In diesem Dokument werden IAM-Rollen (Identity and Access Management) beschrieben, mit denen Sie Sie können mit Data Catalog in Google Cloud suchen und sie taggen. Ressourcen.
IAM-Terminologie
- Berechtigungen
- Wird zur Laufzeit geprüft, damit Sie einen Vorgang ausführen oder auf eine Google Cloud-Ressource zugreifen können. Sie erhalten zwar nicht direkt Berechtigungen, erhalten stattdessen Rollen mit Berechtigungen.
- Rollen Eine
- Rolle ist eine vordefinierte Sammlung von Berechtigungen. Benutzerdefinierte Rollen, die aus einer benutzerdefinierten Sammlung von Berechtigungen bestehen, sind ebenfalls zulässig.
Data Catalog-Rollen ansehen
Führen Sie in der Google Cloud Console die folgenden Schritte aus:
Öffnen Sie die Seite IAM & Admin > Rollen.
Wählen Sie im Feld Filter die Option Verwendet in aus, geben Sie
Data CatalogoderData Lineageein und drücken Sie die Eingabetaste.Klicken Sie auf eine Rolle, um die Berechtigungen der Rolle im rechten Bereich anzuzeigen.
Beispielsweise hat die Rolle „Data Catalog-Administrator“ vollständigen Zugriff auf alle Data Catalog-Ressourcen.
Vordefinierte Data Catalog-Rollen
Zu den vordefinierten Data Catalog-Rollen gehören „Data Catalog-Administrator“, „Data Catalog-Betrachter“ und „Data Catalog-Tag-Vorlagen-Ersteller“. Einige dieser Rollen werden in den folgenden Abschnitten beschrieben.
Eine Liste und Beschreibung der vordefinierten Data Catalog-Rollen und der Berechtigungen für die einzelnen Rollen finden Sie unter Data Catalog-Rollen.
Rolle „Data Catalog-Administrator“
Die Rolle roles/datacatalog.admin hat Zugriff auf alle Data Catalog-Ressourcen. Ein Data Catalog-Administrator kann einem Data Catalog-Projekt verschiedene Nutzertypen hinzufügen.
Rolle „Data Steward“ im Data Catalog
Mit der Rolle roles/datacatalog.dataSteward können Sie Elemente hinzufügen, bearbeiten oder
die Data Stewards und die RTF-Übersicht für Dateneinträge wie
BigQuery-Tabelle.
Data Catalog Betrachter-Rolle
Um den Zugriff auf Google Cloud-Ressourcen zu vereinfachen, bietet Data Catalog die Rolle roles/datacatalog.viewer mit Berechtigung zum Lesen von Metadaten für alle katalogisierten Google Cloud-Ressourcen.
Diese Rolle gewährt auch die Berechtigung zum Anzeigen von Data Catalog-Tag-Vorlagen und -Tags.
Weisen Sie Ihrem Projekt die Rolle „Data Catalog-Betrachter“ zum Ansehen von Google Cloud zu in Data Catalog.
Data Catalog Tag-Vorlagen- Ersteller-Rolle
Mit der roles/datacatalog.tagTemplateCreator-Rolle können Sie Tag-Vorlagen erstellen.
Rolle „Data Catalog Search Admin“
Mit der Rolle roles/datacatalog.searchAdmin können Sie über die Suche
alle katalogisierten Google Cloud-Ressourcen innerhalb eines Projekts oder einer Organisation.
Rolle „Data Catalog Migration Config Admin“
Mit der Rolle roles/datacatalog.migrationConfigAdmin können Sie die Konfiguration für die Migration von Ressourcen aus Data Catalog zu Dataplex Catalog festlegen und abrufen.
Vordefinierte Rollen für die Datenabfolge
Wenn Sie auf die Herkunft eines Data Catalog-Eintrags zugreifen möchten, benötigen Sie Zugriff auf den Eintrag im Data Catalog. So greifen Sie auf die
Data Catalog-Eintrag handelt, benötigen Sie eine Viewer-Rolle für den entsprechenden
Systemressource oder
Data Catalog-Betrachter
(roles/datacatalog.viewer) für das Projekt, in dem die
Data Catalog-Eintrag. In diesem Abschnitt werden die Rollen beschrieben, die für
sehen Sie sich die Herkunft an.
Rolle „Abstammungsanzeige“
Data Lineage-Betrachter
Mit der Rolle (roles/datalineage.viewer) können Sie Dataplex ansehen
Lineage in der Google Cloud Console und lesen Sie Lineage-Informationen mit
die Data Lineage API. Die
ausgeführt werden. Die Ereignisse für einen bestimmten Prozess werden alle im selben Projekt wie der
. Bei der automatischen Herkunft:
Prozess, Ausführungen und Ereignisse
werden in dem Projekt gespeichert, in dem der Job, der die Herkunft generiert hat,
ausgeführt wird. Dies könnte z. B. das Projekt sein, in dem ein BigQuery-Job
ausgeführt wird.
