In diesem Dokument werden IAM-Rollen (Identity and Access Management) beschrieben, mit denen Sie Nutzer können Data Catalog verwenden, um Google Cloud zu suchen und zu taggen Ressourcen.
IAM-Terminologie
- Berechtigungen
- Wird zur Laufzeit aktiviert, damit Nutzer einen Vorgang oder Zugriff ausführen können eine Google Cloud-Ressource. Nutzer erhalten keine Berechtigungen direkt, sondern stattdessen Rollen, die Berechtigungen enthalten.
- Roles Eine
- Rolle ist eine vordefinierte Sammlung von Berechtigungen. Benutzerdefinierte Rollen bestehend aus einer benutzerdefinierten Sammlung von Berechtigungen sind ebenfalls zulässig.
Data Catalog-Rollen ansehen
Führen Sie in der Google Cloud Console die folgenden Schritte aus:
Öffnen Sie die Seite IAM & Admin > Rollen.
Wählen Sie im Feld Filter die Option Verwendet in aus, geben Sie
Data CatalogoderData Lineageein und drücken Sie die Eingabetaste.Klicken Sie auf eine Rolle, um die Berechtigungen der Rolle im rechten Bereich anzuzeigen.
Beispielsweise hat die Rolle „Data Catalog-Administrator“ vollständigen Zugriff auf alle Data Catalog-Ressourcen.
Vordefinierte Data Catalog-Rollen
Einige vordefinierte Data Catalog-Rollen enthalten den Data Catalog Administrator, Data Catalog-Betrachter und Data Catalog-Tag-Vorlagenersteller. Einige davon werden in den folgenden Abschnitten beschrieben.
Eine Liste und Beschreibung der vordefinierten Data Catalog-Rollen und der mit jeder Rolle verknüpften Berechtigungen finden Sie unter Data Catalog-Rollen.
Rolle „Data Catalog-Administrator“
Die Rolle roles/datacatalog.admin hat Zugriff auf alle
Data Catalog-Ressourcen. Ein Data Catalog-Administrator kann
Verschiedene Typen von Nutzern zu einem Data Catalog-Projekt hinzufügen
Rolle des DataCatalog-Datenverwalters
Mit der Rolle roles/datacatalog.dataSteward können Sie Elemente hinzufügen, bearbeiten oder
die Data Stewards und die RTF-Übersicht für Dateneinträge wie
BigQuery-Tabelle.
Data Catalog Betrachter-Rolle
Um den Zugriff auf Google Cloud-Ressourcen zu vereinfachen,
Data Catalog bietet die Rolle roles/datacatalog.viewer mit
Leseberechtigung für Metadaten für alle katalogisierten Google Cloud-Ressourcen.
Diese Rolle gewährt auch die Berechtigung zum Ansehen von Data Catalog-Tags Vorlagen und Tags.
Weisen Sie Ihrem Projekt die Rolle „Data Catalog-Betrachter“ zu, um Nutzern die Möglichkeit zu geben um Google Cloud-Ressourcen in Data Catalog anzusehen.
Data Catalog Tag-Vorlagen- Ersteller-Rolle
Mit der Rolle roles/datacatalog.tagTemplateCreator können Nutzer Tag-Vorlagen erstellen.
Rolle „DataCatalog Search Admin“
Mit der Rolle roles/datacatalog.searchAdmin können Nutzer über die Suche
alle katalogisierten Google Cloud-Ressourcen innerhalb eines Projekts oder einer Organisation.
Rolle „Administrator der DataCatalog-Migrationskonfiguration“
Mit der Rolle roles/datacatalog.migrationConfigAdmin können Nutzer festlegen und abrufen
Konfiguration für die Migration von Ressourcen von
Data Catalog zu Dataplex Catalog.
Vordefinierte Data-Lineage-Rollen
Für den Zugriff auf das Lineage-Diagramm eines Data Catalog-Eintrags benötigt der Nutzer
auf den Eintrag in Data Catalog zugreifen können. So greifen Sie auf die
Data Catalog-Eintrag: Der Nutzer benötigt eine Viewer-Rolle für den entsprechenden
Systemressource oder
Data Catalog-Betrachter
(roles/datacatalog.viewer) für das Projekt, in dem die
Data Catalog-Eintrag. In diesem Abschnitt werden die Rollen beschrieben, die für die
können Sie das Lineage-Diagramm
ansehen und bearbeiten.
Rolle „Lineage-Betrachter“
Data Lineage-Betrachter
Rolle (roles/datalineage.viewer) ermöglicht Nutzern, Dataplex anzusehen
Lineage-Diagramme in der Google Cloud Console und lesen die Lineage-Informationen mithilfe von
die Data Lineage API. Die
ausgeführt werden. Die Ereignisse für einen bestimmten Prozess werden alle im selben Projekt wie der
. Bei der automatischen Herkunft:
Prozess, Läufe und Ereignisse
werden in dem Projekt gespeichert, in dem der Job, der die Herkunft generiert hat,
ausgeführt wird. Dies könnte z. B. das Projekt sein, in dem ein BigQuery-Job
ausgeführt wird.
