In diesem Dokument werden IAM-Rollen (Identity and Access Management) beschrieben, mit denen Nutzer Data Catalog zum Suchen und Taggen von Google Cloud-Ressourcen verwenden können.
IAM-Terminologie
- Berechtigungen
- Wird zur Laufzeit geprüft, damit Nutzer einen Vorgang ausführen oder auf eine Google Cloud-Ressource zugreifen können. Nutzer erhalten keine Berechtigungen direkt, sondern stattdessen Rollen, die Berechtigungen enthalten.
- Roles Eine
- Rolle ist eine vordefinierte Sammlung von Berechtigungen. Benutzerdefinierte Rollen, die aus einer benutzerdefinierten Sammlung von Berechtigungen bestehen, sind ebenfalls zulässig.
Data Catalog-Rollen ansehen
Führen Sie in der Google Cloud Console die folgenden Schritte aus:
Rufen Sie die Seite IAM und Verwaltung > Rollen auf.
Wählen Sie im Feld Filter die Option Verwendet in aus, geben Sie
Data CatalogoderData Lineageein und drücken Sie die Eingabetaste.Klicken Sie auf eine Rolle, um die Berechtigungen der Rolle im rechten Bereich zu sehen.
Die Rolle „Data Catalog-Administrator“ hat beispielsweise uneingeschränkten Zugriff auf alle Data Catalog-Ressourcen.
Vordefinierte Data Catalog-Rollen
Zu den vordefinierten Data Catalog-Rollen gehören Data Catalog-Administrator, Data Catalog-Betrachter und Data Catalog-Tag-Vorlagenersteller. Einige dieser Rollen werden in den folgenden Abschnitten beschrieben.
Eine Liste und Beschreibung der vordefinierten Data Catalog-Rollen und der mit den einzelnen Rollen verknüpften Berechtigungen finden Sie unter Data Catalog-Rollen.
Rolle „Data Catalog-Administrator“
Die Rolle roles/datacatalog.admin hat Zugriff auf alle Data Catalog-Ressourcen. Ein Data Catalog-Administrator kann einem Data Catalog-Projekt verschiedene Arten von Nutzern hinzufügen.
Rolle „DataCatalog Data Steward“
Mit der Rolle roles/datacatalog.dataSteward können Sie die Data Stewards und die Rich-Text-Übersicht für einen Dateneintrag, z. B. eine BigQuery-Tabelle, hinzufügen, bearbeiten oder löschen.
Data Catalog Betrachter-Rolle
Um den Zugriff auf Google Cloud-Ressourcen zu vereinfachen, bietet Data Catalog die Rolle roles/datacatalog.viewer mit Leseberechtigung für Metadaten für alle katalogisierten Google Cloud-Ressourcen.
Diese Rolle gewährt auch die Berechtigung zum Ansehen von Data Catalog-Tag-Vorlagen und -Tags.
Weisen Sie die Rolle „Data Catalog-Betrachter“ für Ihr Projekt zu, damit Nutzer Google Cloud-Ressourcen in Data Catalog ansehen können.
Data Catalog Tag-Vorlagen- Ersteller-Rolle
Mit der Rolle roles/datacatalog.tagTemplateCreator können Nutzer Tag-Vorlagen erstellen.
Rolle „DataCatalog-Suchadministrator“
Mit der Rolle roles/datacatalog.searchAdmin können Nutzer über die Suche alle katalogisierten Google Cloud-Ressourcen innerhalb eines Projekts oder einer Organisation abrufen.
Vordefinierte Data Lineage-Rollen
Für den Zugriff auf das Herkunftsdiagramm eines Data Catalog-Eintrags benötigt der Nutzer Zugriff auf den Eintrag in Data Catalog. Für den Zugriff auf den Data Catalog-Eintrag benötigt der Nutzer eine Betrachterrolle für die entsprechende Systemressource oder die Data Catalog-Betrachter (roles/datacatalog.viewer) für das Projekt, in dem der Data Catalog-Eintrag gespeichert wird. In diesem Abschnitt werden Rollen beschrieben, die zum Anzeigen und Bearbeiten des Herkunftsdiagramms erforderlich sind.
Rolle „Lineage-Betrachter“
Mit der Rolle Data Lineage Viewer (roles/datalineage.viewer) können Nutzer Dataplex-Lineage-Diagramme in der Google Cloud Console ansehen und mit der Data Lineage API Informationen zur Herkunft abrufen. Die Ausführungen und Ereignisse für einen bestimmten Prozess werden alle im selben Projekt wie der Prozess gespeichert. Bei der automatisierten Herkunft werden der Prozess, die Ausführungen und die Ereignisse in dem Projekt gespeichert, in dem der Job, der die Herkunft generiert hat, ausgeführt wurde. Dies könnte beispielsweise das Projekt sein, in dem ein BigQuery-Job ausgeführt wurde.