Sie benötigen verschiedene Rollen, um die Herkunft zwischen Assets und Metadaten anzusehen
der Assets. Für Ersteres benötigen Sie die Rolle Data Lineage-Betrachter (roles/datalineage.viewer). Für Letzteres benötigen Sie dieselben Rollen wie für den Zugriff auf Metadateneinträge im Data Catalog. In den folgenden beiden Unterabschnitten finden Sie weitere Informationen.
Rollen zum Ansehen der Herkunft zwischen zwei Assets
Wenn Sie die Herkunft zwischen Assets sehen möchten, benötigen Sie die Rolle Data Lineage-Betrachter (roles/datalineage.viewer) für die folgenden Projekte:
- Das Projekt, in dem Sie die Abfolge aufrufen (aktives Projekt), also das Projekt im Drop-down-Menü oben in der Google Cloud Console oder das Projekt, von dem aus API-Aufrufe erfolgen. Dies wäre normalerweise der Data Catalog-Ressourcenprojekt
- Die Projekte, in denen die Abfolge aufgezeichnet wird (Compute-Projekt). Die Abfolge wird wie oben beschrieben im Projekt gespeichert, in dem der entsprechende Prozess ausgeführt wurde. Dieses Projekt kann sich von dem Projekt unterscheiden, in dem das Asset gespeichert ist, für das Sie die Herkunft ansehen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten. Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Weisen Sie je nach Anwendungsfall die Rolle Datenabstammungslinie – Betrachter (roles/datalineage.viewer) auf Ordner- oder Organisationsebene zu, um Zugriff auf die Abstammungslinie zu gewähren (siehe Einzelne Rolle zuweisen oder widerrufen).
Rollen, die für die Datenabfolge erforderlich sind, können nur über die Google Cloud CLI gewährt werden.
Rollen, mit denen sich Asset-Metadaten in der Abfolge ansehen lassen
Wenn Metadaten zu einem Asset in Data Catalog gespeichert werden,
Diese Metadaten aufrufen, wenn Sie eine Betrachterrolle für die entsprechende Systemressource haben
oder Data Catalog-Betrachter (roles/datacatalog.viewer)
für das Projekt, in dem der Data Catalog-Eintrag gespeichert ist. Ich
haben möglicherweise Zugriff auf Assets in der Herkunftsgrafik oder auf
Viewer-Rollen, aber keinen Zugriff
auf die Herkunft zwischen ihnen. Dies ist der Fall, wenn
Sie haben nicht die Rolle Data Lineage-Betrachter (roles/datalineage.viewer)
in dem die Lineage aufgezeichnet wurde. In diesem Fall zeigen die Data Lineage API und die Google Cloud Console weder die Datenabfolge noch einen Fehler an, um zu verhindern, dass Informationen zur Existenz der Datenabfolge weitergegeben werden. Das Fehlen der Herkunft für ein Asset bedeutet also nicht, dass es
keine Herkunft für dieses Asset hat, aber möglicherweise keinen Zugriff darauf haben.
Rolle „Data Lineage-Ereignis-Ersteller“
Mit der Rolle roles/datalineage.producer können Nutzer die Herkunft manuell aufzeichnen
mithilfe der Data Lineage API.
Rolle „Data Lineage-Bearbeiter“
Mit der Rolle roles/datalineage.editor können Nutzer die Herkunft manuell ändern
mithilfe der Data Lineage API.
Rolle „Data Lineage Administrator“
Mit der Rolle roles/datalineage.admin können Nutzer alle Herkunftsvorgänge ausführen
die in diesem Abschnitt aufgeführt sind.
Rollen zum Ansehen öffentlicher und privater Tags
Sie können mit der einfachen Suche nach öffentlichen Tags suchen. Sie können einen Dateneintrag aufrufen, einschließlich der zugehörigen öffentlichen Tags, sofern Sie die erforderlichen Berechtigungen der Dateneingabe. Für die Tag-Vorlage sind keine zusätzlichen Berechtigungen erforderlich. Für Erforderliche Berechtigungen zum Anzeigen des Dateneintrags finden Sie in der Tabelle in diesem Abschnitt.
Wir empfehlen jedoch, auch die datacatalog.tagTemplates.get
-Berechtigung für Nutzer, die nach diesen öffentlichen Tags suchen sollen. Mit dieser Berechtigung können Nutzer auch das Suchprädikat tag: oder die Suchfacette „Tag-Vorlage“ auf der Suchseite des Data Catalog verwenden.
