使用 IAM 控制 Looker (Google Cloud Core) 访问权限

Looker (Google Cloud Core) 使用 Identity and Access Management (IAM) 通过一组 IAM 角色预配用户和管理员访问权限。如需详细了解 Google Cloud IAM，请参阅 IAM 文档。

什么是 Identity and Access Management (IAM)？

借助 IAM，您可以控制谁有权访问 Google Cloud 项目中的资源。IAM 允许您采用最小权限安全原则，您只需授予对您资源的必要访问权限。

主账号指的是 IAM 适用的“谁”。主账号可以是个人用户、群组或 Workspace 网域。主账号被授予角色，使他们能够在 Looker (Google Cloud Core) 以及整个 Google Cloud 中执行操作。每个角色都是一项或多项权限的集合。权限是 IAM 的基本单位：每项权限允许主账号执行一种特定的操作。

例如，looker.instances.login 权限允许主账号登录 Looker (Google Cloud Core) 实例。多项预定义角色（包括 Looker Admin 角色 [roles/looker.admin] 和 Looker Instance User 角色 [roles/looker.instanceUser]）拥有此权限。

所需角色

如需获得分配 Looker (Google Cloud Core) IAM 角色所需的权限，请让您的管理员为您授予创建实例的项目中的 Project IAM Admin (roles/resourcemanager.projectIamAdmin) IAM 角色。 如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

IAM 角色与 Looker 角色

有两种不同类型的角色可授予 Looker (Google Cloud Core)的权限：IAM 角色和 Looker 角色。

• Looker IAM 角色：此类角色控制以下功能：

  • 用户在 Google Cloud 控制台中与 Looker (Google Cloud Core) 相关的权限

  如果与 OAuth 搭配使用，它们还可控制以下功能：

  • 用户登录 Looker (Google Cloud Core) 实例的能力
  • 用户在登录 Looker (Google Cloud Core) 实例后是否会自动获得 Admin via IAM Looker 角色。如需了解详情，请参阅使用 OAuth 和 IAM 进行身份验证和授权文档。

  如需了解如何授予 IAM 角色，请参阅 IAM 文档。

• Looker 角色：这类角色用于控制用户登录 Looker (Google Cloud Core) 实例后可以执行的操作。如需了解如何授予 Looker 角色，请参阅角色和群组文档页面。

Looker 角色是在 Looker (Google Cloud Core) 实例中分配或撤消的，但 Admin via IAM Looker 角色除外，该角色只能通过 IAM 分配或撤消。只能在 Google Cloud 控制台中分配或撤消 IAM 角色。

Looker (Google Cloud Core) IAM 角色

Looker (Google Cloud Core) 用户有三种预定义角色可供选择。这些角色是在 Google Cloud 项目级层授予的，将统一控制 Google Cloud 项目内所有 Looker (Google Cloud Core) 实例的访问权限。如果用户通过 OAuth 进行身份验证，分配给每个主账号的 IAM 角色还会影响在登录实例时分配的 Looker 角色。

角色名称	权限
Looker Viewer (roles/looker.viewer) 拥有对 Google Cloud 控制台中所有 Looker (Google Cloud Core)资源的只读权限。	looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list
Looker Instance User roles/looker.instanceUser 拥有登录 Looker (Google Cloud Core) 实例的权限。	looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list
Looker Admin roles/looker.admin 拥有对所有 Looker (Google Cloud Core) 资源的完全访问权限。	looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list

至少有一个主账号必须具有 Looker Admin (roles/looker.admin) IAM 角色。

如果预定义角色未提供您所需的权限集，您还可以创建自己的自定义角色。

后续步骤

• 使用 Google OAuth 进行 Looker (Google Cloud Core) 用户身份验证
• 在 Looker (Google Cloud Core) 中管理用户
• 配置 Looker (Google Cloud Core) 实例
• Looker (Google Cloud Core) 管理员设置
• 通过 Google Cloud 控制台管理 Looker (Google Cloud Core) 实例