Dokumen ini menjelaskan peran Identity and Access Management (IAM) yang memungkinkan Anda menggunakan Katalog Data untuk menelusuri dan memberi tag pada resource Google Cloud.
Untuk mengetahui deskripsi mendetail tentang IAM dan fitur-fiturnya, lihat dokumentasi IAM.
Terminologi IAM
- Izin
- Dicentang saat runtime untuk memungkinkan Anda melakukan operasi atau mengakses resource Google Cloud. Anda tidak diberikan izin secara langsung, tetapi sebagai gantinya, Anda diberikan peran yang berisi izin.
- Peran
- Peran adalah kumpulan izin yang telah ditetapkan. Peran khusus yang terdiri dari kumpulan izin kustom juga diizinkan.
Melihat peran Data Catalog
Di konsol Google Cloud, buka halaman IAM & Admin > Roles.
Di kolom Filter, pilih Digunakan di, ketik
Data CatalogatauData Lineage, lalu klik Enter.Klik peran untuk melihat izin peran di panel kanan.
Misalnya, peran Data Catalog Admin memiliki akses penuh ke semua resource Data Catalog.
Peran Data Catalog yang telah ditetapkan
Beberapa peran Data Catalog yang telah ditetapkan mencakup Data Catalog Admin, Data Catalog Viewer, dan Data Catalog TagTemplate Creator. Beberapa peran ini dijelaskan di bagian berikutnya.
Untuk mengetahui daftar dan deskripsi peran bawaan Data Catalog serta izin yang terkait dengan setiap peran, lihat Peran Data Catalog.
Peran Data Catalog Admin
Peran roles/datacatalog.admin memiliki akses ke semua
resource Data Catalog. Admin Data Catalog dapat
menambahkan berbagai jenis pengguna ke project Data Catalog.
Peran Data Steward Data Catalog
Peran roles/datacatalog.dataSteward memungkinkan Anda menambahkan, mengedit, atau menghapus pengelola data dan ringkasan teks panjang untuk entri data seperti tabel BigQuery.
Peran Data Catalog Viewer
Untuk menyederhanakan perolehan akses ke resource Google Cloud,
Data Catalog memberikan peran roles/datacatalog.viewer dengan
izin baca metadata untuk semua resource Google Cloud yang dikatalogkan.
Peran ini juga memberikan izin untuk melihat template tag dan tag Data Catalog.
Berikan peran Data Catalog Viewer pada project Anda untuk melihat resource Google Cloud di Data Catalog.
Peran Data Catalog TagTemplate Creator
Peran roles/datacatalog.tagTemplateCreator memungkinkan Anda membuat template tag.
Peran Data Catalog Search Admin
Peran roles/datacatalog.searchAdmin memungkinkan Anda mengambil, melalui penelusuran,
semua resource Google Cloud yang dikatalogkan dalam project atau organisasi.
Peran Data Catalog Migration Config Admin
Peran roles/datacatalog.migrationConfigAdmin memungkinkan Anda menetapkan dan mengambil
konfigurasi yang terkait dengan migrasi resource dari
Data Catalog ke Dataplex Catalog.
Peran garis keturunan data yang telah ditetapkan
Untuk mengakses garis keturunan entri Data Catalog, Anda memerlukan
akses ke entri di Data Catalog. Untuk mengakses
entri Data Catalog, Anda memerlukan peran penampil di
resource sistem atau
Data Catalog Viewer
(roles/datacatalog.viewer) yang sesuai pada project yang menyimpan
entri Data Catalog. Bagian ini menjelaskan peran yang diperlukan untuk
melihat garis keturunan.
Peran pelihat Lineage
Peran Data Lineage Viewer
(roles/datalineage.viewer) memungkinkan Anda melihat lineage
Dataplex di konsol Google Cloud dan membaca informasi lineage menggunakan
Data Lineage API. Semua
peristiwa dan operasi untuk proses tertentu disimpan dalam project yang sama dengan
proses. Dalam kasus lineage otomatis,
proses, operasi, dan peristiwa
disimpan dalam project tempat tugas yang menghasilkan lineage
berjalan. Misalnya, project tempat tugas BigQuery
berjalan.