Für private Tags benötigen Sie Leseberechtigungen für die Tag-Vorlage und das um nach dem Tag zu suchen und es auf der Detailseite des Eintrags zu sehen. Nutzer müssen das Suchprädikat tag: oder die Suchfacette für Tag-Vorlagen verwenden, um die Tags zu finden. Die einfache Suche nach privaten Tags wird nicht unterstützt.
Hinweise:
Die für die private Tag-Vorlage erforderliche Leseberechtigung ist
datacatalog.tagTemplates.getTagDie Berechtigung zum Anzeigen des Dateneintrags für öffentliche und private Tags ist in der folgenden Tabelle enthalten.
| Ressource | Permission | Rolle |
|---|---|---|
| BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/datacatalog.tagTemplateViewerroles/bigquery.metadataViewerroles/bigquery.connectionUser |
| Pub/Sub-Themen | pubsub.topics.get |
roles/datacatalog.tagTemplateViewerroles/pubsub.viewer |
| Spanner-Instanzen, ‑Datenbanken, ‑Tabellen und ‑Ansichten | Instance: spanner.instances.getDatabase:spanner.databases.getTable: spanner.databases.getViews: spanner.databases.getdatacatalog.tagTemplates.getTag |
Es sind keine vordefinierten Rollen verfügbar. |
| Bigtable-Instanzen und ‑Tabellen | bigtable.instances.getbigtable.tables.getdatacatalog.tagTemplates.getTag |
roles/datacatalog.tagTemplateViewerroles/bigtable.viewer |
| Dataproc Metastore-Dienste, -Datenbanken und -Tabellen | metastore.tables.getmetastore.databases.getmetastore.services.get |
roles/datacatalog.tagTemplateViewerroles/metastore.metadataViewer |
| Benutzerdefinierte Einträge | datacatalog.entries.get |
Es sind keine vordefinierten Rollen verfügbar. |
Rollen für die Suche in Google Cloud-Ressourcen
Vor der Suche nach oder Anzeige von Google Cloud-Ressourcen überprüft Data Catalog, ob Ihnen eine IAM-Rolle mit den von BigQuery, Pub/Sub, Dataproc Metastore oder einem anderen Quellsystem für den Zugriff auf die Ressourcen erforderlichen Metadaten-Leseberechtigungen gewährt wurde.
Beispiel:Data Catalog-Prüfungen, die Ihnen gewährt wurden
eine Rolle mit bigquery.tables.get permission zugewiesen, bevor
Metadaten der BigQuery-Tabelle.
In der folgenden Tabelle sind die Berechtigungen und die zugehörigen Rollen aufgeführt, die für Data Catalog verwenden, um die aufgeführte Google Cloud zu durchsuchen Ressourcen.
| Ressource | Permission | Rolle |
|---|---|---|
| BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/bigquery.metadataViewerroles/bigquery.connectionUserSiehe auch die Rolle Data Catalog-Betrachter |
| Pub/Sub-Themen | pubsub.topics.get |
roles/pubsub.viewerSiehe auch Rolle „Data Catalog-Betrachter“ |
| Spanner-Datenbanken und -Tabellen | Instanz: spanner.instances.getDatenbank: spanner.databases.getAnsichten: spanner.databases.get |
Es sind keine vordefinierten Rollen verfügbar. |
| Bigtable-Instanzen und ‑Tabellen | bigtable.instances.getbigtable.tables.get |
roles/bigtable.viewerSiehe auch Rolle „Data Catalog-Betrachter“ |
| Dataplex-Lakes, Zonen, Tabellen und Dateisätze | dataplex.lakes.getdataplex.zones.get dataplex.entities.getdataplex.entities.get |
Es sind keine vordefinierten Rollen verfügbar. |
| Dataproc Metastore-Dienste, -Datenbanken und -Tabellen | metastore.tables.getmetastore.databases.get metastore.services.get |
roles/metastore.metadataViewer |
Rollen zum Anhängen von Tags an Google Cloud-Ressourcen
Wenn Sie öffentliche und private Tags an Google Cloud-Ressourcen anhängen möchten, benötigen Sie dieselben Berechtigungen.
Mit Data Catalog können Nutzer Metadaten an Google Cloud-Ressourcen erweitern, indem sie Tags anhängen. Ein oder mehrere Tags, die an eine Ressource angehängt werden können, sind in einer Tag-Vorlage definiert.