Sie benötigen verschiedene Rollen, um die Herkunft der Assets in der Grafik und die Metadaten der Assets in der Grafik anzusehen. Für die erste Variante benötigen Sie den Data Lineage Viewer (roles/datalineage.viewer). Für Letzteres benötigen Sie dieselben Rollen, die für den Zugriff auf Metadateneinträge in Data Catalog verwendet werden. In den folgenden beiden Unterabschnitten finden Sie weitere Informationen.
Rollen zum Ansehen der Herkunft zwischen zwei Assets
Zum Ansehen der Lineage zwischen Assets im Herkunftsdiagramm muss der Nutzer die Data Lineage-Ansicht (roles/datalineage.viewer) in den folgenden Projekten verwenden:
- Das Projekt, aus dem sich der Nutzer die Herkunft ansehen kann (als aktives Projekt bezeichnet). Dies ist das Projekt im Drop-down-Menü oben in der Google Cloud Console oder das Projekt, von dem API-Aufrufe ausgeführt werden. Dies ist normalerweise das Data Catalog-Ressourcenprojekt.
- Die Projekte, in denen die Herkunft aufgezeichnet wird (als Compute-Projekt bezeichnet). Die Herkunft wird wie oben beschrieben in dem Projekt gespeichert, in dem der entsprechende Prozess ausgeführt wurde. Dieses Projekt kann sich von dem Projekt unterscheiden, in dem das Asset gespeichert ist, für das sich der Nutzer die Lineage ansieht.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten. Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Je nach Anwendungsfall müssen Sie möglicherweise den Data Lineage Viewer (roles/datalineage.viewer) auf Ordner- oder Organisationsebene zuweisen,damit ein Nutzer garantiert auf das vollständige Herkunftsdiagramm zugreifen kann (siehe Einzelne Rolle zuweisen oder widerrufen). Für Data Lineage erforderliche Rollen können nur über die Google Cloud CLI gewährt werden.
Rollen zum Ansehen von Metadaten von Assets im Herkunftsdiagramm
Wenn Metadaten zu einem Asset im Diagramm in Data Catalog gespeichert sind, kann der Nutzer diese Metadaten nur ansehen, wenn er eine Betrachterrolle für die entsprechende Systemressource oder den Data Catalog-Betrachter (roles/datacatalog.viewer) für das Projekt hat, in dem der Data Catalog-Eintrag gespeichert ist.
Der Zugriff auf Metadaten von Assets im Diagramm ist unabhängig vom Zugriff auf die Herkunft. Es ist möglich, dass der Nutzer über entsprechende Betrachterrollen Zugriff auf Assets in der Grafik hat, aber nicht auf die Herkunft zwischen ihnen zugreifen kann. Das ist der Fall, wenn der Nutzer nicht den Data Lineage Viewer (roles/datalineage.viewer) für das Projekt hat, in dem die Lineage aufgezeichnet wurde. In diesem Fall zeigen die Data Lineage API und die Benutzeroberfläche die Lineage nicht an und geben keinen Fehler zurück, um zu verhindern, dass Informationen über die Herkunft der Herkunft offengelegt werden. Das Fehlen einer Lineage für ein Asset bedeutet also nicht, dass es für dieses Asset keine Lineage gibt. Der Nutzer hat möglicherweise keinen Zugriff auf diese Herkunft.
Rolle „Data Lineage Events Producer“
Mit der Rolle roles/datalineage.producer können Nutzer die Herkunft manuell aufzeichnen
mithilfe der Data Lineage API.
Rolle „Data Lineage-Bearbeiter“
Mit der Rolle roles/datalineage.editor können Nutzer die Herkunft manuell ändern
mithilfe der Data Lineage API.
Rolle „Data Lineage Administrator“
Mit der Rolle roles/datalineage.admin können Nutzer alle Herkunftsvorgänge ausführen
die in diesem Abschnitt aufgeführt sind.
Rollen zum Ansehen öffentlicher und privater Tags
Sie können mit der einfachen Suche nach öffentlichen Tags suchen. Sie können einen Dateneintrag aufrufen, einschließlich der zugehörigen öffentlichen Tags, sofern Sie die erforderlichen Berechtigungen zum Ansehen der Daten haben zu erstellen. Für die Tag-Vorlage sind keine zusätzlichen Berechtigungen erforderlich. Für Erforderliche Berechtigungen zum Anzeigen des Dateneintrags finden Sie in der Tabelle in diesem Abschnitt.