Anda memerlukan peran yang berbeda untuk melihat silsilah antar-aset dan untuk melihat metadata
aset. Untuk yang pertama, Anda memerlukan
Data Lineage Viewer (roles/datalineage.viewer).
Untuk yang kedua, Anda memerlukan peran yang sama seperti yang digunakan untuk mengakses entri metadata
di Data Catalog.
Peran untuk melihat garis keturunan antara dua aset
Untuk melihat silsilah antar-aset, Anda memerlukan
Peran Viewer silsilah data (roles/datalineage.viewer)
pada project berikut:
- Project tempat Anda melihat lineage (dikenal sebagai project aktif), yaitu project dalam drop-down di bagian atas konsol Google Cloud atau project tempat panggilan API dilakukan. Biasanya, ini adalah project resource Data Catalog.
- Project tempat lineage dicatat (dikenal sebagai project komputasi). Lineage disimpan dalam project tempat proses yang sesuai dijalankan, seperti yang dijelaskan di atas. Project ini dapat berbeda dari project yang menyimpan aset yang lineage-nya Anda lihat.
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses. Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Bergantung pada kasus penggunaan, berikan peran Data lineage Viewer (roles/datalineage.viewer) di tingkat folder atau organisasi untuk menjamin akses ke silsilah (lihat Memberikan atau mencabut satu peran).
Peran yang diperlukan untuk Linimasa data hanya dapat diberikan melalui Google Cloud CLI.
Peran untuk melihat metadata aset saat melihat garis keturunan
Saat metadata tentang aset disimpan di Data Catalog, Anda hanya dapat melihat metadata tersebut jika memiliki peran pelihat di resource sistem atau Pelihat Data Catalog (roles/datacatalog.viewer) yang sesuai pada project tempat entri Data Catalog disimpan. Anda
mungkin memiliki akses ke aset di grafik atau daftar garis keturunan melalui peran penonton
yang sesuai, tetapi tidak memiliki akses ke garis keturunan di antara aset tersebut. Hal ini terjadi jika
Anda tidak memiliki Peran Viewer silsilah data (roles/datalineage.viewer)
pada project tempat silsilah dicatat. Dalam hal ini, Data Lineage API dan konsol Google Cloud tidak menampilkan lineage dan
tidak menampilkan error, untuk mencegah kebocoran informasi tentang keberadaan
lineage. Oleh karena itu, tidak adanya garis keturunan untuk aset tidak berarti tidak ada
garis keturunan untuk aset tersebut, tetapi Anda mungkin tidak memiliki akses ke garis keturunan tersebut.
Peran Produser Peristiwa Data Lineage
Peran roles/datalineage.producer memungkinkan pengguna merekam informasi
lineage secara manual menggunakan data lineage API.
Peran Editor Silsilah Data
Peran roles/datalineage.editor memungkinkan pengguna mengubah informasi
lineage secara manual menggunakan data lineage API.
Peran Administrator Silsilah Data
Peran roles/datalineage.admin memungkinkan pengguna melakukan semua operasi lineage
yang tercantum di bagian ini.
Peran untuk melihat tag publik dan pribadi
Anda dapat menelusuri tag publik menggunakan penelusuran sederhana. Anda dapat melihat entri data, termasuk tag publiknya, selama Anda memiliki izin yang diperlukan untuk melihat entri data. Tidak diperlukan izin tambahan pada template tag. Untuk izin yang diperlukan guna melihat entri data, lihat tabel di bagian ini.
Namun, sebaiknya berikan juga izin datacatalog.tagTemplates.get kepada pengguna yang diharapkan akan menelusuri tag publik ini. Izin ini juga memungkinkan pengguna menggunakan predikat penelusuran tag: atau menggunakan faset penelusuran template tag di halaman penelusuran Data Catalog.
Untuk tag pribadi, Anda memerlukan izin lihat pada template tag dan entri data untuk menelusuri tag dan melihat tag di halaman detail entri. Pengguna harus menggunakan predikat penelusuran tag: atau facet penelusuran template tag untuk menemukan tag; penelusuran sederhana untuk tag pribadi tidak didukung.
