
- Configure uma instância do Looker (Google Cloud Core)
- Definições de administrador do Looker (Google Cloud Core)
- Administre uma instância do Looker (Google Cloud Core) a partir da Google Cloud Console