Wir empfehlen jedoch, auch die datacatalog.tagTemplates.get
-Berechtigung für die Nutzer, die nach diesen öffentlichen Tags suchen sollen. Dieses
Mit dieser Berechtigung können Nutzer auch das Suchprädikat tag: oder das Suchprädikat tag: oder das
Tag-Vorlagen-Suchattribut auf der Data Catalog-Suchseite.
Für private Tags benötigen Sie Leseberechtigungen für die Tag-Vorlage und das um nach dem Tag zu suchen und es auf der Detailseite des Eintrags zu sehen. Nutzer müssen das Suchprädikat tag: oder das Suchattribut der Tag-Vorlage verwenden um die Tags zu finden. Die einfache Suche nach privaten Tags wird nicht unterstützt.
Hinweise:
Die für die private Tag-Vorlage erforderliche Leseberechtigung ist
datacatalog.tagTemplates.getTagDie Berechtigung zum Anzeigen des Dateneintrags für öffentliche und private Tags ist in der folgenden Tabelle enthalten.
| Ressource | Permission | Rolle |
|---|---|---|
| BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/datacatalog.tagTemplateViewerroles/bigquery.metadataViewerroles/bigquery.connectionUser |
| Pub/Sub-Themen | pubsub.topics.get |
roles/datacatalog.tagTemplateViewerroles/pubsub.viewer |
| Spanner-Instanzen, -Datenbanken, -Tabellen und -Ansichten | Instance: spanner.instances.getDatabase:spanner.databases.getTable: spanner.databases.getViews: spanner.databases.getdatacatalog.tagTemplates.getTag |
Es sind keine vordefinierten Rollen verfügbar. |
| Bigtable-Instanzen und -Tabellen | bigtable.instances.getbigtable.tables.getdatacatalog.tagTemplates.getTag |
roles/datacatalog.tagTemplateViewerroles/bigtable.viewer |
| Dataproc Metastore-Dienste, -Datenbanken und -Tabellen | metastore.tables.getmetastore.databases.getmetastore.services.get |
roles/datacatalog.tagTemplateViewerroles/metastore.metadataViewer |
| Benutzerdefinierte Einträge | datacatalog.entries.get |
Es sind keine vordefinierten Rollen verfügbar. |
Rollen zum Suchen von Google Cloud-Ressourcen
Vor der Suche nach oder Anzeige von Google Cloud-Ressourcen überprüft Data Catalog, ob dem Nutzer eine IAM-Rolle mit den von BigQuery, Pub/Sub, Dataproc Metastore oder einem anderen Quellsystem für den Zugriff auf die Ressourcen erforderlichen Metadaten-Leseberechtigungen gewährt wurde.
Beispiel: Der Data Catalog überprüft, ob dem Nutzer eine Rolle mit bigquery.tables.get permission zugewiesen wurde, bevor BigQuery-Tabellenmetadaten angezeigt werden.
In der folgenden Tabelle sind die Berechtigungen und die zugehörigen Rollen aufgeführt, die ein Nutzer zum Data Catalog verwenden, um die aufgeführte Google Cloud zu durchsuchen Ressourcen.
| Ressource | Permission | Rolle |
|---|---|---|
| BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/bigquery.metadataViewerroles/bigquery.connectionUserSiehe auch die Rolle Data Catalog-Betrachter |
| Pub/Sub-Themen | pubsub.topics.get |
roles/pubsub.viewerSiehe auch Rolle „Data Catalog-Betrachter“ |
| Spanner-Datenbanken und -Tabellen | Instanz: spanner.instances.getDatenbank: spanner.databases.getAnsichten: spanner.databases.get |
Es sind keine vordefinierten Rollen verfügbar. |
| Bigtable-Instanzen und -Tabellen | bigtable.instances.getbigtable.tables.get |
roles/bigtable.viewerSiehe auch Rolle „Data Catalog-Betrachter“ |
| Dataplex-Lakes, Zonen, Tabellen und Dateisätze | dataplex.lakes.getdataplex.zones.get dataplex.entities.getdataplex.entities.get |
Es sind keine vordefinierten Rollen verfügbar. |
| Dataproc Metastore-Dienste, -Datenbanken und -Tabellen | metastore.tables.getmetastore.databases.get metastore.services.get |
roles/metastore.metadataViewer |
Rollen zum Anhängen von Tags an Google Cloud-Ressourcen
Wenn Sie öffentliche und private Tags an Google Cloud-Ressourcen anhängen möchten, benötigen Sie dieselben Berechtigungen.
Mit Data Catalog können Nutzer Metadaten in Google Cloud erweitern indem Sie Tags anhängen. Ein oder mehrere Tags, die an eine Ressource angehängt werden können, sind definiert in einer Tag-Vorlage.
