Data Catalog IAM

이 문서는 사용자가 Data Catalog를 사용하여 Google Cloud 리소스를 검색하고 태깅할 수 있도록 하는 Identity and Access Management(IAM) 역할에 대해 설명합니다.

IAM 용어

권한
런타임 시 사용자가 작업을 수행하거나 Google Cloud 리소스에 액세스할 수 있도록 확인합니다. 사용자에게는 권한이 직접 부여되지 않지만 권한이 포함된 역할이 부여됩니다.
역할
역할이란 사전 정의된 권한의 모음입니다. 권한의 커스텀 컬렉션으로 구성된 커스텀 역할도 허용될 수 있습니다.

Data Catalog 역할 보기

Google Cloud 콘솔에서 다음 단계를 수행합니다.

  1. IAM 및 관리자 > 역할 페이지로 이동합니다.

    역할로 이동

  2. 필터 필드에서 사용 그룹을 선택하고 Data Catalog를 입력한 다음 Enter 키를 누릅니다.

  3. 나열된 역할 중 하나를 클릭하면 오른쪽 창에 역할 권한이 표시됩니다.

    예를 들어 Data Catalog 관리자 역할에는 모든 Data Catalog 리소스에 대한 전체 액세스 권한이 있습니다.

사전 정의된 Data Catalog 역할

일부 사전 정의된 Data Catalog 역할에는 Data Catalog 관리자, Data Catalog 뷰어, Data Catalog 태그 템플릿 생성자가 포함됩니다. 다음 섹션에서 이러한 역할 중 일부에 대해 설명합니다.

Data Catalog의 사전 정의된 역할과 각 역할과 관련된 권한의 목록과 설명은 Data Catalog 역할을 참조하세요.

관리자 역할

roles/datacatalog.admin 역할은 모든 Data Catalog 리소스에 대한 액세스 권한을 갖습니다. Data Catalog 관리자는 여러 유형의 사용자를 Data Catalog 프로젝트에 추가할 수 있습니다.

데이터 스튜어드 역할

roles/datacatalog.dataSteward 역할이 있으면 데이터 스튜어드와 BigQuery 테이블과 같은 데이터 항목에 대한 서식 있는 텍스트 개요를 추가, 수정, 삭제할 수 있습니다.

뷰어 역할

Google Cloud 리소스에 대한 액세스 권한 확보를 단순화하기 위해 Data Catalog는 카탈로그로 지정된 모든 Google Cloud 리소스에 대해 메타데이터 읽기 권한이 있는 roles/datacatalog.viewer 역할을 제공합니다.

또한 이 역할은 Data Catalog 태그 템플릿 및 태그를 볼 수 있는 권한을 부여합니다.

사용자가 Data Catalog에서 Google Cloud 리소스를 볼 수 있도록 프로젝트에 Data Catalog 뷰어 역할을 부여합니다.

태그 템플릿 생성자 역할

roles/datacatalog.tagTemplateCreator 역할을 사용하면 사용자가 태그 템플릿을 만들 수 있습니다.

공개 및 비공개 태그를 볼 수 있는 역할

간단한 검색을 통해 공개 태그를 검색할 수 있습니다. 데이터 항목을 보는 데 필요한 권한이 있는 한 공개 태그를 포함한 데이터 항목을 볼 수 있습니다. 태그 템플릿에 대한 추가 권한은 필요 없습니다. 데이터 항목을 보는 데 필요한 권한은 이 섹션의 표를 참조하세요.

하지만 이러한 공개 태그를 검색할 것으로 예상되는 사용자에게 datacatalog.tagTemplates.get 권한도 부여하는 것이 좋습니다. 이 권한이 있으면 사용자는 검색 조건자 tag:를 사용하거나 Data Catalog 검색 페이지에서 태그 템플릿 검색 속성을 사용할 수 있습니다.

비공개 태그의 경우 태그를 검색하고 항목 세부정보 페이지에서 태그를 보려면 태그 템플릿과 데이터 항목 모두에 대한 보기 권한이 필요합니다. 사용자는 tag: 검색 조건자 또는 태그 템플릿 검색 속성을 사용하여 태그를 찾아야 합니다. 비공개 태그의 간단한 검색은 지원되지 않습니다.

비공개 태그 템플릿에 필요한 보기 권한은 datacatalog.tagTemplates.getTag입니다.

다음 표에는 공개 태그와 비공개 태그 모두에 대한 데이터 항목의 보기 권한이 나와 있습니다.

