Data Catalog IAM

本文档介绍了允许用户使用 Data Catalog 来搜索和标记 Google Cloud 资源的 Identity and Access Management (IAM) 角色。

IAM 术语

权限
在运行时检查,以允许用户执行操作或访问 Google Cloud 资源。用户不会被直接授予权限,而是被授予包含权限的角色
角色
角色是预定义的权限集合。自定义角色也包括自定义权限集合。

查看 Data Catalog 角色

在 Cloud Console 中,执行以下步骤:

  1. 转到 IAM 和管理 & 角色页面。

    转到“角色”

  2. Filter 字段中,选择 Used in,输入 Data Catalog,然后按 Enter

  3. 点击列出的角色之一可在右侧窗格中查看该角色的权限。

    例如,Data Catalog Admin 角色拥有对所有 Data Catalog 资源的完整访问权限。

预定义的 Data Catalog 角色

一些预定义的 Data Catalog 角色包括 Data Catalog Admin、Data Catalog Viewer 和 Data Catalog 标记模板创建者。以下部分介绍了其中一些角色。

如需查看 Data Catalog 预定义角色的列表和说明,以及与每个角色关联的权限,请参阅 Data Catalog 角色

Admin 角色

roles/datacatalog.admin 角色可以访问所有 Data Catalog 资源。Data Catalog 管理员可以向 Data Catalog 项目添加不同类型的用户。

数据管理员角色

roles/datacatalog.dataSteward 角色可让您添加、修改或删除数据管理员以及数据条目(如 BigQuery 表)的富文本概览。

Viewer 角色

为了简化获得 Google Cloud 资源访问权限的过程,Data Catalog 提供了所有编录的 Google Cloud 资源的元数据读取权限 roles/datacatalog.viewer

此角色还会授予查看 Data Catalog 标记模板和标记的权限。

为您的项目授予 Data Catalog Viewer 角色,以允许用户在 Data Catalog 中查看 Google Cloud 资源。

代码模板创建者角色

roles/datacatalog.tagTemplateCreator 角色可让用户创建代码模板。

可查看公开标签和不公开标签的角色

您可以使用简单搜索来搜索公开标记。只要您具有查看数据条目所需的权限,就可以查看数据条目,包括其公开标记。无需对标记模板拥有其他权限。如需了解查看数据条目所需的权限,请参阅本部分中的表格。

不过,我们建议同时向预计会搜索这些公开标记的用户授予 datacatalog.tagTemplates.get 权限。此权限允许用户使用搜索谓词 tag: 或使用 Data Catalog 搜索页中的标记模板搜索分面。

对于专用标记,您需要对标记模板和数据条目拥有查看权限,才能搜索标记并在条目详情页面中查看标记。用户需要使用 tag: 搜索谓词或标记模板搜索分面来查找标记;不支持对私有标记进行简单搜索。

私有标记模板所需的查看权限为 datacatalog.tagTemplates.getTag

下表包含公开和私有代码的数据条目的查看权限:

资源 权限 角色
BigQuery 数据集、表、模型、日常安排和连接 bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/datacatalog.tagTemplateViewer
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
Pub/Sub 主题 pubsub.topics.get roles/datacatalog.tagTemplateViewer
roles/pubsub.viewer
(公开预览)Dataproc Metastore 服务、数据库和表 metastore.tables.get
metastore.databases.get
metastore.services.get
没有可用的预定义角色。
自定义条目 datacatalog.entries.get 没有可用的预定义角色。

用于搜索 Google Cloud 资源的角色

在搜索、发现或显示 Google Cloud 资源之前,Data Catalog 会检查用户是否被授予了访问资源所需的 IAM 角色,这些角色应包含 BigQuery、Pub/Sub、Dataproc Metastore 或其他源系统所需的元数据读取权限。

示例:Data Catalog 在显示 BigQuery 表元数据之前会检查用户是否已被授予具有 bigquery.tables.get permission 的角色。

下表列出了用户使用 Data Catalog 搜索列出的 Google Cloud 资源所需的权限和关联的角色。

资源 权限 角色
BigQuery 数据集、表、模型、日常安排和连接 bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
另请参阅 Data Catalog Viewer 角色
Pub/Sub 主题 pubsub.topics.get roles/pubsub.viewer
另请参阅 Data Catalog Viewer 角色
Dataplex 数据湖、区域、表和文件集 dataplex.lakes.get
dataplex.zones.get
dataplex.entities.get
dataplex.entities.get
没有可用的预定义角色。
(公开预览)Dataproc Metastore 服务、数据库和表 metastore.tables.get
metastore.databases.get
metastore.services.get
没有可用的预定义角色。

将标记附加到 Google Cloud 资源的角色

如需向 Google Cloud 资源附加公开和专用标记,需要相同的权限。

Data Catalog 允许用户通过附加标记来扩展 Google Cloud 资源上的元数据。可以附加到资源的一个或多个标记在标记模板中定义。

当用户尝试使用标记模板将标记附加到 Google Cloud 资源时,Data Catalog 会检查用户是否具有使用标记模板和更新资源元数据所需的权限。权限通过 IAM 角色授予,如下表所示。

下表列出了用户使用 Data Catalog 将公开标记和私有标记附加到列出的 Google Cloud 资源所需的权限和关联的角色。

下表中的每一行仅列出标记资源所需的权限。相应的角色还可以授予其他权限。 点击各个角色即可查看与其关联的所有权限。

默认情况下,数据条目的所有者拥有 datacatalog.entries.updateTag 权限。所有其他用户都需要被授予 datacatalog.tagEditor 角色。

资源 权限 角色
BigQuery 数据集、表、模型、日常安排和连接 datacatalog.tagTemplates.use

bigquery.datasets.updateTag
bigquery.tables.updateTag
bigquery.models.updateTag
bigquery.routines.updateTag
bigquery.connections.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/bigquery.dataEditor
发布/订阅主题 datacatalog.tagTemplates.use
pubsub.topics.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/pubsub.editor
Dataplex 数据湖、区域、表和文件集 datacatalog.tagTemplates.use
dataplex.lakes.update
dataplex.zones.update
dataplex.entities.update
dataplex.entities.update
没有可用的预定义角色。
(公开预览)Dataproc Metastore 服务、数据库和表 datacatalog.tagTemplates.use
metastore.tables.update
metastore.databases.update
metastore.services.update
没有可用的预定义角色。

Google Cloud 资源的自定义角色

来自其他 Google Cloud 系统的数据条目的预定义编辑者角色可提供超出预期的写入权限。使用自定义角色可仅指定对 Google Cloud 资源的 *.updateTag 权限。

了解详情