Data Catalog-Identitäts- und Zugriffsverwaltung (IAM)

Der Data Catalog bietet und unterstützt die folgenden Funktionen:

  • Zentralisierte Suche und Auffindbarkeit. Data Catalog katalogisiert Metadaten für Google Cloud-Ressourcen wie BigQuery, Pub/Sub und Dataproc Metastore.
  • Ressourcen-Tagging. Data Catalog kann Metadaten (Tags) für Google Cloud-Ressourcen erstellen und anhängen.

In diesem Dokument werden Identity and Access Management (IAM)-Rollen beschrieben, die es Nutzern ermöglichen, Google Cloud-Ressourcen mithilfe von Data Catalog zu suchen und zu taggen.

IAM-Terminologie.

Permissions
Wird zur Laufzeit geprüft, damit der Nutzer einen Vorgang ausführen oder auf eine Google Cloud-Ressource zugreifen kann. Nutzer erhalten Berechtigungen nicht direkt, sondern Rollen, die Berechtigungen enthalten.
Roles
Eine Rolle ist eine vordefinierte Sammlung von Berechtigungen. Benutzerdefinierte Rollen, die aus einer benutzerdefinierten Sammlung von Berechtigungen bestehen, können auch erlaubt sein.

Google Cloud-Ressourcen suchen

Vor dem Suchen, Entdecken oder Anzeigen von Google Cloud-Ressourcen prüft Data Catalog, ob dem Nutzer eine IAM-Rolle mit den für BigQuery, Pub/Sub, Dataproc Metastore oder anderen erforderlichen Leseberechtigungen für Metadaten erteilt wurde. Quellsystem für den Zugriff auf die Ressource

Beispiel: Der Data Catalog überprüft, ob dem Benutzer eine Rolle mit bigquery.tables.get permission zugewiesen wurde, bevor BigQuery-Tabellenmetadaten angezeigt werden.

In der folgenden Tabelle sind die BigQuery- und Pub/Sub-Berechtigungen sowie die verknüpfte Rolle aufgelistet, die ein Nutzer benötigt, um mit Data Catalog nach der angegebenen Google Cloud-Ressource zu suchen.

Resource Permission Rolle
Datasets, Tabellen, Modelle, Routinen und Verbindungen für BigQuery bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
Siehe auch Rolle "Data Catalog-Betrachter"
Pub/Sub-Themen pubsub.topics.get roles/pubsub.viewer
Siehe auch Data Catalog-Betrachter-Rolle

Data Catalog Betrachter-Rolle

Um den Zugriff auf Google Cloud-Ressourcen zu vereinfachen, bietet Data Catalog eine Data Catalog Betrachter -Rolle (roles/datacatalog.viewer) mit Berechtigung zum Lesen von Metadaten für alle katalogisierten Google Cloud-Ressourcen. Diese Rolle gewährt auch die Berechtigung zum Anzeigen von Data Catalog-Tag-Vorlagen und -Tags. In Zukunft kann diese Rolle erweitert werden, um zusätzliche Berechtigungen zu erteilen, wenn neue Arten von Ressourcen im Data Catalog durchsucht werden können.

Tags an Google Cloud-Ressourcen anhängen

Mit Data Catalog können Nutzer Metadaten für Google Cloud-Ressourcen erweitern, indem sie Tags anhängen. Ein oder mehrere Tags, die an eine Ressource angehängt werden können, werden in einer Tag-Vorlage definiert. Wenn ein Nutzer versucht, die Tag-Vorlage zu verwenden, um ein Tag an eine Google Cloud-Ressource anzuhängen, überprüft Data Catalog, ob ihm die Berechtigungen zur Verwendung der Tag-Vorlage und zur Aktualisierung von Ressourcenmetadaten erteilt wurden. Berechtigungen werden wie in der folgenden Tabelle dargestellt über IAM-Rollen gewährt.

Jede Zeile enthält nur die Berechtigungen, die zum Taggen von Ressourcen erforderlich sind. Durch die entsprechenden Rollen können zusätzliche Berechtigungen gewährt werden. Klicken Sie auf die einzelnen Rollen, um alle damit verknüpften Berechtigungen aufzurufen.

Ressource Permissions Rolle
Datasets, Tabellen, Modelle, Routinen und Verbindungen für BigQuery datacatalog.tagTemplates.use
UND
bigquery.datasets.updateTag
bigquery.tables.updateTag
bigquery.models.updateTag
bigquery.routines.updateTag
bigquery.connections.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/bigquery.dataEditor
Pub/Sub-Themen datacatalog.tagTemplates.use
pubsub.topics.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/pubsub.editor

Data Catalog Tag-Vorlagen- Ersteller-Rolle

Mit der Data Catalog-Tag-Vorlagen- Ersteller-Rolle können Nutzer Tag-Vorlagen erstellen.

Tags für Google Cloud-Ressourcen ansehen

In Data Catalog können Nutzer Tags, die mit Google Cloud-Ressourcen verknüpft sind, nur dann aufrufen, wenn der Nutzer dazu berechtigt ist, seine Metadaten und Berechtigungen in der Tag-Vorlage anzusehen. Berechtigungen werden über IAM-Rollen gewährt, wie in der folgenden Tabelle beschrieben.

Jede Zeile enthält nur die Berechtigungen, die zum Aufrufen von Tags erforderlich sind. Die entsprechenden Rollen können zusätzliche Berechtigungen gewähren. Klicken Sie auf die einzelnen Rollen, um alle damit verknüpften Berechtigungen aufzurufen.

Resource Permissions Rolle
Datasets, Tabellen, Modelle, Routinen und Verbindungen für BigQuery datacatalog.tagTemplates.getTag UND
bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/datacatalog.tagTemplateViewer
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
Pub/Sub-Themen datacatalog.tagTemplates.getTag
pubsub.topics.get
roles/datacatalog.tagTemplateViewer
roles/pubsub.viewer

Weitere Informationen