Analytics Hub-Rollen konfigurieren

In diesem Dokument wird beschrieben, welche Nutzerrollen für Analytics Hub vorhanden sind und wie Sie sie Nutzern zuweisen. Weitere Informationen finden Sie unter Analytics Hub-Rollen.

Analytics Hub-Nutzerrollen

In den folgenden Abschnitten werden die vordefinierten Analytics Hub-Rollen beschrieben. Sie können diese Rollen Nutzern zuweisen, um verschiedene Aufgaben an Datenpools und Einträgen auszuführen.

Rolle „Analytics Hub-Administrator“

Zum Verwalten von Datenpools bietet Analytics Hub die Rolle "Analytics Hub-Administrator" (roles/analyticshub.admin), die Sie für ein Projekt oder einen Datenpool zuweisen können. Mit dieser Rolle können Nutzer die folgenden Aufgaben ausführen:

  • Datenpools erstellen, aktualisieren und löschen.
  • Einträge erstellen, aktualisieren, löschen und freigeben.
  • Analytics Hub-Administratoren verwalten, Administratoren, Publisher, Abonnenten und Betrachter auflisten.

Nutzer mit dieser Rolle werden als Administratoren bezeichnet.

Analytics Hub-Rollen „Publisher“ und „Eintrags-Administrator“

Zum Verwalten von Einträgen bietet Analytics Hub die folgenden vordefinierten Rollen, die Sie für ein Projekt, einen Datenpool oder einen Eintrag zuweisen können:

  • Rolle „Analytics Hub-Publisher“ (roles/analyticshub.publisher), mit der Nutzer die folgenden Aufgaben ausführen können:

    Nutzer mit dieser Rolle werden als Publisher bezeichnet.

  • Rolle „Administrator für Analytics Hub-Einträge“ (roles/analyticshub.listingAdmin), mit der Nutzer die folgenden Aufgaben ausführen können:

Analytics Hub-Abonnenten- und -Betrachterrollen

Um Einträge anzusehen und zu abonnieren, bietet Analytics Hub die folgenden vordefinierten Rollen, die Sie für ein Projekt, einen Datenaustausch oder einen Eintrag zuweisen können:

  • Rolle „Analytics Hub-Abonnent“ (roles/analyticshub.subscriber), mit der Nutzer Einträge aufrufen und abonnieren können

    Nutzer mit dieser Rolle werden als Abonnenten bezeichnet.

  • Rolle „Analytics Hub-Betrachter“ (roles/analyticshub.viewer), mit der Nutzer Listen- und Datenaustauschberechtigungen aufrufen können.

    Nutzer mit dieser Rolle werden als Betrachter bezeichnet.

Rolle „Analytics Hub Subscription Owner"

Zum Verwalten von Abos bietet Analytics Hub die folgende vordefinierte Rolle, die Sie auf Projektebene zuweisen können:

  • Rolle „Analytics Hub Subscription Owner“ (roles/analyticshub.subscriptionOwner), mit der Nutzer ihre Abos verwalten können

Analytics Hub-Rollen zuweisen

Je nach Ihren Anforderungen können Sie die Analytics Hub-Rollen auf den folgenden Ebenen der Ressourcenhierarchie zuweisen:

  • Projekt. Wenn Sie Nutzern eine Rolle für ein Projekt zuweisen, wird sie auf alle Datenpools und Einträge angewendet, die das Projekt enthält.

  • Datenpool. Wenn Sie Nutzern eine Rolle für einen Datenpool zuweisen, wird dieser auf alle Einträge angewendet, die der Datenpool enthält.

  • Eintrag. Wenn Sie Nutzern eine Rolle für einen Eintrag zuweisen, wird sie nur auf diesen bestimmten Eintrag angewendet.

Rolle für ein Projekt zuweisen

Wenn Sie IAM-Richtlinien für ein Projekt festlegen möchten, müssen Sie die Rolle roles/resourcemanager.projectIamAdmin für dieses Projekt haben. So weisen Sie einem Projekt die vordefinierten Analytics Hub-Nutzerrollen zu:

Console

  1. Rufen Sie IAM für das Projekt auf.

    Seite „IAM“

  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie die E-Mail-Adresse der Person oder Identität, der Sie Zugriff gewähren möchten, im Feld Neue Hauptkonten ein. Beispiel:

    • E-Mail-Adresse für Google-Konto: test-user@gmail.com
    • Google-Gruppe: admins@googlegroups.com
    • Dienstkonto: server@example.gserviceaccount.com
    • Google Workspace-Domain: example.com

  4. Bewegen Sie in der Liste Rolle den Mauszeiger auf Analytics Hub und wählen Sie eine der folgenden Rollen aus:

    • Analytics Hub-Administrator
    • Analytics Hub-Publisher
    • Administrator von Analytics Hub-Einträgen
    • Analytics Hub-Abonnent
    • Analytics Hub-Betrachter

  5. Optional: Wenn Sie den Zugriff des Nutzers auf Google Cloud-Ressourcen genauer steuern möchten, fügen Sie eine bedingte Rollenbindung hinzu.

