默认情况下,所有 Google Cloud 项目都只包含一位用户,即原始项目创建者。其他用户都无权访问该项目,并且 因此用户能够访问 Dataplex 资源, 添加为项目成员或绑定到特定资源。当前页面 介绍了向项目中添加新用户的方法,以及如何设置访问权限 Dataplex 资源的访问权限控制。
什么是 IAM?
Google Cloud 提供 Identity and Access Management (IAM), 这让您可以更精细地指定 Google Cloud 资源,并防止对其他资源进行不必要的访问。 IAM 允许您采用最小权限安全原则,您只需授予对您资源的必要访问权限。
IAM 还允许您通过设置 IAM 政策来控制谁(身份)对哪些资源具有何种权限(角色)。IAM 政策可为项目成员授予一个或多个特定角色,进而授予相应身份特定权限。例如,对于某个给定资源(例如项目),您可以将
roles/dataplex.admin 角色分配给某个 Google 账号,并且该账号可以
控制项目中的 Dataplex 资源,但无法控制
管理其他资源您还可以使用 IAM 来管理向项目团队成员授予的基本角色。
针对用户的访问权限控制选项
让用户能够创建和管理 Dataplex 您可以将用户作为团队成员添加到您的项目中或 特定资源,并使用 IAM 角色为他们授予权限。
团队成员可以是具有有效 Google 账号的个人用户、Google 群组、服务账号或 Google Workspace 网域。当您将团队成员添加到项目或资源中时,请指定要向其授予的角色。IAM 提供三种类型的角色:预定义角色、 基本角色和自定义角色。
如需查看每个 Dataplex 角色以及特定角色向其授予权限的 API 方法的功能列表,请参阅 Dataplex IAM 角色文档。
对于服务账号和群组等其他成员类型,请参阅政策绑定参考文档。
服务账号
Dataplex 使用被授予 访问在数据湖内管理的资源所需的权限。此服务 账号在包含数据湖的项目中会自动获得权限 实例。您必须明确向其授予其他项目和 您要添加到数据湖并在数据湖内管理的资源。
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com。CUSTOMER_PROJECT_NUMBER是已启用 Dataplex API 的项目。
您必须授予 Dataplex 服务代理
(roles/dataplex.serviceAgent) 对您添加到的底层资产的访问权限
数据湖或数据可用区
资源的 IAM 政策
Dataplex 在基础存储空间之上添加一个虚拟层次结构 例如 Cloud Storage 存储分区和 BigQuery 数据集。Dataplex 传播 IAM 政策 一直分配给数据湖,一直到数据区域资产,最后分配给所指向的资源 被这些资产影响政策会添加到 基础存储资源(Cloud Storage 存储桶和 BigQuery) 数据集)。
通过 IAM 政策,您可以管理这些资源的 IAM 角色,甚至在项目级管理角色。这样,您就可以灵活应用最小权限原则, 仅授予对协作者需要执行的特定资源的访问权限 自己的工作。
资源会沿用其父级资源的政策。如果在项目级层设置政策,则项目的所有子资源都会沿用该政策。资源的有效政策是为该资源设置的政策及其从层次结构中更高层级沿用而来的政策的集合。如需了解详情,请参阅 IAM 政策层次结构。
您可以使用 Google Cloud 控制台、IAM API 或 Google Cloud CLI 来获取和设置 IAM 政策。
- 如需了解 Google Cloud 控制台,请参阅 使用 Google Cloud 控制台进行访问权限控制。
- 如需了解 API,请参阅使用 API 进行访问权限控制。
- 对于 Google Cloud CLI,请参阅使用 Google Cloud CLI 进行访问权限控制。
后续步骤
- 详细了解 IAM 角色。
- 详细了解 IAM 权限
- 详细了解 Dataplex 数据湖安全。