Configurer les rôles Analytics Hub

Ce document décrit les rôles utilisateur Analytics Hub et explique comment les attribuer aux utilisateurs. Pour en savoir plus, consultez la section Rôles Analytics Hub.

Rôles utilisateur Analytics Hub

Les sections suivantes décrivent les rôles Analytics Hub prédéfinis. Vous pouvez attribuer ces rôles aux utilisateurs afin qu'ils puissent effectuer diverses tâches sur vos échanges de données et vos fiches.

Rôle d'administrateur Analytics Hub

Pour gérer les échanges de données, Analytics Hub fournit le rôle d'administrateur Analytics Hub (roles/analyticshub.admin) que vous pouvez accorder pour un projet ou pour un échange de données. Ce rôle permet aux utilisateurs d'effectuer les tâches suivantes :

Créer, mettre à jour et supprimer des échanges de données.
Créer, mettre à jour, supprimer et partager des fiches.
Gérer les administrateurs Analytics Hub, les administrateurs, éditeurs, abonnés et lecteurs de fiches.

Les utilisateurs dotés de ce rôle sont appelés administrateurs.

Rôles d'éditeur et d'administrateur de fiches Analytics Hub

Pour gérer les fiches, Analytics Hub fournit les rôles prédéfinis suivants que vous pouvez attribuer pour un projet, un échange de données ou une fiche :

Le rôle d'éditeur Analytics Hub (roles/analyticshub.publisher), qui permet aux utilisateurs d'effectuer les tâches suivantes :
- Créer, mettre à jour et supprimer des fiches.
- Définir des stratégies IAM sur les fiches.
Les utilisateurs dotés de ce rôle sont appelés éditeurs.
Le rôle d'administrateur de fiches Analytics Hub (roles/analyticshub.listingAdmin), qui permet aux utilisateurs d'effectuer les tâches suivantes :
- Mettre à jour et supprimer des fiches.
- Définir des stratégies IAM sur les fiches.

Rôles d'abonné et de lecteur Analytics Hub

Pour afficher des fiches et vous y abonner, Analytics Hub fournit les rôles prédéfinis suivants que vous pouvez attribuer pour un projet, un échange de données ou une fiche :

Le rôle d'abonné Analytics Hub (roles/analyticshub.subscriber), qui permet aux utilisateurs d'afficher des fiches et de s'y abonner.

Les utilisateurs dotés de ce rôle sont appelés abonnés.
Le rôle de lecteur Analytics Hub (roles/analyticshub.viewer), qui permet aux utilisateurs d'afficher les fiches et les autorisations des échanges de données.

Les utilisateurs dotés de ce rôle sont appelés lecteurs.

Rôles de propriétaire de l'abonnement Analytics Hub

Pour gérer les abonnements, Analytics Hub fournit le rôle prédéfini suivant que vous pouvez attribuer au niveau du projet :

Le rôle "Propriétaire de l'abonnement Analytics Hub" (roles/analyticshub.subscriptionOwner), qui permet aux utilisateurs de gérer leurs abonnements.

Attribuer des rôles Analytics Hub

Selon vos besoins, vous pouvez attribuer les rôles Analytics Hub aux niveaux suivants de la hiérarchie des ressources :

Projet. Si vous accordez aux utilisateurs un rôle pour un projet, ce rôle est appliqué à tous les échanges de données et fiches que le projet contient.
Échange de données. Si vous accordez aux utilisateurs un rôle pour un échange de données, ce rôle est appliqué à toutes les fiches que l'échange de données contient.
Fiche. Si vous attribuez aux utilisateurs un rôle pour une fiche, ce rôle ne s'applique qu'à cette fiche spécifique.

Attribuer le rôle pour un projet

Si vous souhaitez définir des stratégies IAM sur un projet, vous devez disposer du rôle roles/resourcemanager.projectIamAdmin sur ce projet. Pour attribuer les rôles utilisateur Analytics Hub prédéfinis pour un projet, procédez comme suit :

Console

Accédez à IAM pour le projet.