Perhatikan hal berikut:
Izin lihat yang diperlukan di template tag pribadi adalah
datacatalog.tagTemplates.getTag.Izin lihat pada entri data untuk tag publik dan pribadi disertakan dalam tabel berikut.
| Resource | Izin | Peran |
|---|---|---|
| Set data, tabel, model, rutinitas, dan koneksi BigQuery | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/datacatalog.tagTemplateViewerroles/bigquery.metadataViewerroles/bigquery.connectionUser |
| Topik Pub/Sub | pubsub.topics.get |
roles/datacatalog.tagTemplateViewerroles/pubsub.viewer |
| Instance, database, tabel, dan tampilan Spanner | Instance: spanner.instances.getDatabase:spanner.databases.getTable: spanner.databases.getViews: spanner.databases.getdatacatalog.tagTemplates.getTag |
Tidak ada peran bawaan yang tersedia. |
| Instance dan tabel Bigtable | bigtable.instances.getbigtable.tables.getdatacatalog.tagTemplates.getTag |
roles/datacatalog.tagTemplateViewerroles/bigtable.viewer |
| Layanan, database, dan tabel Dataproc Metastore | metastore.tables.getmetastore.databases.getmetastore.services.get |
roles/datacatalog.tagTemplateViewerroles/metastore.metadataViewer |
| Entri kustom | datacatalog.entries.get |
Tidak ada peran bawaan yang tersedia. |
Peran untuk menelusuri resource Google Cloud
Sebelum menelusuri, menemukan, atau menampilkan resource Google Cloud, Katalog Data akan memeriksa apakah Anda telah diberi peran IAM dengan izin baca metadata yang diperlukan oleh BigQuery, Pub/Sub, Dataproc Metastore, atau sistem sumber lainnya untuk mengakses resource.
Contoh: Data Catalog memeriksa apakah Anda telah diberi peran dengan bigquery.tables.get permission sebelum menampilkan metadata tabel BigQuery.
Tabel berikut mencantumkan izin dan peran terkait yang diperlukan untuk menggunakan Katalog Data guna menelusuri resource Google Cloud yang tercantum.
| Resource | Izin | Peran |
|---|---|---|
| Set data, tabel, model, rutinitas, dan koneksi BigQuery | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/bigquery.metadataViewerroles/bigquery.connectionUserLihat juga Peran Data Catalog Viewer |
| Topik Pub/Sub | pubsub.topics.get |
roles/pubsub.viewerLihat juga Peran Data Catalog Viewer |
| Database dan tabel Spanner | Instance: spanner.instances.getDatabase: spanner.databases.getTampilan: spanner.databases.get |
Tidak ada peran bawaan yang tersedia. |
| Instance dan tabel Bigtable | bigtable.instances.getbigtable.tables.get |
roles/bigtable.viewerLihat juga Peran Data Catalog Viewer |
| Data lake, zona, tabel, dan set file Dataplex | dataplex.lakes.getdataplex.zones.get dataplex.entities.getdataplex.entities.get |
Tidak ada peran bawaan yang tersedia. |
| Layanan, database, dan tabel Dataproc Metastore | metastore.tables.getmetastore.databases.get metastore.services.get |
roles/metastore.metadataViewer |
Peran untuk melampirkan tag ke resource Google Cloud
Untuk melampirkan tag publik dan pribadi ke resource Google Cloud, Anda memerlukan izin yang sama.
Data Catalog memungkinkan pengguna memperluas metadata di resource Google Cloud dengan melampirkan tag. Satu atau beberapa tag yang dapat dilampirkan ke resource ditentukan dalam template tag.
Saat pengguna mencoba menggunakan template tag untuk melampirkan tag ke resource Google Cloud, Data Catalog akan memeriksa apakah Anda memiliki izin yang diperlukan untuk menggunakan template tag dan memperbarui metadata resource. Izin diberikan melalui peran IAM, seperti yang ditunjukkan dalam tabel berikut.