  6. Speichern Sie die Änderungen.

Sie können Administratoren für ein Projekt über dasselbe IAM-Steuerfeld löschen und aktualisieren, das in den vorherigen Schritten erläutert wurde.

gcloud

Wenn Sie Rollen auf Projektebene zuweisen möchten, verwenden Sie den Befehl gcloud projects add-iam-policy-binding:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member='PRINCIPAL' \
    --role='roles/analyticshub.admin'

Dabei gilt:

  • PROJECT_ID: die Projekt-ID, z. B. my-project-1

  • PRINCIPAL: eine gültige Identität, der Sie die Rolle zuweisen möchten

    Beispiel:

    • E-Mail-Adresse für Google-Konto: user:user@gmail.com
    • Google-Gruppe: group:admins@googlegroups.com
    • Dienstkonto: serviceAccount:server@example.gserviceaccount.com
    • Google Workspace-Domain: domain:example.com

API

  1. Lesen Sie die vorhandene Richtlinie mit der entsprechenden getIamPolicy-Methode der Ressource. Für Projekte verwenden Sie die Methode projects.getIamPolicy.

    POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy

    Ersetzen Sie PROJECT_ID durch die Projekt-ID — z. B. my-project-1.

  2. Bearbeiten Sie die Richtlinie mit einem Texteditor, um Hauptkonten und die zugehörigen Rollen hinzuzufügen. Verwenden Sie das folgende Format, um Mitglieder hinzuzufügen:

    • user:test-user@gmail.com
    • group:admins@example.com
    • serviceAccount:test123@example.domain.com
    • domain:example.domain.com

    Fügen Sie der Richtlinie beispielsweise die folgende Bindung hinzu, um group:admins@example.com die Rolle roles/analyticshub.admin zuzuweisen:

    {
 "members": [
   "group:admins@example.com"
 ],
 "role":"roles/analyticshub.admin"
}

  3. Verwenden Sie die Methode setIamPolicy, um die aktualisierte Richtlinie zu schreiben.

    Mit der Methode project.setIamPolicy können Sie beispielsweise eine Richtlinie auf Projektebene festlegen. Im Anfragetext geben Sie die aktualisierte IAM-Richtlinie aus dem vorherigen Schritt an.

    POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy

    Ersetzen Sie dabei PROJECT_ID durch die Projekt-ID.

Rolle für einen Datenpool gewähren

So weisen Sie die Rolle für einen Datenpool zu:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Analytics-Hub auf.

    Zum Analytics Hub

  2. Klicken Sie auf den Namen des Datenpools, für den Sie Berechtigungen festlegen möchten.

  3. Klicken Sie auf Berechtigungen festlegen.

  4. Klicken Sie zum Hinzufügen von Hauptkonten auf Hauptkonto hinzufügen.

  5. Fügen Sie im Feld Neue Hauptkonten die E-Mail-Adressen hinzu, für die Sie den Zugriff gewähren möchten.

  6. Halten Sie unter Rolle auswählen den Mauszeiger auf Analytics Hub und wählen Sie dann eine der folgenden IAM-Rollen (Identity and Access Management) aus:

    • Analytics Hub-Administrator
    • Analytics Hub-Publisher
    • Administrator von Analytics Hub-Einträgen
    • Analytics Hub-Abonnent
    • Analytics Hub-Betrachter

  7. Klicken Sie auf Speichern.

API

  1. Lesen Sie die vorhandene Richtlinie mit der Eintragsmethode getIamPolicy. Verwenden Sie dazu die Methode projects.locations.dataExchanges.getIamPolicy:

    POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID:getIamPolicy

    Dabei gilt:

    • PROJECT_ID: die Projekt-ID, z. B. my-project-1.
    • LOCATION: der Standort für Ihren Datenpool.
    • DATAEXCHANGE_ID: die Datenpool-ID.

    Analytics Hub gibt die aktuelle Richtlinie zurück.

