Dokumen ini menjelaskan peran Identity and Access Management (IAM) yang memungkinkan pengguna menggunakan Data Catalog untuk menelusuri dan memberi tag pada resource Google Cloud.
Terminologi IAM
- Izin
- Diperiksa saat runtime untuk mengizinkan pengguna menjalankan operasi atau mengakses resource Google Cloud. Pengguna tidak diberi izin secara langsung, tetapi diberi peran yang berisi izin.
- Peran
- Peran adalah kumpulan izin yang telah ditetapkan. Peran khusus yang terdiri dari kumpulan izin khusus juga diperbolehkan.
Melihat peran Data Catalog
Dalam konsol Google Cloud, lakukan langkah-langkah berikut:
Buka IAM & Admin > halaman Roles.
Di kolom Filter, pilih Digunakan di, ketik
Data CatalogatauData Lineage, lalu klik Enter.Klik peran untuk melihat izin peran tersebut di panel kanan.
Misalnya, peran Data Catalog Admin memiliki akses penuh ke semua resource Data Catalog.
Peran Data Catalog yang telah ditentukan sebelumnya
Beberapa peran Data Catalog yang telah ditetapkan mencakup Admin Data Catalog, Data Catalog Viewer, dan Data Catalog TagTemplate Creator. Beberapa peran ini akan dijelaskan di bagian berikutnya.
Untuk daftar dan deskripsi peran bawaan Data Catalog dan izin yang terkait dengan setiap peran, lihat Peran Data Catalog.
Peran Admin Data Catalog
Peran roles/datacatalog.admin memiliki akses ke semua resource Data Catalog. Admin Data Catalog dapat menambahkan berbagai jenis pengguna ke project Data Catalog.
Peran Data Steward DataCatalog
Peran roles/datacatalog.dataSteward memungkinkan Anda menambahkan, mengedit, atau menghapus pengelola data dan ringkasan rich text untuk entri data seperti tabel BigQuery.
Peran Data Catalog Viewer
Untuk menyederhanakan mendapatkan akses ke resource Google Cloud, Data Catalog memberikan peran roles/datacatalog.viewer dengan izin baca metadata untuk semua resource Google Cloud yang ada dalam katalog.
Peran ini juga memberikan izin untuk melihat template dan tag tag Data Catalog.
Berikan peran Data Catalog Viewer pada project Anda untuk mengizinkan pengguna melihat resource Google Cloud di Data Catalog.
Peran Data Catalog TagTemplate Creator
Peran roles/datacatalog.tagTemplateCreator memungkinkan pengguna membuat template tag.
Peran Admin DataCatalog Search
Peran roles/datacatalog.searchAdmin memungkinkan pengguna mengambil, melalui penelusuran, semua resource Google Cloud yang katalog dalam sebuah project atau organisasi.
Peran silsilah data yang telah ditentukan sebelumnya
Untuk mengakses grafik silsilah untuk entri Data Catalog apa pun, pengguna memerlukan
akses ke entri tersebut di Data Catalog. Untuk mengakses
entri Data Catalog, pengguna memerlukan peran pelihat di
resource sistem atau
Data Catalog Viewer
yang sesuai (roles/datacatalog.viewer) pada project yang menyimpan
entri Data Catalog. Bagian ini menjelaskan peran yang diperlukan untuk
melihat dan memanipulasi grafik silsilah.
Peran Lineage Viewer
Peran Data Lineage Viewer
(roles/datalineage.viewer) memungkinkan pengguna melihat grafik silsilah
Dataplex di Konsol Google Cloud dan membaca informasi silsilah data menggunakan
Data Lineage API. Proses, dan peristiwa untuk proses tertentu disimpan dalam project yang sama dengan proses tersebut. Dalam kasus silsilah otomatis,
proses, operasi, dan peristiwa
disimpan dalam project tempat tugas yang menghasilkan silsilah
dijalankan. Hal ini dapat misalnya project tempat tugas BigQuery dijalankan.