Accéder à IAM
Cliquez sur Ajouter.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail de l'identité à laquelle vous souhaitez accorder l'accès. Exemple :
- Adresse e-mail du compte Google : test-user@gmail.com
- Groupe Google : admins@googlegroups.com
- Compte de service : server@example.gserviceaccount.com
- Domaine Google Workspace : example.com
Dans la liste Rôle, maintenez le pointeur sur Analytics Hub et sélectionnez l'un des rôles suivants :
- Administrateur Analytics Hub
- Éditeur Analytics Hub
- Administrateur de listes Analytics Hub
- Abonné Analytics Hub
- Lecteur Analytics Hub
Facultatif : Pour contrôler davantage l'accès des utilisateurs aux ressources Google Cloud, ajoutez une liaison de rôle conditionnelle.
Enregistrez les modifications.

Vous pouvez supprimer et mettre à jour les administrateurs d'un projet via ce panneau IAM détaillé dans les étapes précédentes.

gcloud

Pour attribuer des rôles au niveau d'un projet, utilisez la commande gcloud projects add-iam-policy-binding :

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member='PRINCIPAL' \
    --role='roles/analyticshub.admin'

Remplacez les éléments suivants :

PROJECT_ID : ID du projet, par exemple my-project-1
PRINCIPAL : identité valide à laquelle vous souhaitez accorder le rôle.

Exemple :
- Adresse e-mail du compte Google : user:user@gmail.com
- Groupe Google : group:admins@googlegroups.com
- Compte de service : serviceAccount:server@example.gserviceaccount.com
- Domaine Google Workspace : domain:example.com

API

Lisez la stratégie existante à l'aide de la méthode getIamPolicy de la ressource. Pour les projets, utilisez la méthode projects.getIamPolicy.
```
POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy
```
Remplacez PROJECT_ID par l'ID du projet, par exemple my-project-1.
Pour ajouter des comptes principaux et les rôles qui leur sont associés, modifiez la stratégie à l'aide d'un éditeur de texte. Utilisez le format suivant pour ajouter des membres :
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
Par exemple, pour accorder le rôle roles/analyticshub.admin à group:admins@example.com, ajoutez la liaison suivante à la stratégie :
```
{
 "members": [
   "group:admins@example.com"
 ],
 "role":"roles/analyticshub.admin"
}
```
Écrivez la stratégie mise à jour à l'aide de la méthode setIamPolicy.

Par exemple, pour définir une stratégie au niveau du projet, utilisez la méthode project.setIamPolicy. Dans le corps de la requête, indiquez la stratégie IAM mise à jour de l'étape précédente.
```
POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy
```
Remplacez PROJECT_ID par l'ID du projet.

Attribuer le rôle pour un échange de données

Pour attribuer le rôle pour un échange de données, procédez comme suit :

Console

Dans la console Google Cloud, accédez à la page Analytics Hub.

Accéder à Analytics Hub
Cliquez sur le nom de l'échange de données pour lequel vous souhaitez définir des autorisations.
Cliquez sur Définir les autorisations.
Pour ajouter des comptes principaux, cliquez sur Ajouter un compte principal.
Dans le champ Nouveaux comptes principaux, ajoutez les adresses e-mail auxquelles vous souhaitez accorder l'accès.
Pour Sélectionner un rôle, maintenez le pointeur sur Analytics Hub, puis sélectionnez l'un des rôles IAM (Identity and Access Management) suivants :
- Administrateur Analytics Hub
- Éditeur Analytics Hub
- Administrateur de listes Analytics Hub
- Abonné Analytics Hub
- Lecteur Analytics Hub
Cliquez sur Enregistrer.