Wenn ein Nutzer versucht, mit der Tag-Vorlage ein Tag an eine Google Cloud-Ressource anzuhängen, prüft Data Catalog, ob Sie die erforderlichen Berechtigungen zur Verwendung der Tag-Vorlage und zum Aktualisieren der Ressourcenmetadaten haben. Berechtigungen werden über IAM-Rollen gewährt, wie im Folgenden gezeigt. .
In der folgenden Tabelle sind die Berechtigungen und die zugehörigen Rollen aufgeführt, die für Nutzer soll Data Catalog verwenden, um öffentliche und private Tags anzuhängen zu aufgeführten Google Cloud-Ressourcen.
In jeder Zeile der folgenden Tabelle sind die Berechtigungen aufgeführt, die zum Taggen von Ressourcen erforderlich sind. Durch die entsprechenden Rollen können zusätzliche Berechtigungen erteilt werden. Klicken Sie auf die einzelnen Rollen, um alle damit verknüpften Berechtigungen anzuzeigen.
Hinweise:
Der Inhaber eines Dateneintrags hat standardmäßig die Berechtigung
datacatalog.entries.updateTag. Allen anderen Nutzern muss die Rolle datacatalog.tagEditor zugewiesen sein.Die Berechtigung
datacatalog.tagTemplates.useist auch für alle in der Tabelle aufgeführten Ressourcen erforderlich.
| Ressource | Permissions | Rolle |
|---|---|---|
| BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen |
bigquery.datasets.updateTagbigquery.tables.updateTagbigquery.models.updateTagbigquery.routines.updateTagbigquery.connections.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigquery.dataEditor |
| Pub/Sub-Themen | pubsub.topics.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/pubsub.editor |
| Spanner-Datenbanken und -Tabellen. | Instanz: spanner.instances.UpdateTagDatenbank: spanner.databases.UpdateTagTabelle: spanner.databases.UpdateTagAnsichten: spanner.databases.UpdateTag |
Es sind keine vordefinierten Rollen verfügbar. |
| Bigtable-Instanzen und -Tabellen | bigtable.instances.updatebigtable.tables.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigtable.admin |
| Dataplex-Lakes, Zonen, Tabellen und Dateisätze | dataplex.lakes.updatedataplex.zones.update dataplex.entities.updatedataplex.entities.update |
Es sind keine vordefinierten Rollen verfügbar. |
| Dataproc Metastore-Dienste, -Datenbanken und -Tabellen | metastore.tables.updatemetastore.databases.update metastore.services.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/metastore.editorroles/metastore.metadataEditor |
Benutzerdefinierte Rollen für Google Cloud-Ressourcen
Vordefinierte Bearbeiterrollen für Dateneinträge aus anderen Google Cloud-Systemen
bietet möglicherweise einen umfassenderen Schreibzugriff als erforderlich. Verwenden Sie
benutzerdefinierten Rollen,
*.updateTag-Berechtigungen nur für eine Google Cloud-Ressource.
Rollen zum Ändern der Übersicht mit Rich Text und Datenstewards im Data Catalog
Nutzer benötigen die folgenden Rollen, um eine Übersicht in Rich Text anzuhängen und Einträgen im Data Catalog Datenbetreuer zuzuweisen:
| Ressource | Permissions | Rolle |
|---|---|---|
| Google Cloud-Projekte | datacatalog.entries.updateOverview datacatalog.entries.updateContacts |
roles/datacatalog.dataSteward |
Rollen zum Ändern der Migrationskonfiguration in Data Catalog
Nutzer benötigen die folgenden Rollen, um die Konfiguration im Zusammenhang mit der Migration von Data Catalog zu Dataplex festzulegen und abzurufen:
| Ressource | Permissions | Rolle |
|---|---|---|
| Google Cloud-Projekte und ‑Organisationen | datacatalog.migrationConfig.set datacatalog.migrationConfig.get |
roles/datacatalog.migrationConfigAdmin |
Identitätsföderierung in Data Catalog
Mit der Identitätsföderation können Sie einen externen Identitätsanbieter (Identity Provider, IdP) verwenden, um Authentifizieren und autorisieren Sie Nutzer für Google Cloud-Dienste mit IAM
Der Data Catalog unterstützt die Identity-Föderation mit den folgenden Einschränkungen:
- Die Methoden SearchCatalog und StarEntry der Data Catalog API unterstützen nur die Mitarbeiteridentitätsföderation und sind nicht für die Workload Identity-Föderation verfügbar.
- Dataplex unterstützt die Google Cloud Console für Nutzer der Identitätsföderation nicht
Weitere Informationen
- Dataplex-Rollen
- Data Catalog-Rollen
- BigQuery-Zugriffssteuerung
- Pub/Sub-Zugriffssteuerung
- Dataproc Metastore-Zugriffssteuerung