默认情况下,所有 Google Cloud 项目都只包含一位用户,即原始项目创建者。其他用户都无权访问该项目,并且 因此,用户访问 Dataplex 添加为项目成员或绑定到特定资源。本页介绍了向项目添加新用户的方式,以及如何为 Dataplex 资源设置访问权限控制。
什么是 IAM?
Google Cloud 提供 Identity and Access Management (IAM),可让您授予对特定 Google Cloud 资源的更精细访问权限,并防止对其他资源进行不必要的访问。IAM 允许您采用最小权限安全原则,您只需授予对您资源的必要访问权限。
IAM 还可让您控制谁(身份)拥有什么(角色)
通过设置 IAM 政策来授予哪些资源的权限。
IAM 政策可为项目成员授予一个或多个特定角色,进而授予相应身份特定权限。例如,对于某个给定资源(例如项目),您可以将
roles/dataplex.admin
角色分配给某个 Google 账号,并且该账号可以
控制项目中的 Dataplex 资源,但无法控制
管理其他资源您还可以使用 IAM 来管理向项目团队成员授予的基本角色。
针对用户的访问权限控制选项
让用户能够创建和管理 Dataplex 您可以将用户作为团队成员添加到项目中或 特定资源,并使用 IAM 角色为他们授予权限。
团队成员可以是具有有效 Google 账号的个人用户、Google 群组、服务账号或 Google Workspace 网域。当您将团队成员添加到项目或资源中时,请指定要向其授予的角色。IAM 提供三种类型的角色:预定义角色、基本角色和自定义角色。
查看每个 Dataplex 角色的权限列表 和 API 方法,请查看 Dataplex IAM 角色 文档。
对于服务账号和群组等其他成员类型,请参阅政策绑定参考文档。
服务账号
Dataplex 使用已获授必要权限来访问数据湖中管理的资源的服务账号。此服务 账号在包含数据湖的项目中会自动获得权限 实例。您必须明确向其授予对您要添加到数据湖中并在其中管理的其他项目和资源的权限。
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
。CUSTOMER_PROJECT_NUMBER
是已启用 Dataplex API 的项目。
您必须授予 Dataplex 服务代理
(roles/dataplex.serviceAgent
) 对您添加到的底层资产的访问权限
数据湖或数据可用区
资源的 IAM 政策
Dataplex 在基础存储空间之上添加一个虚拟层次结构 例如 Cloud Storage 存储分区和 BigQuery 数据集。Dataplex 传播 IAM 政策 一直分配给数据湖,一直到数据区域资产,最后分配给所指向的资源 影响。这些政策会添加到基础存储资源(Cloud Storage 存储桶和 BigQuery 数据集)上已有的政策中。
借助 IAM 政策,您可以管理这些平台上的 IAM 角色 资源管理,而不是在项目级管理角色的补充。 这样,您就可以灵活应用最小权限原则, 仅授予对协作者需要执行的特定资源的访问权限 自己的工作。
资源会沿用其父级资源的政策。如果在项目级层设置政策,则项目的所有子资源都会沿用该政策。资源的有效政策是为该资源设置的政策及其从层次结构中更高层级沿用而来的政策的集合。如需了解详情,请参阅 IAM 政策层次结构。
您可以使用 Google Cloud 控制台、 IAM API 或 Google Cloud CLI。
- 如需了解 Google Cloud 控制台,请参阅 使用 Google Cloud 控制台进行访问权限控制。
- 有关 API,请参阅使用 API 进行访问权限控制。
- 对于 Google Cloud CLI,请参阅使用 Google Cloud CLI 进行访问权限控制。
后续步骤
- 详细了解 IAM 角色。
- 详细了解 IAM 权限
- 详细了解 Dataplex 数据湖安全。