Anda memerlukan peran yang berbeda-beda untuk melihat silsilah antara aset dalam grafik dan melihat metadata aset pada grafik. Untuk yang pertama, Anda memerlukan Data Lineage Viewer (roles/datalineage.viewer). Untuk yang kedua, Anda memerlukan peran yang sama seperti yang digunakan untuk mengakses entri metadata di Data Catalog. Dua subbagian berikut memberikan detail lebih lanjut.
Peran untuk melihat silsilah antara dua aset
Untuk melihat silsilah antar-aset pada grafik silsilah, pengguna memerlukan Data lineage Viewer (roles/datalineage.viewer) pada project berikut:
- Project tempat pengguna melihat silsilah (dikenal sebagai project aktif), yaitu project yang ditampilkan di drop-down pada bagian atas Konsol Google Cloud atau project tempat panggilan API dilakukan. Ini biasanya adalah project resource Data Catalog.
- Project yang silsilahnya direkam (dikenal sebagai project komputasi). Silsilah disimpan dalam project tempat proses yang sesuai dijalankan, seperti yang dijelaskan di atas. Project ini dapat berbeda dari project yang menyimpan aset yang ingin dilihat pengguna.
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses. Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran standar lainnya.
Bergantung pada kasus penggunaannya,Anda mungkin harus memberikan Data lineage Viewer (roles/datalineage.viewer) di tingkat folder atau organisasi untuk memastikan pengguna dijamin dapat mengakses grafik silsilah lengkap (lihat Memberikan atau mencabut satu peran). Peran yang diperlukan untuk Silsilah data hanya dapat diberikan melalui Google Cloud CLI.
Peran untuk melihat metadata aset pada grafik silsilah
Saat metadata tentang aset pada grafik disimpan di Data Catalog, pengguna hanya dapat melihat metadata tersebut jika memiliki peran pelihat di resource sistem atau Data Catalog Viewer yang sesuai (roles/datacatalog.viewer) di project tempat entri Data Catalog disimpan.
Akses ke metadata aset pada grafik tidak bergantung pada akses ke silsilah aset. Ada kemungkinan bahwa pengguna memiliki akses ke aset pada grafik melalui peran penonton yang sesuai, tetapi tidak dapat mengakses silsilah di antara mereka. Hal ini terjadi jika pengguna tidak memiliki Pelihat silsilah data (roles/datalineage.viewer) pada project yang direkam silsilah data. Dalam hal ini, Data Lineage API dan UI tidak akan menampilkan silsilah dan tidak menampilkan error, untuk mencegah kebocoran informasi tentang keberadaan silsilah. Oleh karena itu, tidak adanya silsilah untuk suatu aset bukan berarti tidak ada silsilah untuk aset tersebut. Pengguna mungkin tidak memiliki akses ke silsilah tersebut.
Peran Produsen Data Lineage Events
Peran roles/datalineage.producer memungkinkan pengguna merekam informasi silsilah
secara manual menggunakan API silsilah data.
Peran Data Lineage Editor
Peran roles/datalineage.editor memungkinkan pengguna mengubah informasi silsilah
secara manual menggunakan API silsilah data.
Peran Administrator Data Lineage
Peran roles/datalineage.admin memungkinkan pengguna melakukan semua operasi silsilah
yang tercantum di bagian ini.
Peran untuk melihat tag publik dan pribadi
Anda dapat mencari tag publik menggunakan penelusuran sederhana. Anda dapat melihat entri data, termasuk tag publiknya, selama Anda memiliki izin yang diperlukan untuk melihat entri data tersebut. Tidak diperlukan izin tambahan pada template tag. Untuk izin yang diperlukan guna melihat entri data, lihat tabel di bagian ini.
Namun, sebaiknya berikan juga izin datacatalog.tagTemplates.get kepada pengguna yang diharapkan dapat menelusuri tag publik ini. Dengan izin ini, pengguna juga dapat menggunakan predikat penelusuran tag: atau menggunakan faset penelusuran template tag di halaman penelusuran Data Catalog.