Sie benötigen verschiedene Rollen, um die Herkunft zwischen Assets in der Grafik und die Metadaten der Assets in der Grafik anzusehen. Für die erste benötigen Sie Data Lineage Viewer (roles/datalineage.viewer). Für Letzteres benötigen Sie dieselben Rollen, die für den Zugriff auf Metadateneinträge in Data Catalog verwendet werden. In den folgenden beiden Unterabschnitten finden Sie weitere Informationen.
Rollen zum Ansehen der Herkunft zwischen zwei Assets
Um die Herkunft zwischen Assets im Herkunftsdiagramm zu sehen, benötigt der Nutzer Data Lineage Viewer (roles/datalineage.viewer) bei den folgenden Projekten:
- Das Projekt, aus dem der Nutzer die Herkunft ansieht (als aktives Projekt bezeichnet). Dies ist das Projekt im Drop-down-Menü oben in der Google Cloud Console oder das Projekt, über das API-Aufrufe erfolgen. Dies ist normalerweise das Data Catalog-Ressourcenprojekt.
- Die Projekte, in denen die Herkunft aufgezeichnet wird (als Computing-Projekt bezeichnet). Lineage wird wie oben beschrieben in dem Projekt gespeichert, in dem der entsprechende Prozess ausgeführt wurde. Dieses Projekt kann sich von dem Projekt unterscheiden, in dem das Asset gespeichert wird, für das sich der Nutzer Herkunft ansieht.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten. Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Je nach Anwendungsfall müssen Sie möglicherweise Data Lineage Viewer (roles/datalineage.viewer) auf Ordner- oder Organisationsebene gewähren,damit ein Nutzer auf die vollständige Herkunftsgrafik zugreifen kann (siehe Einzelne Rolle zuweisen oder widerrufen). Für Data Lineage erforderliche Rollen können nur über die Google Cloud CLI gewährt werden.
Rollen zum Ansehen von Metadaten von Assets im Herkunftsdiagramm
Wenn Metadaten zu einem Asset in der Grafik in Data Catalog gespeichert werden, können Nutzer diese Metadaten nur dann sehen, wenn sie eine Betrachterrolle für die entsprechende Systemressource oder die Data Catalog-Betrachter (roles/datacatalog.viewer) für das Projekt haben, in dem der Data Catalog-Eintrag gespeichert ist.
Der Zugriff auf Metadaten von Assets im Diagramm ist unabhängig vom Zugriff auf die Herkunft. Es ist möglich, dass der Nutzer über die entsprechenden Betrachterrollen auf die Assets in der Grafik zugreifen kann, aber nicht auf die Herkunft zwischen ihnen zugreifen kann. Das ist der Fall, wenn der Nutzer nicht die Berechtigung Data Lineage Viewer (roles/datalineage.viewer) für das Projekt hat, in dem die Lineage aufgezeichnet wurde. In diesem Fall wird die Herkunft in der Data Lineage API und -Benutzeroberfläche nicht angezeigt und es wird kein Fehler zurückgegeben, um zu verhindern, dass Informationen über das Vorhandensein der Herkunft weitergegeben werden. Das Fehlen der Herkunft für ein Asset bedeutet daher nicht, dass es keine Herkunft für dieses Asset gibt. Der Nutzer hat möglicherweise keinen Zugriff auf diese Herkunft.
Rolle „Data Lineage Events Producer“
Mit der Rolle roles/datalineage.producer können Nutzer mit der Data Lineage API manuell Informationen zur Herkunft aufzeichnen.
Rolle „Data Lineage-Bearbeiter“
Mit der Rolle roles/datalineage.editor können Nutzer die Herkunftsinformationen mithilfe der Data Lineage API manuell ändern.
Rolle „Data Lineage-Administrator“
Mit der Rolle roles/datalineage.admin können Nutzer alle in diesem Abschnitt aufgeführten Herkunftsvorgänge ausführen.
Rollen zum Ansehen öffentlicher und privater Tags
Öffentliche Tags können Sie einfach finden. Sie können einen Dateneintrag einschließlich seiner öffentlichen Tags ansehen, sofern Sie die erforderlichen Berechtigungen zum Ansehen des Dateneintrags haben. Für die Tag-Vorlage sind keine zusätzlichen Berechtigungen erforderlich. Informationen zu den erforderlichen Berechtigungen zum Ansehen des Dateneintrags finden Sie in der Tabelle in diesem Abschnitt.