리소스 권한 역할
BigQuery 데이터 세트, 테이블, 모델, 루틴, 연결 bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/datacatalog.tagTemplateViewer
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
게시/구독 주제 pubsub.topics.get roles/datacatalog.tagTemplateViewer
roles/pubsub.viewer
(공개 미리보기) Dataproc Metastore 서비스, 데이터베이스, 테이블 metastore.tables.get
metastore.databases.get
metastore.services.get
사전 정의된 역할은 사용할 수 없습니다.
커스텀 항목 datacatalog.entries.get 사전 정의된 역할은 사용할 수 없습니다.

Google Cloud 리소스 검색 역할

Google Cloud 리소스를 검색, 탐색, 표시하기 전에 Data Catalog는 BigQuery, Pub/Sub, Dataproc Metastore 또는 리소스를 액세스하는 다른 소스 시스템에서 필요한 메타데이터 읽기 권한이 있는 IAM 역할이 사용자에게 부여되었는지 확인합니다.

예: Data Catalog는 BigQuery 테이블 메타데이터를 표시하기 전에 사용자가 bigquery.tables.get permission이 있는 역할을 부여받았는지 확인합니다.

다음 표에서는 사용자가 Data Catalog를 사용해서 나열된 Google Cloud 리소스를 검색하는 데 필요한 권한 및 연결된 역할을 보여줍니다.

리소스 권한 역할
BigQuery 데이터 세트, 테이블, 모델, 루틴, 연결 bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
Data Catalog 뷰어 역할도 참조하세요.
게시/구독 주제 pubsub.topics.get roles/pubsub.viewer
Data Catalog 뷰어 역할도 참조하세요.
Dataplex 레이크, 영역, 테이블, 파일 세트 dataplex.lakes.get
dataplex.zones.get
dataplex.entities.get
dataplex.entities.get
사전 정의된 역할은 사용할 수 없습니다.
(공개 미리보기) Dataproc Metastore 서비스, 데이터베이스, 테이블 metastore.tables.get
metastore.databases.get
metastore.services.get
사전 정의된 역할은 사용할 수 없습니다.

Google Cloud 리소스에 태그를 연결하는 역할

공개 태그와 비공개 태그를 Google Cloud 리소스에 연결하려면 동일한 권한이 필요합니다.

Data Catalog는 사용자가 태그를 연결하여 Google Cloud 리소스의 메타데이터를 확장할 수 있도록 합니다. 리소스에 첨부할 수 있는 하나 이상의 태그는 태그 템플릿에 정의되어 있습니다.

사용자가 태그 템플릿을 사용하여 태그를 Google Cloud 리소스에 첨부하려고 하면 Data Catalog는 사용자에게 태그 템플릿을 사용하고 리소스 메타 데이터를 업데이트하는 데 필요한 권한이 있는지 확인합니다. 권한은 다음 표에 표시된 대로 IAM 역할을 통해 부여됩니다.

다음 표에는 Data Catalog를 사용하여 공개 및 비공개 태그 모두를 나열된 Google Cloud 리소스에 연결하는 데 필요한 권한과 관련 역할이 나와 있습니다.

다음 표의 각 행에는 리소스에 태그를 지정하는 데 필요한 권한만 나와 있습니다. 해당 역할이 추가 권한을 부여할 수 있습니다. 각 역할을 클릭하면 역할에 연결된 모든 권한을 확인할 수 있습니다.

데이터 항목의 소유자는 기본적으로 datacatalog.entries.updateTag 권한을 가집니다. 다른 모든 사용자에게는 datacatalog.tagEditor 역할을 부여해야 합니다.

리소스 권한 역할
BigQuery 데이터 세트, 테이블, 모델, 루틴, 연결 datacatalog.tagTemplates.use
AND
bigquery.datasets.updateTag
bigquery.tables.updateTag
bigquery.models.updateTag
bigquery.routines.updateTag
bigquery.connections.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/bigquery.dataEditor
게시/구독 주제 datacatalog.tagTemplates.use
pubsub.topics.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/pubsub.editor
Dataplex 레이크, 영역, 테이블, 파일 세트 datacatalog.tagTemplates.use
dataplex.lakes.update
dataplex.zones.update
dataplex.entities.update
dataplex.entities.update
사전 정의된 역할은 사용할 수 없습니다.
(공개 미리보기) Dataproc Metastore 서비스, 데이터베이스, 테이블 datacatalog.tagTemplates.use
metastore.tables.update
metastore.databases.update
metastore.services.update
사전 정의된 역할은 사용할 수 없습니다.

Google Cloud 리소스의 커스텀 역할

다른 Google Cloud 시스템의 데이터 항목에 대한 사전 정의된 편집자 역할이 필요한 것보다 더 넓은 쓰기 액세스를 제공할 수 있습니다. Google Cloud 리소스에 대해서만 *.updateTag 권한을 지정하려면 커스텀 역할을 사용합니다.

추가 정보