API

Consultez la stratégie existante à l'aide de la méthode projects.locations.dataExchanges.getIamPolicy, qui exploite la méthode de création de liste getIamPolicy :
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID:getIamPolicy
```
Remplacez les éléments suivants :
- PROJECT_ID : ID du projet, par exemple my-project-1
- LOCATION : emplacement de votre échange de données
- DATAEXCHANGE_ID : ID de l'échange de données
Analytics Hub affiche la stratégie actuelle.
Pour ajouter ou supprimer des membres et les rôles IAM qui leur sont associés, modifiez la stratégie à l'aide d'un éditeur de texte. Utilisez le format suivant pour ajouter des membres :
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
Par exemple, pour accorder le rôle roles/analyticshub.subscriber à group:subscribers@example.com, ajoutez la liaison suivante à la stratégie :
```
{
 "members": [
   "group:subscribers@example.com"
 ],
 "role":"roles/analyticshub.subscriber"
}
```
Écrivez la stratégie mise à jour à l'aide de la méthode projects.locations.dataExchanges.setIamPolicy. Dans le corps de la requête, indiquez la stratégie IAM mise à jour de l'étape précédente.
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID:setIamPolicy
```
Dans le corps de la requête, indiquez les informations détaillées relatives à la liste demandée. Si la requête aboutit, le corps de la réponse contient le détail de la liste.

Vous pouvez supprimer et mettre à jour des rôles pour un échange de données via ce panneau IAM détaillé dans les étapes précédentes.

Attribuer le rôle pour une fiche

Pour attribuer le rôle pour une fiche, procédez comme suit :

Console

Dans la console Google Cloud, accédez à la page Analytics Hub.

Accéder à Analytics Hub
Cliquez sur le nom de l'échange de données contenant la fiche.
Cliquez sur la fiche pour laquelle vous souhaitez ajouter des utilisateurs.
Cliquez sur Définir les autorisations.
Pour ajouter des comptes principaux, cliquez sur Ajouter un compte principal.
Dans le champ Nouveaux comptes principaux, ajoutez les adresses e-mail des identités auxquelles vous souhaitez accorder l'accès.
Pour Sélectionner un rôle, maintenez le pointeur sur Analytics Hub, puis sélectionnez l'un des rôles suivants :
- Administrateur Analytics Hub
- Éditeur Analytics Hub
- Administrateur de listes Analytics Hub
- Abonné Analytics Hub
- Lecteur Analytics Hub
Cliquez sur Enregistrer.

API

Consultez la stratégie existante à l'aide de la méthode projects.locations.dataExchanges.listings.getIamPolicy, qui exploite la méthode de création de liste getIamPolicy :
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID/listings/LISTING_ID:getIamPolicy
```
Remplacez les éléments suivants :
- PROJECT_ID : ID du projet, par exemple my-project-1
- LOCATION : emplacement de l'échange de données contenant la liste
- DATAEXCHANGE_ID : ID de l'échange de données
- LISTING_ID : ID de la liste.
Analytics Hub affiche la stratégie actuelle.
Pour ajouter ou supprimer des membres et les rôles IAM qui leur sont associés, modifiez la stratégie à l'aide d'un éditeur de texte. Utilisez le format suivant pour ajouter des membres :
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
Par exemple, pour accorder le rôle roles/analyticshub.publisher à group:publishers@example.com, ajoutez la liaison suivante à la stratégie :
```
{
 "members": [
   "group:publishers@example.com"
 ],
 "role":"roles/analyticshub.publisher"
}
```
Écrivez la stratégie mise à jour à l'aide de la méthode projects.locations.dataExchanges.listings.setIamPolicy. Dans le corps de la requête, indiquez la stratégie IAM mise à jour de l'étape précédente.
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID/listings/LISTING-ID:setIamPolicy
```
Dans le corps de la requête, indiquez les informations détaillées relatives à la liste demandée. Si la requête aboutit, le corps de la réponse contient le détail de la liste.

Vous pouvez supprimer et mettre à jour des rôles pour une fiche via ce panneau IAM détaillé dans les étapes précédentes.

Étape suivante

Apprenez-en davantage sur IAM.
Découvrez les rôles IAM de BigQuery.
Consultez la liste des rôles IAM Analytics Hub.
Apprenez-en davantage sur Analytics Hub.
Découvrez comment gérer les échanges de données.
Découvrez comment gérer les fiches.
Découvrez comment afficher les fiches et s'y abonner.
Découvrez les journaux d'audit d'Analytics Hub.