Wir empfehlen jedoch, den Nutzern, die nach diesen öffentlichen Tags suchen sollen, auch die Berechtigung datacatalog.tagTemplates.get zu gewähren. Mit dieser Berechtigung können Nutzer auch das Suchprädikat tag: oder das Suchattribut „Tag-Vorlage“ auf der Data Catalog-Suchseite verwenden.
Bei privaten Tags benötigen Sie Leseberechtigungen sowohl für die Tag-Vorlage als auch für den Dateneintrag, um nach dem Tag zu suchen und es auf der Seite mit den Eintragsdetails zu sehen. Nutzer müssen das Suchprädikat tag: oder das Tag-Vorlagen-Suchattribut verwenden, um die Tags zu finden. Die einfache Suche nach privaten Tags wird nicht unterstützt.
Hinweise:
Die für die private Tag-Vorlage erforderliche Leseberechtigung ist
datacatalog.tagTemplates.getTag.Die Anzeigeberechtigungen für den Dateneintrag für öffentliche und private Tags sind in der folgenden Tabelle enthalten.
| Ressource | Berechtigung | Rolle |
|---|---|---|
| BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/datacatalog.tagTemplateViewerroles/bigquery.metadataViewerroles/bigquery.connectionUser |
| Pub/Sub-Themen | pubsub.topics.get |
roles/datacatalog.tagTemplateViewerroles/pubsub.viewer |
| Spanner-Instanzen, -Datenbanken, -Tabellen und -Ansichten | Instance: spanner.instances.getDatabase:spanner.databases.getTable: spanner.databases.getViews: spanner.databases.getdatacatalog.tagTemplates.getTag |
Es sind keine vordefinierten Rollen verfügbar. |
| Bigtable-Instanzen und -Tabellen | bigtable.instances.getbigtable.tables.getdatacatalog.tagTemplates.getTag |
roles/datacatalog.tagTemplateViewerroles/bigtable.viewer |
| Dataproc Metastore-Dienste, -Datenbanken und -Tabellen | metastore.tables.getmetastore.databases.getmetastore.services.get |
roles/datacatalog.tagTemplateViewerroles/metastore.metadataViewer |
| Benutzerdefinierte Einträge | datacatalog.entries.get |
Es sind keine vordefinierten Rollen verfügbar. |
Rollen zum Durchsuchen von Google Cloud-Ressourcen
Vor der Suche nach oder Anzeige von Google Cloud-Ressourcen überprüft Data Catalog, ob dem Nutzer eine IAM-Rolle mit den von BigQuery, Pub/Sub, Dataproc Metastore oder einem anderen Quellsystem für den Zugriff auf die Ressourcen erforderlichen Metadaten-Leseberechtigungen gewährt wurde.
Beispiel: Der Data Catalog überprüft, ob dem Nutzer eine Rolle mit bigquery.tables.get permission zugewiesen wurde, bevor BigQuery-Tabellenmetadaten angezeigt werden.
In der folgenden Tabelle sind die Berechtigungen und die zugehörigen Rollen aufgeführt, die ein Nutzer benötigt, um mit Data Catalog in den aufgeführten Google Cloud-Ressourcen zu suchen.
| Ressource | Berechtigung | Rolle |
|---|---|---|
| BigQuery-Datasets, -Tabellen, -Modelle, -Routinen und -Verbindungen | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/bigquery.metadataViewerroles/bigquery.connectionUserWeitere Informationen finden Sie unter Rolle „Data Catalog-Betrachter“ |
| Pub/Sub-Themen | pubsub.topics.get |
roles/pubsub.viewerSiehe auch Rolle „Data Catalog-Betrachter“ |
| Spanner-Datenbanken und -Tabellen | Instanz: spanner.instances.getDatenbank: spanner.databases.getAufrufe: spanner.databases.get |
Es sind keine vordefinierten Rollen verfügbar. |
| Bigtable-Instanzen und -Tabellen | bigtable.instances.getbigtable.tables.get |
roles/bigtable.viewerSiehe auch Rolle „Data Catalog-Betrachter“ |
| Dataplex-Lakes, -Zonen, -Tabellen und -Dateisätze | dataplex.lakes.getdataplex.zones.get dataplex.entities.getdataplex.entities.get |
Es sind keine vordefinierten Rollen verfügbar. |
| Dataproc Metastore-Dienste, -Datenbanken und -Tabellen | metastore.tables.getmetastore.databases.get metastore.services.get |
roles/metastore.metadataViewer |
Rollen zum Anhängen von Tags an Google Cloud-Ressourcen
Zum Anhängen öffentlicher und privater Tags an Google Cloud-Ressourcen sind dieselben Berechtigungen erforderlich.
