默认情况下,所有 Google Cloud 项目都只包含一位用户,即原始项目创建者。其他用户在被添加为项目成员或绑定到特定资源之后,才能访问相关项目和 Dataplex 资源。本页介绍了向项目添加新用户的方式,以及如何设置 Dataplex 资源的访问权限控制。
IAM 概览
Google Cloud 提供 Identity and Access Management (IAM),可让您授予对特定Google Cloud 资源的更细化访问权限,并防止对其他资源进行不必要的访问。IAM 允许您采用最小权限安全原则,因此您只需授予对您的资源的必要访问权限即可。
IAM 还允许您通过设置 IAM 政策来控制谁(身份)对哪些资源具有何种权限(角色)。IAM 政策可为项目成员授予一个或多个特定角色,进而授予相应身份特定权限。例如,您可以为 Google 账号分配给定资源(如项目)的 roles/dataplex.admin 角色,此后该账号便可控制项目中的 Dataplex 资源,但无法管理其他资源。您还可以使用 IAM 来管理向项目团队成员授予的基本角色。
针对用户的访问权限控制选项
为了让用户能够创建和管理您的 Dataplex 资源,您可以将用户作为团队成员添加到项目或特定资源,然后使用 IAM 角色向这些用户授予权限。
团队成员可以是具有有效 Google 账号的个人用户、Google 群组、服务账号或 Google Workspace 网域。当您将团队成员添加到项目或资源中时,请指定要向其授予的角色。IAM 提供三种类型的角色:预定义角色、基本角色和自定义角色。
如需详细了解每个 Dataplex 角色的功能以及特定角色向其授予权限的 API 方法,请参阅 Dataplex IAM 角色。
对于服务账号和群组等其他成员类型,请参阅政策绑定参考文档。
服务账号
Dataplex 使用已获授必要权限来访问数据湖中管理的资源的服务账号。系统会自动向此服务账号授予包含数据湖实例的项目中的权限。您必须明确向其授予对您要添加到数据湖中并在其中管理的其他项目和资源的权限。
Dataplex 中的服务账号采用以下格式:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
CUSTOMER_PROJECT_NUMBER 是您已启用 Dataplex API 的项目。
您必须向 Dataplex Service Agent (roles/dataplex.serviceAgent) 授予对您添加到数据湖或数据可用区中的底层资产的访问权限。
资源的 IAM 政策
Dataplex 会在基本存储资源(例如 Cloud Storage 存储分区和 BigQuery 数据集)之上添加虚拟层次结构。Dataplex 会将分配给数据湖的 IAM 政策向下传播到数据区域资产,最后传播到这些资产指向的资源。这些政策会添加到基础存储资源(Cloud Storage 存储桶和 BigQuery 数据集)上已有的政策中。
通过 IAM 政策,您可以管理这些资源的 IAM 角色,甚至在项目级管理角色。这样一来,您便可灵活应用最小权限原则,例如,仅授予协作者完成其工作所需的特定资源的权限。
资源会沿用其父级资源的政策。如果在项目级层设置政策,则项目的所有子资源都会沿用该政策。资源的有效政策是为该资源设置的政策及其从层次结构中更高层级沿用而来的政策的集合。如需了解详情,请参阅 IAM 政策层次结构。
您可以使用 Google Cloud 控制台、IAM API 或 Google Cloud CLI 来获取和设置 IAM 政策。
- 对于 Google Cloud 控制台,请参阅使用 Google Cloud 控制台进行访问控制。
- 有关该 API,请参阅使用 API 进行访问控制。
- 对于 Google Cloud CLI,请参阅使用 Google Cloud CLI 进行访问控制。
后续步骤
- 详细了解 IAM 角色。
- 详细了解 IAM 权限
- 详细了解 Dataplex 数据湖安全。