默认情况下,所有 Google Cloud 项目都只包含一位用户,即原始项目创建者。其他用户在被添加为项目成员或绑定到特定资源之前,无权访问项目,因此也无法访问 Dataplex 资源。本页面介绍了向项目中添加新用户的方法,以及如何为 Dataplex 资源设置访问权限控制。
什么是 IAM?
Google Cloud 提供 Identity and Access Management (IAM),可让您授予对特定 Google Cloud 资源的更细化访问权限,并阻止对其他资源的不必要访问。IAM 允许您采用最小权限安全原则,您只需授予对您资源的必要访问权限。
IAM 还允许您通过设置 IAM 政策来控制谁(身份)对哪些资源具有什么权限(角色)。IAM 政策可为项目成员授予一个或多个特定角色,进而授予相应身份特定权限。例如,对于项目等给定资源,您可以为 Google 帐号分配 roles/dataplex.admin 角色,该帐号可以控制项目中的 Dataplex 资源,但无法管理其他资源。您还可以使用 IAM 来管理向项目团队成员授予的基本角色。
针对用户的访问权限控制选项
为了让用户能够创建和管理 Dataplex 资源,您可以将用户作为团队成员添加到项目或特定资源中,并使用 IAM 角色向他们授予权限。
团队成员可以是具有有效 Google 账号的个人用户、Google 群组、服务账号或 Google Workspace 网域。当您将团队成员添加到项目或资源中时,请指定要向其授予的角色。IAM 提供三种类型的角色:预定义角色、基本角色和自定义角色。
如需查看每个 Dataplex 角色的功能和特定角色可授予的 API 方法的列表,请查看 Dataplex IAM 角色文档。
对于服务账号和群组等其他成员类型,请参阅政策绑定参考文档。
服务账号
Dataplex 使用的服务帐号已被授予访问数据湖内代管的资源的必要权限。此服务帐号会自动在包含数据湖实例的项目中授予权限。您必须明确向它授予要添加到数据湖中和管理的其他项目和资源的权限。
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com.CUSTOMER_PROJECT_NUMBER是启用了 Dataplex API 的项目。
您必须向 Dataplex Service Agent (roles/dataplex.serviceAgent) 授予对您添加到数据湖或数据区域的底层资产的访问权限。
资源的 IAM 政策
Dataplex 会在基本存储资源(如 Cloud Storage 存储分区和 BigQuery 数据集)之上添加虚拟层次结构。Dataplex 将分配给数据湖的 IAM 政策向下传播到数据区域资产,最后传播到这些资产指向的资源。系统会将政策添加到基本存储资源(Cloud Storage 存储桶和 BigQuery 数据集)中已存在的政策。
通过 IAM 政策,您可以管理这些资源的 IAM 角色,甚至在项目级管理角色。这样,您可以灵活地应用最小权限原则,即仅授予对协作者完成其工作所需的特定资源的访问权限。
资源会沿用其父级资源的政策。如果在项目级层设置政策,则项目的所有子资源都会沿用该政策。资源的有效政策是为该资源设置的政策及其从层次结构中更高层级沿用而来的政策的集合。如需了解详情,请参阅 IAM 政策层次结构。
您可以使用 Google Cloud 控制台、IAM API 或 Google Cloud CLI 来获取和设置 IAM 政策。
- 对于 Google Cloud 控制台,请参阅使用 Google Cloud 控制台进行访问权限控制。
- 如需了解 API,请参阅使用 API 进行访问权限控制。
- 对于 Google Cloud CLI,请参阅使用 Google Cloud CLI 进行访问权限控制。
后续步骤
- 详细了解 IAM 角色。
- 详细了解 IAM 权限
- 详细了解 Dataplex 数据湖安全性。