Data Catalog-IAM

In diesem Dokument werden die IAM-Rollen (Identity and Access Management) beschrieben, mit denen Nutzer Google Cloud-Ressourcen mit Data Catalog suchen und taggen können.

IAM-Terminologie.

Berechtigungen
Wird zur Laufzeit geprüft, damit Nutzer einen Vorgang ausführen oder auf eine Google Cloud-Ressource zugreifen können. Nutzer erhalten keine Berechtigungen direkt, sondern stattdessen Rollen, die Berechtigungen enthalten.
Roles
Eine
Rolle ist eine vordefinierte Sammlung von Berechtigungen. Benutzerdefinierte Rollen, die aus einer benutzerdefinierten Sammlung von Berechtigungen bestehen, sind ebenfalls zulässig.

Data Catalog-Rollen ansehen

Führen Sie in der Cloud Console die folgenden Schritte aus:

  1. Rufen Sie die Seite IAM &Verwaltung & Rollen; Rollen auf.

    Zur Seite "Rollen"

  2. Wählen Sie im Feld Filter die Option Verwendet in aus, geben Sie Data Catalog ein und drücken Sie die Eingabetaste.

  3. Klicken Sie auf eine der aufgeführten Rollen, um die Berechtigungen der Rolle im rechten Bereich anzeigen zu lassen.

    Beispielsweise hat die Data Catalog-Administratorrolle vollständigen Zugriff auf alle Data Catalog-Ressourcen.

Vordefinierte Data Catalog-Rollen

Zu den vordefinierten Data Catalog-Rollen gehören der Data Catalog-Administrator, der Data Catalog-Betrachter und der Ersteller von Data Catalog-Tags. Einige dieser Rollen werden in den nachfolgenden Abschnitten beschrieben.

Eine Liste und Beschreibung der vordefinierten Data Catalog-Rollen und der mit der jeweiligen Rolle verknüpften Berechtigungen finden Sie unter Data Catalog-Rollen.

Admin-Rolle

Die Rolle roles/datacatalog.admin hat Zugriff auf alle Data Catalog-Ressourcen. Ein Data Catalog-Administrator kann einem Data Catalog-Projekt verschiedene Arten von Nutzern hinzufügen.

Rolle „Datenverwalter“

Mit der Rolle roles/datacatalog.dataSteward können Sie die Datenverwalter und die Rich-Text-Übersicht für einen Dateneintrag wie eine BigQuery-Tabelle hinzufügen, bearbeiten oder löschen.

Betrachterrolle

Um den Zugriff auf Google Cloud-Ressourcen zu erleichtern, erteilt Data Catalog die Rolle roles/datacatalog.viewer mit Metadaten-Leseberechtigung für alle katalogisierten Google Cloud-Ressourcen.

Diese Rolle gewährt außerdem die Berechtigungen zum Aufrufen von Vorlagen und Tags für Data Catalog-Tags.

Weisen Sie dem Projekt die Rolle „Data Catalog-Betrachter“ zu, damit Nutzer Google Cloud-Ressourcen in Data Catalog aufrufen können.

Rolle „Tag-Vorlagen-Ersteller“

Mit der Rolle roles/datacatalog.tagTemplateCreator können Nutzer Tag-Vorlagen erstellen.

Rollen zum Aufrufen öffentlicher und privater Tags

Sie können mithilfe der einfachen Suche nach öffentlichen Tags suchen. Sie können sich einen Dateneintrag einschließlich seiner öffentlichen Tags ansehen, sofern Sie die erforderlichen Berechtigungen zum Aufrufen des Dateneintrags haben. Für die Tag-Vorlage sind keine zusätzlichen Berechtigungen erforderlich. Die erforderlichen Berechtigungen zum Aufrufen des Dateneintrags finden Sie in der Tabelle in diesem Abschnitt.

Wir empfehlen jedoch, Nutzern, die nach diesen öffentlichen Tags suchen, auch die Berechtigung datacatalog.tagTemplates.get zu gewähren. Mit dieser Berechtigung können Nutzer das Prädikat tag: für die Suche oder das Attribut der Tag-Vorlage auf der Data Catalog-Suchseite verwenden.

Für private Tags benötigen Sie Leseberechtigungen für die Tag-Vorlage und den Dateneintrag, um nach dem Tag zu suchen und das Tag auf der Seite mit den Eintragsdetails zu sehen. Nutzer müssen das Suchprädikat tag: oder die Tag-Vorlagensuche verwenden, um die Tags zu finden. Die einfache Suche nach privaten Tags wird nicht unterstützt.

Die für die private Tag-Vorlage erforderliche Aufrufberechtigung ist datacatalog.tagTemplates.getTag.