Wenn ein Nutzer versucht, ein Tag mithilfe der Tag-Vorlage an eine Google Cloud-Ressource überprüft Data Catalog, ob der Nutzer hat die erforderlichen Berechtigungen, um die Tag-Vorlage zu verwenden und die Ressource zu aktualisieren Metadaten. Berechtigungen werden über IAM-Rollen gewährt, wie in der folgenden Tabelle dargestellt.
In der folgenden Tabelle sind die Berechtigungen und die zugehörigen Rollen aufgeführt, die für Nutzer soll Data Catalog verwenden, um öffentliche und private Tags anzuhängen zu aufgeführten Google Cloud-Ressourcen.
In jeder Zeile der folgenden Tabelle sind die Berechtigungen aufgeführt, die zum Taggen von Ressourcen erforderlich sind. Durch die entsprechenden Rollen können zusätzliche Berechtigungen erteilt werden. Klicken Sie auf die einzelnen Rollen, um alle damit verknüpften Berechtigungen anzuzeigen.
Hinweise:
Der Eigentümer eines Dateneintrags hat standardmäßig die Berechtigung
datacatalog.entries.updateTag. Allen anderen Nutzern muss die Rolle datacatalog.tagEditor gewährt werden.Die Berechtigung
datacatalog.tagTemplates.useist außerdem für alle die in der Tabelle aufgeführt sind.
| Ressource | Permissions | Rolle |
|---|---|---|
| BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen |
bigquery.datasets.updateTagbigquery.tables.updateTagbigquery.models.updateTagbigquery.routines.updateTagbigquery.connections.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigquery.dataEditor |
| Pub/Sub-Themen | pubsub.topics.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/pubsub.editor |
| Spanner-Datenbanken und -Tabellen. | Instanz: spanner.instances.UpdateTagDatenbank: spanner.databases.UpdateTagTabelle: spanner.databases.UpdateTagAnsichten: spanner.databases.UpdateTag |
Es sind keine vordefinierten Rollen verfügbar. |
| Bigtable-Instanzen und -Tabellen | bigtable.instances.updatebigtable.tables.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigtable.admin |
| Dataplex-Lakes, Zonen, Tabellen und Dateisätze | dataplex.lakes.updatedataplex.zones.update dataplex.entities.updatedataplex.entities.update |
Es sind keine vordefinierten Rollen verfügbar. |
| Dataproc Metastore-Dienste, -Datenbanken und -Tabellen | metastore.tables.updatemetastore.databases.update metastore.services.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/metastore.editorroles/metastore.metadataEditor |
Benutzerdefinierte Rollen für Google Cloud-Ressourcen
Vordefinierte Bearbeiterrollen für Dateneinträge aus anderen Google Cloud-Systemen bieten möglicherweise einen umfassenderen Schreibzugriff als erforderlich. Verwenden Sie
benutzerdefinierte Rollen, um *.updateTag-Berechtigungen nur für eine Google Cloud-Ressource anzugeben.
Rollen zum Ändern der RTF-Übersicht und Data Stewards in Data Catalog
Nutzer benötigen die folgenden Rollen, um eine RTF-Übersicht anzuhängen und Daten zuzuweisen steuern Einträge in Data Catalog:
| Ressource | Permissions | Rolle |
|---|---|---|
| Google Cloud-Projekte | datacatalog.entries.updateOverview datacatalog.entries.updateContacts |
roles/datacatalog.dataSteward |
Rollen zum Ändern der Migrationskonfiguration in Data Catalog
Nutzer benötigen die folgenden Rollen, um die Konfiguration für die Migration von Data Catalog zu Dataplex festzulegen und abzurufen:
| Ressource | Permissions | Rolle |
|---|---|---|
| Google Cloud-Projekte und ‐Organisationen | datacatalog.migrationConfig.set datacatalog.migrationConfig.get |
roles/datacatalog.migrationConfigAdmin |
Identitätsföderation in Data Catalog
Mit der Identitätsföderation können Sie einen externen Identitätsanbieter (Identity Provider, IdP) verwenden, um Authentifizieren und autorisieren Sie Nutzer für Google Cloud-Dienste mit IAM
Data Catalog unterstützt Identitätsföderationen mit: Einschränkungen:
- Data Catalog API SearchCatalog und StarEntry Methoden unterstützen nur die Mitarbeiteridentitätsföderation und sind nicht für die Workload Identity-Föderation verfügbar
- Dataplex unterstützt die Google Cloud Console für Nutzer der Identitätsföderation nicht
Weitere Informationen
- Dataplex-Rollen
- Data Catalog-Rollen
- BigQuery-Zugriffssteuerung
- Pub/Sub-Zugriffssteuerung
- Dataproc Metastore-Zugriffssteuerung