Tabel berikut mencantumkan izin dan peran terkait yang diperlukan agar pengguna dapat menggunakan Katalog Data untuk melampirkan tag publik dan pribadi ke resource Google Cloud yang tercantum.
Setiap baris dalam tabel berikut mencantumkan izin yang diperlukan untuk memberi tag pada resource. Peran yang sesuai dapat memberikan izin tambahan. Klik setiap peran untuk melihat semua izin yang terkait dengannya.
Perhatikan hal berikut:
Pemilik entri data memiliki izin
datacatalog.entries.updateTagsecara default. Semua pengguna lain harus diberi peran datacatalog.tagEditor.Izin
datacatalog.tagTemplates.usejuga diperlukan untuk semua resource yang tercantum dalam tabel.
| Resource | Izin | Peran |
|---|---|---|
| Set data, tabel, model, rutinitas, dan koneksi BigQuery |
bigquery.datasets.updateTagbigquery.tables.updateTagbigquery.models.updateTagbigquery.routines.updateTagbigquery.connections.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigquery.dataEditor |
| Topik Pub/Sub | pubsub.topics.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/pubsub.editor |
| Database dan tabel Spanner. | Instance: spanner.instances.UpdateTagDatabase: spanner.databases.UpdateTagTabel: spanner.databases.UpdateTagTampilan: spanner.databases.UpdateTag |
Tidak ada peran bawaan yang tersedia. |
| Instance dan tabel Bigtable | bigtable.instances.updatebigtable.tables.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigtable.admin |
| Data lake, zona, tabel, dan set file Dataplex | dataplex.lakes.updatedataplex.zones.update dataplex.entities.updatedataplex.entities.update |
Tidak ada peran bawaan yang tersedia. |
| Layanan, database, dan tabel Dataproc Metastore | metastore.tables.updatemetastore.databases.update metastore.services.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/metastore.editorroles/metastore.metadataEditor |
Peran kustom untuk resource Google Cloud
Peran editor standar untuk entri data dari sistem Google Cloud lainnya
mungkin memberikan akses tulis yang lebih luas dari yang diperlukan. Gunakan peran kustom untuk menentukan izin *.updateTag hanya pada resource Google Cloud.
Peran untuk mengubah ringkasan teks panjang dan pengelola data di Data Catalog
Pengguna memerlukan peran berikut untuk melampirkan ringkasan teks panjang dan menetapkan pengelola data ke entri di Data Catalog:
| Resource | Izin | Peran |
|---|---|---|
| Project Google Cloud | datacatalog.entries.updateOverview datacatalog.entries.updateContacts |
roles/datacatalog.dataSteward |
Peran untuk mengubah konfigurasi migrasi di Data Catalog
Pengguna memerlukan peran berikut untuk menetapkan dan mengambil konfigurasi yang terkait dengan migrasi dari Data Catalog ke Dataplex:
| Resource | Izin | Peran |
|---|---|---|
| Project dan organisasi Google Cloud | datacatalog.migrationConfig.set datacatalog.migrationConfig.get |
roles/datacatalog.migrationConfigAdmin |
Penggabungan identitas di Data Catalog
Dengan Identity Federation, Anda dapat menggunakan penyedia identitas (IdP) eksternal untuk melakukan autentikasi dan memberi otorisasi kepada pengguna ke layanan Google Cloud dengan IAM.
Data Catalog mendukung federasi identitas dengan batasan berikut:
- Metode SearchCatalog dan StarEntry Data Catalog API hanya mendukung Workforce identity federation dan tidak tersedia untuk Workload identity federation
- Dataplex tidak mendukung konsol Google Cloud untuk pengguna penggabungan identitas
Langkah selanjutnya
- Pelajari cara membuat peran IAM kustom.
- Pelajari cara memberikan dan mengelola peran.
- Pelajari peran IAM Dataplex lebih lanjut.
- Pelajari kontrol akses BigQuery lebih lanjut.
- Pelajari kontrol akses Pub/Sub lebih lanjut.
- Pelajari lebih lanjut kontrol akses Dataproc Metastore.