Die Ansichtsberechtigungen für die Dateneinträge für öffentliche und private Tags sind in der folgenden Tabelle aufgeführt:

Ressource Berechtigung Rolle
BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/datacatalog.tagTemplateViewer
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
Pub/Sub-Themen pubsub.topics.get roles/datacatalog.tagTemplateViewer
roles/pubsub.viewer
(Öffentliche Vorschau) Dataproc Metastore-Dienste, Datenbanken und Tabellen metastore.tables.get
metastore.databases.get
metastore.services.get
Es sind keine vordefinierten Rollen verfügbar.
Benutzerdefinierte Einträge datacatalog.entries.get Es sind keine vordefinierten Rollen verfügbar.

Rollen für die Suche in Google Cloud-Ressourcen

Vor der Suche nach oder Anzeige von Google Cloud-Ressourcen überprüft Data Catalog, ob dem Nutzer eine IAM-Rolle mit den von BigQuery, Pub/Sub, Dataproc Metastore oder einem anderen Quellsystem für den Zugriff auf die Ressourcen erforderlichen Metadaten-Leseberechtigungen gewährt wurde.

Beispiel: Der Data Catalog überprüft, ob dem Nutzer eine Rolle mit bigquery.tables.get permission zugewiesen wurde, bevor BigQuery-Tabellenmetadaten angezeigt werden.

In der folgenden Tabelle sind die Berechtigungen und die zugehörigen Rollen aufgeführt, die ein Nutzer verwenden muss, um mit den Data Catalogen die aufgeführten Google Cloud-Ressourcen zu durchsuchen.

Ressource Berechtigung Rolle
BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
Siehe auch Data Catalog-Betrachter-Rolle
Pub/Sub-Themen pubsub.topics.get roles/pubsub.viewer
Siehe auch Data Catalog-Betrachter-Rolle
Dataplex-Lakes, -Zonen, -Tabellen und -Dateisätze dataplex.lakes.get
dataplex.zones.get
dataplex.entities.get
dataplex.entities.get
Es sind keine vordefinierten Rollen verfügbar.
(Öffentliche Vorschau) Dataproc Metastore-Dienste, Datenbanken und Tabellen metastore.tables.get
metastore.databases.get
metastore.services.get
Es sind keine vordefinierten Rollen verfügbar.

Rollen zum Anhängen von Tags an Google Cloud-Ressourcen

Um öffentliche und private Tags an Google Cloud-Ressourcen anhängen zu können, benötigen Sie dieselben Berechtigungen.

Mit Data Catalog können Nutzer Metadaten zu Google Cloud-Ressourcen durch Anhängen von Tags erweitern. Eine oder mehrere Tags, die an eine Ressource angehängt werden können, sind in einer Tag-Vorlage definiert.

Wenn ein Nutzer versucht, ein Tag über eine Tag-Vorlage an eine Google Cloud-Ressource anzuhängen, prüft Data Catalog, ob der Nutzer die erforderlichen Berechtigungen zum Verwenden der Tag-Vorlage und zum Aktualisieren der Ressourcenmetadaten hat. Berechtigungen werden über IAM-Rollen gewährt, wie in der folgenden Tabelle dargestellt.

In der folgenden Tabelle sind die Berechtigungen und die zugehörigen Rollen aufgeführt, die ein Nutzer verwenden muss, um mit Data Catalog sowohl öffentliche als auch private Tags an aufgeführte Google Cloud-Ressourcen anzuhängen.

Jede Zeile in der folgenden Tabelle enthält nur die Berechtigungen, die zum Taggen von Ressourcen erforderlich sind. Durch die entsprechenden Rollen können zusätzliche Berechtigungen erteilt werden. Klicken Sie auf die einzelnen Rollen, um alle damit verknüpften Berechtigungen anzuzeigen.

Der Inhaber eines Dateneintrags hat standardmäßig die Berechtigung datacatalog.entries.updateTag. Allen anderen Nutzern muss die Rolle datacatalog.tagEditor zugewiesen werden.

Ressource Berechtigungen Rolle
BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen datacatalog.tagTemplates.use
UND
bigquery.datasets.updateTag
bigquery.tables.updateTag
bigquery.models.updateTag
bigquery.routines.updateTag
bigquery.connections.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/bigquery.dataEditor
Pub/Sub-Themen datacatalog.tagTemplates.use
pubsub.topics.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/pubsub.editor
Dataplex-Lakes, -Zonen, -Tabellen und -Dateisätze datacatalog.tagTemplates.use
dataplex.lakes.update
dataplex.zones.update
dataplex.entities.update
dataplex.entities.update
Es sind keine vordefinierten Rollen verfügbar.
(Öffentliche Vorschau) Dataproc Metastore-Dienste, Datenbanken und Tabellen datacatalog.tagTemplates.use
metastore.tables.update
metastore.databases.update
metastore.services.update
Es sind keine vordefinierten Rollen verfügbar.

Benutzerdefinierte Rollen für Google Cloud-Ressourcen

Vordefinierte Bearbeiterrollen für Dateneinträge aus anderen Google Cloud-Systemen bieten möglicherweise einen umfassenderen Schreibzugriff als erforderlich. Verwenden Sie benutzerdefinierte Rollen, um *.updateTag-Berechtigungen nur für eine Google Cloud-Ressource anzugeben.

Weitere Informationen