Data Catalog-Identitäts- und Zugriffsverwaltung (IAM)

Der Data Catalog bietet und unterstützt die folgenden Funktionen:

  • Zentralisierte Suche und Auffindbarkeit. Data Catalog katalogisiert Metadaten für Google Cloud-Ressourcen wie BigQuery, Pub/Sub und Dataproc Metastore.
  • Taggen von Ressourcen Der Data Catalog kann Metadaten (Tags) in Google Cloud-Ressourcen erstellen und anhängen.

In diesem Dokument werden Identity and Access Management (IAM)-Rollen beschrieben, die es Nutzern ermöglichen, Google Cloud-Ressourcen mithilfe von Data Catalog zu suchen und zu taggen.

IAM-Terminologie.

Permissions
Zur Laufzeit geprüft, damit der Nutzer einen Vorgang ausführen oder auf eine Google Cloud-Ressource zugreifen kann. Nutzer erhalten keine Berechtigungen direkt, sondern stattdessen Rollen, die Berechtigungen enthalten.
Roles
Eine
Rolle ist eine vordefinierte Sammlung von Berechtigungen. Benutzerdefinierte Rollen, die aus einer benutzerdefinierten Sammlung von Berechtigungen bestehen, sind möglicherweise auch zulässig.

Google Cloud-Ressourcen suchen

Vor der Suche nach oder Anzeige von Google Cloud-Ressourcen überprüft Data Catalog, ob dem Nutzer eine IAM-Rolle mit den von BigQuery, Pub/Sub, Dataproc Metastore oder einem anderen Quellsystem für den Zugriff auf die Ressourcen erforderlichen Metadaten-Leseberechtigungen gewährt wurde.

Beispiel: Der Data Catalog überprüft, ob dem Nutzer eine Rolle mit bigquery.tables.get permission zugewiesen wurde, bevor BigQuery-Tabellenmetadaten angezeigt werden.

In der folgenden Tabelle sind die BigQuery- und Pub/Sub-Berechtigungen sowie die verknüpfte Rolle aufgelistet, die ein Nutzer benötigt, um mit Data Catalog nach der angegebenen Google Cloud-Ressource zu suchen.

Resource Permission Rolle
BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
Siehe auch Data Catalog-Betrachter-Rolle
Pub/Sub-Themen pubsub.topics.get roles/pubsub.viewer
Siehe auch Data Catalog-Betrachter-Rolle

Data Catalog Betrachter-Rolle

Um den Zugriff auf Google Cloud-Ressourcen zu vereinfachen, bietet Data Catalog eine Data Catalog Betrachter -Rolle (roles/datacatalog.viewer) mit Berechtigung zum Lesen von Metadaten für alle katalogisierten Google Cloud-Ressourcen. Diese Rolle gewährt auch die Berechtigung zum Anzeigen von Data Catalog-Tag-Vorlagen und -Tags. In Zukunft kann diese Rolle erweitert werden, um zusätzliche Berechtigungen zu erteilen, wenn neue Arten von Ressourcen im Data Catalog durchsucht werden können.

Tags an Google Cloud-Ressourcen anhängen

Mit Data Catalog können Nutzer Metadaten an Google Cloud-Ressourcen erweitern, indem sie Tags anhängen. Ein oder mehrere Tags, die an eine Ressource angehängt werden können, sind in einer Tag-Vorlage definiert. Wenn ein Nutzer versucht, mit der Tag-Vorlage ein Tag an eine Google Cloud-Ressource anzuhängen, prüft Data Catalog, ob dem Nutzer die Berechtigung zur Verwendung der Tag-Vorlage und zum Aktualisieren von Ressourcenmetadaten erteilt wurde. Berechtigungen werden über IAM-Rollen gewährt, wie in der folgenden Tabelle dargestellt.

In jeder Zeile werden nur die Berechtigungen aufgeführt, die zum Taggen von Ressourcen erforderlich sind. Durch die entsprechenden Rollen können zusätzliche Berechtigungen erteilt werden. Klicken Sie auf die einzelnen Rollen, um alle damit verknüpften Berechtigungen anzuzeigen.

Ressource Permissions Rolle
BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen datacatalog.tagTemplates.use
UND
bigquery.datasets.updateTag
bigquery.tables.updateTag
bigquery.models.updateTag
bigquery.routines.updateTag
bigquery.connections.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/bigquery.dataEditor
Pub/Sub-Themen datacatalog.tagTemplates.use
pubsub.topics.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/pubsub.editor

Data Catalog Tag-Vorlagen- Ersteller-Rolle

Mit der Data Catalog-Tag-Vorlagen- Ersteller-Rolle können Nutzer Tag-Vorlagen erstellen.

Tags für Google Cloud-Ressourcen ansehen

Mit Data Catalog können Nutzer Tags aufrufen, die mit Google Cloud-Ressourcen verknüpft sind, nur wenn der Nutzer die Berechtigung für die Ressource hat, um die Metadaten und Berechtigungen für die Tag-Vorlage anzuzeigen und die entsprechenden Tags aufzurufen. Berechtigungen werden über IAM-Rollen gewährt, wie in der folgenden Tabelle erläutert.

In jeder Zeile werden nur die Berechtigungen aufgeführt, die zum Aufrufen von Tags erforderlich sind. Die entsprechenden Rollen weisen möglicherweise zusätzliche Berechtigungen auf. Klicken Sie auf die einzelnen Rollen, um alle damit verknüpften Berechtigungen anzuzeigen.

Resource Permissions Rolle
BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen datacatalog.tagTemplates.getTag UND
bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/datacatalog.tagTemplateViewer
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
Pub/Sub-Themen datacatalog.tagTemplates.getTag
pubsub.topics.get
roles/datacatalog.tagTemplateViewer
roles/pubsub.viewer

Weitere Informationen