Mit Data Catalog können Nutzer Metadaten auf Google Cloud-Ressourcen durch das Anhängen von Tags erweitern. In einer Tag-Vorlage ist mindestens ein Tag definiert, das an eine Ressource angehängt werden kann.
Wenn ein Nutzer versucht, mit der Tag-Vorlage ein Tag an eine Google Cloud-Ressource anzuhängen, prüft Data Catalog, ob er die erforderlichen Berechtigungen zur Verwendung der Tag-Vorlage und zum Aktualisieren der Ressourcenmetadaten hat. Berechtigungen werden über IAM-Rollen gewährt, wie in der folgenden Tabelle dargestellt.
In der folgenden Tabelle sind die Berechtigungen und zugehörigen Rollen aufgeführt, die ein Nutzer benötigt, um mit Data Catalog sowohl öffentliche als auch private Tags an aufgeführte Google Cloud-Ressourcen anzuhängen.
In jeder Zeile der folgenden Tabelle sind die Berechtigungen aufgeführt, die zum Taggen von Ressourcen erforderlich sind. Durch die entsprechenden Rollen können zusätzliche Berechtigungen erteilt werden. Klicken Sie auf die einzelnen Rollen, um alle damit verknüpften Berechtigungen anzuzeigen.
Hinweise:
Der Inhaber eines Dateneintrags hat standardmäßig die Berechtigung
datacatalog.entries.updateTag. Allen anderen Nutzern muss die Rolle datacatalog.tagEditor gewährt werden.Die Berechtigung
datacatalog.tagTemplates.useist auch für alle in der Tabelle aufgeführten Ressourcen erforderlich.
| Ressource | Berechtigungen | Rolle |
|---|---|---|
| BigQuery-Datasets, -Tabellen, Modelle, -Routinen und -Verbindungen |
bigquery.datasets.updateTagbigquery.tables.updateTagbigquery.models.updateTagbigquery.routines.updateTagbigquery.connections.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigquery.dataEditor |
| Pub/Sub-Themen | pubsub.topics.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/pubsub.editor |
| Spanner-Datenbanken und -Tabellen. | Instanz: spanner.instances.UpdateTagDatenbank: spanner.databases.UpdateTagTabelle: spanner.databases.UpdateTagAnsichten: spanner.databases.UpdateTag |
Es sind keine vordefinierten Rollen verfügbar. |
| Bigtable-Instanzen und -Tabellen | bigtable.instances.updatebigtable.tables.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigtable.admin |
| Dataplex-Lakes, -Zonen, -Tabellen und -Dateisätze | dataplex.lakes.updatedataplex.zones.update dataplex.entities.updatedataplex.entities.update |
Es sind keine vordefinierten Rollen verfügbar. |
| Dataproc Metastore-Dienste, -Datenbanken und -Tabellen | metastore.tables.updatemetastore.databases.update metastore.services.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/metastore.editorroles/metastore.metadataEditor |
Benutzerdefinierte Rollen für Google Cloud-Ressourcen
Vordefinierte Bearbeiterrollen für Dateneinträge aus anderen Google Cloud-Systemen bieten möglicherweise einen umfassenderen Schreibzugriff als erforderlich. Verwenden Sie benutzerdefinierte Rollen, um Berechtigungen des Typs *.updateTag nur für eine Google Cloud-Ressource anzugeben.
Rollen zum Ändern von Rich-Text-Übersicht und Data Stewards in Data Catalog
Nutzer benötigen die folgenden Rollen, um eine Rich-Text-Übersicht anzuhängen und Data Stewards für Einträge in Data Catalog zuzuweisen:
| Ressource | Berechtigungen | Rolle |
|---|---|---|
| Google Cloud-Projekte | datacatalog.entries.updateOverview datacatalog.entries.updateContacts |
roles/datacatalog.dataSteward |
Identitätsföderation in Data Catalog
Mit der Identitätsföderation können Sie einen externen Identitätsanbieter (Identity Provider, IdP) verwenden, um Nutzer mit IAM für Google Cloud-Dienste zu authentifizieren und zu autorisieren.
Data Catalog unterstützt die Identitätsföderation mit den folgenden Einschränkungen:
- Die Methoden SearchCatalog und StarEntry der Data Catalog API unterstützen nur die Mitarbeiteridentitätsföderation und sind nicht für die Identitätsföderation von Arbeitslasten verfügbar.
- Dataplex unterstützt die Google Cloud Console nicht für Nutzer der Identitätsföderation
Weitere Informationen
- Dataplex-Rollen
- Data Catalog-Rollen
- BigQuery-Zugriffssteuerung
- Pub/Sub-Zugriffssteuerung
- Dataproc Metastore-Zugriffssteuerung