Data Catalog IAM

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

本文档介绍了允许用户使用 Data Catalog 搜索和标记 Google Cloud 资源的 Identity and Access Management (IAM) 角色。

IAM 术语

权限
在运行时进行检查,以允许用户执行操作或访问 Google Cloud 资源。用户不会被直接授予权限,而是被授予包含权限的角色
角色
角色是预定义的权限集合。也可以使用由一组自定义权限组成的自定义角色。

查看 Data Catalog 角色

在 Google Cloud Console 中,执行以下步骤:

  1. 依次转到 IAM 和管理角色页面。

    打开“角色”

  2. 过滤条件字段中,选择用于,输入 Data Catalog,然后按 Enter 键。

  3. 点击列出的某个角色,以在右侧窗格中查看其角色的权限。

    例如,Data Catalog Admin 角色拥有对所有 Data Catalog 资源的完整访问权限。

预定义的 Data Catalog 角色

一些预定义的 Data Catalog 角色包括 Data Catalog Admin、Data Catalog Viewer 和 Data Catalog 标记模板创建者。后续部分将介绍其中一些角色。

如需查看 Data Catalog 预定义角色以及与每个角色关联的权限的列表和说明,请参阅 Data Catalog 角色

管理员角色

roles/datacatalog.admin 角色可以访问所有 Data Catalog 资源。Data Catalog 管理员可以向 Data Catalog 项目添加不同类型的用户。

数据管理员角色

借助 roles/datacatalog.dataSteward 角色,您可以为 BigQuery 表等数据条目添加、修改或删除数据管理员以及富文本概览。

Viewer 角色

为了简化对 Google Cloud 资源的访问权限,Data Catalog 提供了 roles/datacatalog.viewer 角色,其中包含所有编录的 Google Cloud 资源的元数据读取权限。

此角色还授予查看 Data Catalog 标记模板和标记的权限。

为您的项目授予 Data Catalog Viewer 角色,使用户可以在 Data Catalog 中查看 Google Cloud 资源。

代码模板创建者角色

roles/datacatalog.tagTemplateCreator 角色可让用户创建代码模板。

可查看公开标签和不公开标签的角色

您可以使用简单搜索来搜索公开标签。只要您有查看数据条目所需的权限,就可以查看数据条目,包括其公开标记。无需对标记模板拥有其他权限。如需了解查看数据条目所需的权限,请参阅本部分中的表格。

不过,我们还建议您将 datacatalog.tagTemplates.get 权限授予预计会搜索这些公开标签的用户。拥有此权限的用户还可以在 Search Data Catalog 搜索页面中使用搜索谓词 tag: 或使用标记模板搜索分面。

对于专用标记,您需要拥有标记模板和数据条目的查看权限,才能搜索相应标记并在条目详情页面中查看该标记。用户需要使用 tag: 搜索谓词或标记模板搜索分面来查找标记;不支持简单搜索专用标记。

专用标记模板所需的查看权限为 datacatalog.tagTemplates.getTag

下表包含公开代码和专用数据条目的查看权限:

资源 权限 角色
BigQuery 数据集、表、模型、日常安排和连接 bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/datacatalog.tagTemplateViewer
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
Pub/Sub 主题 pubsub.topics.get roles/datacatalog.tagTemplateViewer
roles/pubsub.viewer
(公开预览版)Dataproc Metastore 服务、数据库和表 metastore.tables.get
metastore.databases.get
metastore.services.get
没有可用的预定义角色。
自定义条目 datacatalog.entries.get 没有可用的预定义角色。

用于搜索 Google Cloud 资源的角色

在搜索、发现或显示 Google Cloud 资源之前,Data Catalog 会检查用户是否被授予了访问资源所需的 IAM 角色,这些角色应包含 BigQuery、Pub/Sub、Dataproc Metastore 或其他源系统所需的元数据读取权限。

示例:Data Catalog 在显示 BigQuery 表元数据之前会检查用户是否已被授予具有 bigquery.tables.get permission 的角色。

下表列出了用户使用 Data Catalog 搜索列出的 Google Cloud 资源所需的权限和关联的角色。

资源 权限 角色
BigQuery 数据集、表、模型、日常安排和连接 bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
另请参阅 Data Catalog Viewer 角色
Pub/Sub 主题 pubsub.topics.get roles/pubsub.viewer
另请参阅 Data Catalog Viewer 角色
Dataplex 数据湖、可用区、表和文件集 dataplex.lakes.get
dataplex.zones.get
dataplex.entities.get
dataplex.entities.get
没有可用的预定义角色。
(公开预览版)Dataproc Metastore 服务、数据库和表 metastore.tables.get
metastore.databases.get
metastore.services.get
没有可用的预定义角色。

用于向 Google Cloud 资源附加标记的角色

如需向 Google Cloud 资源附加公共和专用标记,需要拥有相同的权限。

Data Catalog 允许用户通过附加标记来扩展 Google Cloud 资源上的元数据。标记模板中定义了可以附加到资源的一个或多个标记。

当用户尝试使用标记模板将标记附加到 Google Cloud 资源时,Data Catalog 会检查用户是否具有使用标记模板和更新资源元数据所需的权限。权限是通过 IAM 角色授予的,如下表所示。

下表列出了用户使用 Data Catalog 将公开标记和专用标记附加到列出的 Google Cloud 资源所需的权限和关联的角色。

下表中的每一行仅列出了标记资源所需的权限。相应的角色还可以授予其他权限。 点击各个角色即可查看与其关联的所有权限。

默认情况下,数据条目的所有者拥有 datacatalog.entries.updateTag 权限。所有其他用户都需要被授予 datacatalog.tagEditor 角色。

资源 权限 角色
BigQuery 数据集、表、模型、日常安排和连接 datacatalog.tagTemplates.use

bigquery.datasets.updateTag
bigquery.tables.updateTag
bigquery.models.updateTag
bigquery.routines.updateTag
bigquery.connections.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/bigquery.dataEditor
发布/订阅主题 datacatalog.tagTemplates.use
pubsub.topics.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/pubsub.editor
Dataplex 数据湖、可用区、表和文件集 datacatalog.tagTemplates.use
dataplex.lakes.update
dataplex.zones.update
dataplex.entities.update
dataplex.entities.update
没有可用的预定义角色。
(公开预览版)Dataproc Metastore 服务、数据库和表 datacatalog.tagTemplates.use
metastore.tables.update
metastore.databases.update
metastore.services.update
没有可用的预定义角色。

Google Cloud 资源的自定义角色

对于其他 Google Cloud 系统的数据条目,预定义的编辑者角色可能会提供超出预期的写入权限。使用自定义角色仅为 Google Cloud 资源指定 *.updateTag 权限。

可在 Data Catalog 中修改富文本概览和数据管理员的角色

用户需要以下角色才能附加富文本概览,并向 Data Catalog 中的条目分配数据:

资源 权限 角色
GCP 项目 datacatalog.entries.updateOverview
datacatalog.entries.updateContacts
roles/datacatalog.dataSteward

了解详情