Untuk tag pribadi, Anda memerlukan izin lihat pada template tag dan entri data untuk menelusuri tag dan melihat tag di halaman detail entri. Pengguna harus menggunakan predikat penelusuran tag: atau faset penelusuran template tag untuk menemukan tag; penelusuran sederhana untuk tag pribadi tidak didukung.
Catatan:
Izin lihat yang diperlukan di template tag pribadi adalah
datacatalog.tagTemplates.getTag.Izin lihat pada entri data untuk tag publik dan pribadi disertakan dalam tabel berikut.
| Resource | Izin | Peran |
|---|---|---|
| Set data, tabel, model, rutinitas, dan koneksi BigQuery | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/datacatalog.tagTemplateViewerroles/bigquery.metadataViewerroles/bigquery.connectionUser |
| Topik Pub/Sub | pubsub.topics.get |
roles/datacatalog.tagTemplateViewerroles/pubsub.viewer |
| Instance, database, tabel, dan tampilan Spanner | Instance: spanner.instances.getDatabase:spanner.databases.getTable: spanner.databases.getViews: spanner.databases.getdatacatalog.tagTemplates.getTag |
Tidak ada peran bawaan yang tersedia. |
| Instance dan tabel Bigtable | bigtable.instances.getbigtable.tables.getdatacatalog.tagTemplates.getTag |
roles/datacatalog.tagTemplateViewerroles/bigtable.viewer |
| Layanan, database, dan tabel Dataproc Metastore | metastore.tables.getmetastore.databases.getmetastore.services.get |
roles/datacatalog.tagTemplateViewerroles/metastore.metadataViewer |
| Entri kustom | datacatalog.entries.get |
Tidak ada peran bawaan yang tersedia. |
Peran untuk menelusuri resource Google Cloud
Sebelum menelusuri, menemukan, atau menampilkan resource Google Cloud, Data Catalog akan memeriksa apakah pengguna telah diberi peran IAM dengan izin baca metadata yang diperlukan oleh BigQuery, Pub/Sub, Dataproc Metastore, atau sistem sumber lain untuk mengakses resource tersebut.
Contoh: Data Catalog akan memeriksa apakah pengguna telah diberi peran dengan bigquery.tables.get permission sebelum menampilkan metadata tabel BigQuery.
Tabel berikut berisi daftar izin dan peran terkait yang diperlukan pengguna untuk menggunakan Data Catalog guna menelusuri resource Google Cloud yang tercantum.
| Resource | Izin | Peran |
|---|---|---|
| Set data, tabel, model, rutinitas, dan koneksi BigQuery | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/bigquery.metadataViewerroles/bigquery.connectionUserLihat juga peran Data Catalog Viewer |
| Topik Pub/Sub | pubsub.topics.get |
roles/pubsub.viewerLihat juga peran Data Catalog Viewer |
| Database dan tabel Spanner | Instance: spanner.instances.getDatabase: spanner.databases.getView: spanner.databases.get |
Tidak ada peran bawaan yang tersedia. |
| Instance dan tabel Bigtable | bigtable.instances.getbigtable.tables.get |
roles/bigtable.viewerLihat juga peran Data Catalog Viewer |
| Danau, zona, tabel, dan kumpulan file dataplex | dataplex.lakes.getdataplex.zones.get dataplex.entities.getdataplex.entities.get |
Tidak ada peran bawaan yang tersedia. |
| Layanan, database, dan tabel Dataproc Metastore | metastore.tables.getmetastore.databases.get metastore.services.get |
roles/metastore.metadataViewer |
Peran untuk melampirkan tag ke resource Google Cloud
Untuk melampirkan tag publik dan pribadi ke resource Google Cloud, diperlukan izin yang sama.