  2. Bearbeiten Sie die Richtlinie mit einem Texteditor, um Mitglieder und ihre zugehörigen IAM-Rollen (Identity and Access Management) hinzuzufügen oder zu entfernen. Verwenden Sie das folgende Format, um Mitglieder hinzuzufügen:

    • user:test-user@gmail.com
    • group:admins@example.com
    • serviceAccount:test123@example.domain.com
    • domain:example.domain.com

    Fügen Sie der Richtlinie beispielsweise die folgende Bindung hinzu, um group:subscribers@example.com die Rolle roles/analyticshub.subscriber zuzuweisen:

    {
 "members": [
   "group:subscribers@example.com"
 ],
 "role":"roles/analyticshub.subscriber"
}

  3. Verwenden Sie die Methode projects.locations.dataExchanges.setIamPolicy, um die aktualisierte Richtlinie zu schreiben. Geben Sie im Anfragetext die aktualisierte IAM-Richtlinie aus dem vorherigen Schritt an.

    POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID:setIamPolicy

    Geben Sie im Anfragetext die Eintragsdetails an. Wenn die Anfrage erfolgreich ist, enthält der Antworttext Details zum Eintrag.

Sie können Rollen für einen Datenpool über dasselbe IAM-Steuerfeld löschen und aktualisieren, wie in den vorherigen Schritten erläutert.

Rolle für einen Eintrag gewähren

So weisen Sie die Rolle für einen Eintrag zu:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Analytics-Hub auf.

    Zum Analytics Hub

  2. Klicken Sie auf den Namen des Datenaustauschs, der den Eintrag enthält.

  3. Klicken Sie auf den Eintrag, für den Sie Nutzer hinzufügen möchten.

  4. Klicken Sie auf Berechtigungen festlegen.

  5. Klicken Sie zum Hinzufügen von Hauptkonten auf Hauptkonto hinzufügen.

  6. Fügen Sie im Feld Neue Hauptkonten die E-Mail-Adressen der Identität hinzu, auf die Sie Zugriff gewähren möchten.

  7. Halten Sie unter Rolle auswählen den Mauszeiger auf Analytics Hub und wählen Sie eine der folgenden Rollen aus:

    • Analytics Hub-Administrator
    • Analytics Hub-Publisher
    • Administrator von Analytics Hub-Einträgen
    • Analytics Hub-Abonnent
    • Analytics Hub-Betrachter

  8. Klicken Sie auf Speichern.

API

  1. Lesen Sie die vorhandene Richtlinie mit der Eintragsmethode getIamPolicy. Verwenden Sie dazu die Methode projects.locations.dataExchanges.listings.getIamPolicy:

    POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID/listings/LISTING_ID:getIamPolicy

    Dabei gilt:

    • PROJECT_ID: die Projekt-ID, z. B. my-project-1.
    • LOCATION: der Standort des Datenpools, der den Eintrag enthält.
    • DATAEXCHANGE_ID: die Datenpool-ID.
    • LISTING_ID: die ID der Liste.

    Analytics Hub gibt die aktuelle Richtlinie zurück.

  2. Bearbeiten Sie die Richtlinie mit einem Texteditor, um Mitglieder und ihre zugehörigen IAM-Rollen (Identity and Access Management) hinzuzufügen oder zu entfernen. Verwenden Sie das folgende Format, um Mitglieder hinzuzufügen:

    • user:test-user@gmail.com
    • group:admins@example.com
    • serviceAccount:test123@example.domain.com
    • domain:example.domain.com

    Fügen Sie der Richtlinie beispielsweise die folgende Bindung hinzu, um group:publishers@example.com die Rolle roles/analyticshub.publisher zuzuweisen:

    {
 "members": [
   "group:publishers@example.com"
 ],
 "role":"roles/analyticshub.publisher"
}

  3. Verwenden Sie die Methode projects.locations.dataExchanges.listings.setIamPolicy, um die aktualisierte Richtlinie zu schreiben. Geben Sie im Anfragetext die aktualisierte IAM-Richtlinie aus dem vorherigen Schritt an.

    POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID/listings/LISTING-ID:setIamPolicy

    Geben Sie im Anfragetext die Eintragsdetails an. Wenn die Anfrage erfolgreich ist, enthält der Antworttext Details zum Eintrag.

Sie können Rollen für einen Eintrag über dasselbe IAM-Steuerfeld löschen und aktualisieren, wie in den vorherigen Schritten erläutert.

Nächste Schritte