Zugriffssteuerung mit IAM

Standardmäßig haben alle Google Cloud-Projekte nur einen Nutzer: den ursprünglichen Projektersteller. Keine anderen Nutzer haben Zugriff auf das Projekt und Zugriff auf Dataplex-Ressourcen, bis ein Nutzer als Projektmitglied hinzugefügt oder an eine bestimmte Ressource gebunden ist. Auf dieser Seite wird beschrieben, wie Sie Ihrem Projekt neue Nutzer hinzufügen und wie Sie die Zugriffssteuerung für Ihre Dataplex-Ressourcen festlegen.

Was ist IAM?

Google Cloud bietet Identity and Access Management (IAM), mit der Sie den Zugriff auf bestimmte Google Cloud-Ressourcen und verhindert unerwünschten Zugriff auf andere Ressourcen. Durch IAM können Sie das Prinzip der geringsten Berechtigung anwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen gewähren.

Durch das Festlegen von IAM-Richtlinien können Sie steuern, wer (Identität) welche (Rollen) Berechtigungen für welche Ressourcen hat. Anhand von IAM-Richtlinien werden einem Projektmitglied bestimmte Rollen zugewiesen, mit denen wiederum bestimmte Berechtigungen verknüpft sind. Für eine bestimmte Ressource, z. B. ein Projekt, können Sie einem Google-Konto die Rolle roles/dataplex.admin zuweisen. Dieses Konto kann dann Dataplex-Ressourcen im Projekt steuern, jedoch keine anderen Ressourcen verwalten. Mit IAM können Sie außerdem die grundlegenden Rollen von Projektteammitgliedern verwalten.

Zugriffssteuerungsoptionen für Nutzer

Um Nutzern die Möglichkeit zu geben, Ihre Dataplex-Ressourcen zu erstellen und zu verwalten, können Sie Nutzer als Teammitglieder zu Ihrem Projekt oder zu bestimmten Ressourcen hinzufügen und ihnen Berechtigungen mithilfe von IAM-Rollen erteilen.

Teammitglieder können einzelne Nutzer mit gültigem Google-Konto sowie Google-Gruppen, Dienstkonten oder Google Workspace-Domains sein. Wenn Sie einem Projekt oder einer Ressource ein Teammitglied hinzufügen, geben Sie an, welche Rollen Sie dem Mitglied zuweisen möchten. IAM bietet drei Arten von Rollen: vordefinierte Rollen, einfache Rollen und benutzerdefinierte Rollen.

So rufen Sie eine Liste der Funktionen jeder Dataplex-Rolle auf und API-Methoden, für die eine bestimmte Rolle Berechtigungen gewährt, überprüfen Sie die Dataplex-IAM-Rollen Dokumentation.

Informationen zu anderen Mitgliedstypen wie Dienstkonten und Gruppen finden Sie in der Referenz zur Richtlinienbindung.

Dienstkonten

Dataplex verwendet ein Dienstkonto, dem die erforderliche Berechtigungen für den Zugriff auf in einem Lake verwaltete Ressourcen. Dieses Dienstkonto erhält automatisch Berechtigungen im Projekt, das eine Lake-Instanz enthält. Sie müssen ihm explizit Berechtigungen für andere Projekte gewähren und Ressourcen, die Sie einem Lake hinzufügen und darin verwalten möchten.

  • service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com.

    CUSTOMER_PROJECT_NUMBER ist das Projekt, für das die Dataplex API aktiviert ist.

Sie müssen den Dataplex-Dienst-Agent gewähren (roles/dataplex.serviceAgent)-Zugriff auf die zugrunde liegenden Assets, die Sie Ihrem Asset hinzufügen einen Lake oder eine Datenzone.

IAM-Richtlinien für Ressourcen

Dataplex fügt dem Basisspeicher eine virtuelle Hierarchie hinzu Ressourcen wie Cloud Storage-Buckets und BigQuery Datasets. Dataplex leitet IAM-Richtlinien weiter die dem Lake zugewiesen sind, bis hin zu den Datenzonen-Assets und den mit diesen Assets verknüpft ist. Die Richtlinien werden den bereits vorhandenen Richtlinien für die zugrunde liegende Speicherressource (Cloud Storage-Bucket und BigQuery-Dataset) hinzugefügt.

Mit einer IAM-Richtlinie können Sie IAM-Rollen für diese und zusätzlich zum Verwalten von Rollen auf Projektebene. So können Sie flexibel den Grundsatz der geringsten Berechtigung anwenden, Zugriff nur auf die Ressourcen gewähren, die Mitbearbeiter ausführen müssen für ihre Arbeit.

Ressourcen erben auch die Richtlinien der ihnen übergeordneten Ressourcen. Wenn Sie auf Projektebene eine Richtlinie festlegen, wird sie von allen untergeordneten Ressourcen übernommen. Die geltende Richtlinie für eine Ressource ist die Kombination aus der für diese Ressource festgelegten Richtlinie und der Richtlinie, die von weiter oben in der Hierarchie übernommen wird. Weitere Informationen finden Sie unter IAM-Richtlinienhierarchie.

Sie können IAM-Richtlinien mithilfe der Google Cloud Console, der IAM API oder der Google Cloud CLI abrufen und festlegen.

Nächste Schritte