O Looker (Google Cloud Core) usa o Identity and Access Management (IAM) para provisionar o acesso de usuários e administradores com um conjunto de papéis do IAM. Para uma descrição detalhada do Google Cloud IAM, consulte a documentação do IAM.
O que é o gerenciamento de identidade e acesso (IAM)
Com o IAM, você controla quem tem acesso aos recursos no seu projeto do Google Cloud . Com o IAM, é possível adotar o princípio de segurança do menor privilégio (em inglês) para conceder apenas o acesso necessário aos recursos.
Os principais são o "quem" do IAM. Os principais podem ser usuários individuais, grupos ou domínios do Workspace. Os principais recebem papéis que permitem realizar ações com o Looker (Google Cloud Core) e Google Cloud de maneira geral. Cada papel é um conjunto de uma ou mais permissões. As permissões são as unidades básicas do IAM: cada uma permite que um principal execute uma determinada ação.
Por exemplo, a permissão looker.instances.login permite que um principal faça login em instâncias do Looker (Google Cloud Core). Essa permissão está incluída em vários papéis predefinidos, incluindo o papel de administrador do Looker (roles/looker.admin) e o papel de usuário da instância do Looker (roles/looker.instanceUser).
Papel necessário
Para receber as permissões necessárias para atribuir papéis do IAM do Looker (Google Cloud Core), peça ao administrador para conceder a você o papel do IAM de Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) no projeto em que a instância foi criada.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Papéis do IAM x papéis do Looker
Dois tipos diferentes de papéis concedem permissões para o Looker (Google Cloud Core): papéis do IAM e papéis do Looker.
Papéis do IAM do Looker:esses tipos de papéis regem as seguintes habilidades:
- Recursos dos usuários no console Google Cloud em relação ao Looker (Google Cloud Core)
Quando usados com o OAuth, eles também regem as seguintes capacidades:
- Capacidade dos usuários de fazer login em uma instância do Looker (Google Cloud Core)
- Se os usuários recebem automaticamente a função do Looker Administrador pelo IAM ao fazer login em uma instância do Looker (Google Cloud Core). Para mais informações, consulte a documentação Autenticação e autorização com OAuth e IAM.
Consulte a documentação do IAM para saber como conceder papéis do IAM.
Funções do Looker:essas funções regem o que os usuários podem fazer depois de fazer login em uma instância do Looker (Google Cloud Core). Consulte as páginas de documentação Papéis e Grupos para saber como conceder papéis do Looker.
Os papéis do Looker são atribuídos ou revogados em uma instância do Looker (Google Cloud Core), exceto o papel do Looker Administrador via IAM, que só pode ser atribuído ou revogado pelo IAM. Os papéis do IAM só podem ser atribuídos ou revogados no console do Google Cloud .
Papéis do IAM do Looker (Google Cloud Core)
Três papéis predefinidos estão disponíveis para usuários do Looker (Google Cloud Core). Essas funções são concedidas no nível do projeto Google Cloud e controlam o acesso de maneira uniforme para todas as instâncias do Looker (Google Cloud Core) em um projeto Google Cloud . Se um usuário estiver se autenticando com o OAuth, o papel do IAM atribuído a cada principal também vai afetar quais papéis do Looker serão atribuídos ao fazer login na instância.
| Nome do papel | Permissões |
|---|---|
Leitor do Looker
Acesso somente leitura a todos os recursos do Looker (Google Cloud Core) no console Google Cloud . |
looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Usuário da instância do Looker
Acesso para fazer login em uma instância do Looker (Google Cloud Core). |
looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list |
Administrador do Looker
Acesso total a todos os recursos do Looker (Google Cloud Core). |
looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Pelo menos um principal precisa ter o papel do IAM de administrador do Looker (roles/looker.admin).
Se os papéis predefinidos não fornecerem o conjunto de permissões desejado, você também poderá criar seus próprios papéis personalizados.
A seguir
- Usar o Google OAuth para autenticação de usuários do Looker (Google Cloud Core)
- Gerenciar usuários no Looker (Google Cloud Core)
- Configurar uma instância do Looker (Google Cloud Core)
- Configurações de administrador do Looker (Google Cloud Core)
- Administrar uma instância do Looker (Google Cloud Core) no console do Google Cloud