Dengan Data Catalog, pengguna dapat memperluas metadata di resource Google Cloud dengan melampirkan tag. Satu atau beberapa tag yang dapat dilampirkan ke resource ditetapkan dalam template tag.
Saat pengguna mencoba menggunakan template tag untuk melampirkan tag ke resource Google Cloud, Data Catalog akan memeriksa apakah pengguna tersebut memiliki izin yang diperlukan untuk menggunakan template tag dan memperbarui metadata resource. Izin diberikan melalui peran IAM, seperti yang ditunjukkan dalam tabel berikut.
Tabel berikut mencantumkan izin dan peran terkait yang diperlukan pengguna untuk menggunakan Data Catalog guna melampirkan tag publik dan pribadi ke resource Google Cloud yang tercantum.
Setiap baris dalam tabel berikut mencantumkan izin yang diperlukan untuk memberi tag pada resource. Peran yang sesuai dapat memberikan izin tambahan. Klik setiap peran untuk melihat semua izin yang terkait.
Catatan:
Pemilik entri data memiliki izin
datacatalog.entries.updateTagsecara default. Semua pengguna lain harus diberi peran datacatalog.tagEditor.Izin
datacatalog.tagTemplates.usejuga diperlukan untuk semua resource yang tercantum dalam tabel.
| Resource | Izin | Peran |
|---|---|---|
| Set data, tabel, model, rutinitas, dan koneksi BigQuery |
bigquery.datasets.updateTagbigquery.tables.updateTagbigquery.models.updateTagbigquery.routines.updateTagbigquery.connections.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigquery.dataEditor |
| Topik Pub/Sub | pubsub.topics.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/pubsub.editor |
| Database dan tabel Spanner. | Instance: spanner.instances.UpdateTagDatabase: spanner.databases.UpdateTagTabel: spanner.databases.UpdateTagView: spanner.databases.UpdateTag |
Tidak ada peran bawaan yang tersedia. |
| Instance dan tabel Bigtable | bigtable.instances.updatebigtable.tables.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigtable.admin |
| Danau, zona, tabel, dan kumpulan file dataplex | dataplex.lakes.updatedataplex.zones.update dataplex.entities.updatedataplex.entities.update |
Tidak ada peran bawaan yang tersedia. |
| Layanan, database, dan tabel Dataproc Metastore | metastore.tables.updatemetastore.databases.update metastore.services.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/metastore.editorroles/metastore.metadataEditor |
Peran khusus untuk resource Google Cloud
Peran editor yang telah ditentukan sebelumnya untuk entri data dari sistem Google Cloud lain mungkin memberikan akses tulis yang lebih luas dari yang diperlukan. Gunakan peran khusus untuk menentukan izin *.updateTag hanya di resource Google Cloud.
Peran untuk mengubah ringkasan rich text dan pengelola data di Data Catalog
Pengguna memerlukan peran berikut untuk melampirkan ringkasan rich text dan menetapkan pengelola data ke entri di Data Catalog:
| Resource | Izin | Peran |
|---|---|---|
| Project Google Cloud | datacatalog.entries.updateOverview datacatalog.entries.updateContacts |
roles/datacatalog.dataSteward |
Gabungan identitas di Data Catalog
Dengan penggabungan identitas, Anda dapat menggunakan penyedia identitas (IdP) eksternal untuk mengautentikasi dan memberi pengguna otorisasi ke layanan Google Cloud dengan IAM.
Data Catalog mendukung penggabungan identitas dengan batasan berikut:
- Metode SearchCatalog dan StarEntry Data Catalog API hanya mendukung federasi identitas Workforce dan tidak tersedia untuk federasi identitas workload
- Dataplex tidak mendukung konsol Google Cloud untuk pengguna penggabungan identitas
Untuk informasi selengkapnya
- Peran Dataplex
- Peran Data Catalog
- Kontrol akses BigQuery
- Kontrol akses Pub/Sub
- Kontrol akses Metastore Dataproc