Data Catalog-Identitäts- und Zugriffsverwaltung (IAM)

Der Data Catalog bietet und unterstützt die folgenden Funktionen:

  • Zentralisierte Suche und Auffindbarkeit. Data Catalog katalogisiert Metadaten für Google Cloud-Ressourcen wie BigQuery und Pub/Sub.
  • Ressourcen-Tagging. Der Data Catalog kann Metadaten (Tags) für Google Cloud-Ressourcen erstellen und an diese anhängen.

In diesem Dokument werden Identity and Access Management (IAM)-Rollen beschrieben, die es Nutzern ermöglichen, Google Cloud-Ressourcen mithilfe von Data Catalog zu suchen und zu taggen.

IAM-Terminologie.

Permissions
Zur Laufzeit überprüft, damit Benutzer einen Vorgang ausführen oder auf eine Google Cloud-Ressource zugreifen können. Benutzern werden keine direkten Berechtigungen erteilt, sondern Rollen, die Berechtigungen enthalten.
Roles
Eine Rolle ist eine vordefinierte Sammlung von Berechtigungen. Benutzerdefinierte Rollen, die aus einer benutzerdefinierten Sammlung von Berechtigungen bestehen, sind möglicherweise ebenfalls zulässig.

Google Cloud-Ressourcen suchen

Vor der Suche nach oder Anzeige von Google Cloud-Ressourcen überprüft Data Catalog, ob dem Nutzer eine IAM-Rolle mit den von BigQuery, Pub/Sub oder einem anderen Quellsystem für den Zugriff auf die Ressourcen erforderlichen Metadaten-Leseberechtigungen gewährt wurde.

Beispiel: Der Data Catalog überprüft, ob dem Benutzer eine Rolle mit bigquery.tables.get permission zugewiesen wurde, bevor BigQuery-Tabellenmetadaten angezeigt werden.

In der folgenden Tabelle sind die BigQuery- und Pub/Sub-Berechtigungen sowie die verknüpfte Rolle aufgelistet, die ein Nutzer benötigt, um mit Data Catalog nach der angegebenen Google Cloud-Ressource zu suchen.

Resource Permission Role
BigQuery-Datasets, -Tabellen und -Modelle bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
roles/bigquery.metadataViewer
Siehe auch Data Catalog-Betrachter-Rolle
Pub/Sub-Themen pubsub.topics.get roles/pubsub.viewer
Siehe auch Data Catalog-Betrachter-Rolle

Data Catalog Betrachter-Rolle

Um den Zugriff auf Google Cloud-Ressourcen zu vereinfachen, bietet Data Catalog eine Data Catalog Betrachter -Rolle (roles/datacatalog.viewer) mit Berechtigung zum Lesen von Metadaten für alle katalogisierten Google Cloud-Ressourcen. Diese Rolle gewährt auch die Berechtigung zum Anzeigen von Data Catalog-Tag-Vorlagen und -Tags. In Zukunft kann diese Rolle erweitert werden, um zusätzliche Berechtigungen zu erteilen, wenn neue Arten von Ressourcen im Data Catalog durchsucht werden können.

Anhängen von Tags an Google Cloud-Ressourcen

Mit dem Data Catalog können Benutzer Metadaten auf Google Cloud-Ressourcen erweitern und zwar durch Anhängen von Tags. Ein oder mehrere Tags, die an eine Ressource angehängt werden können, werden in einer -Tag-Vorlage definiert. Wenn ein Benutzer versucht, mithilfe der Tag-Vorlage ein Tag an eine Google Cloud-Ressource anzuhängen, überprüft Data Catalog, ob dem Benutzer die Berechtigung zum Verwenden der Tag-Vorlage und zum Aktualisieren von Ressourcenmetadaten erteilt wurde. Berechtigungen werden über IAM-Rollen erteilt, wie in der folgenden Tabelle gezeigt.

In jeder Zeile werden nur die Berechtigungen aufgeführt, die zum Taggen von Ressourcen erforderlich sind. Die jeweiligen Rollen gewähren ggf zusätzliche Berechtigungen. Klicken Sie auf jede Rolle, um alle damit verbundenen Berechtigungen anzuzeigen.

Resource Permissions Role
BigQuery-Datasets, -Tabellen und -Modelle datacatalog.tagTemplates.use UND
bigquery.datasets.updateTag
bigquery.tables.updateTag
bigquery.models.updateTag
roles/datacatalog.tagTemplateUser
roles/bigquery.dataEditor
Pub/Sub-Themen datacatalog.tagTemplates.use
pubsub.topics.updateTag
roles/datacatalog.tagTemplateUser
roles/pubsub.editor

Data Catalog Tag-Vorlagen- Ersteller-Rolle

Mit der Data Catalog-Tag-Vorlagen- Ersteller-Rolle können Nutzer Tag-Vorlagen erstellen.

Tags für Google Cloud-Ressourcen ansehen

Mit dem Data Catalog können Benutzer Tags, die an Google Cloud-Ressourcen angehängt sind, nur anzeigen, wenn der Benutzer über Berechtigungen für die Ressource zum Anzeigen ihrer Metadaten und über Berechtigungen für die Tag-Vorlage zum Anzeigen der entsprechenden Tags verfügt. Berechtigungen werden über IAM-Rollen erteilt, wie in der folgenden Tabelle erläutert.

In jeder Zeile werden nur die Berechtigungen aufgeführt, die zum Anzeigen von Tags erforderlich sind, während die entsprechenden Rollen möglicherweise zusätzliche Berechtigungen erteilen. Klicken Sie auf jede Rolle, um alle damit verbundenen Berechtigungen anzuzeigen.

Resource Permissions Role
BigQuery-Datasets, -Tabellen und -Modelle datacatalog.tagTemplates.getTag UND
bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
roles/datacatalog.tagTemplateViewer
roles/bigquery.metadataViewer
Pub/Sub-Themen datacatalog.tagTemplates.getTag
pubsub.topics.get
roles/datacatalog.tagTemplateViewer
roles/pubsub.viewer

Weitere Informationen