Standardmäßig haben alle Google Cloud-Projekte nur einen Nutzer: den ursprünglichen Projektersteller. Andere Nutzer haben erst dann Zugriff auf das Projekt und damit auf Dataplex-Ressourcen, wenn ein Nutzer als Projektmitglied hinzugefügt oder an eine bestimmte Ressource gebunden ist. Auf dieser Seite wird beschrieben, wie Sie Ihrem Projekt neue Nutzer hinzufügen und die Zugriffssteuerung für Ihre Dataplex-Ressourcen festlegen.
Was ist IAM?
Google Cloud bietet Identity and Access Management (IAM), mit dem Sie den Zugriff auf bestimmte Google Cloud-Ressourcen noch genauer steuern und unerwünschten Zugriff auf andere Ressourcen verhindern können. Durch IAM können Sie das Prinzip der geringsten Berechtigung anwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen gewähren.
Durch das Festlegen von IAM-Richtlinien können Sie steuern, wer (Identität) welche (Rollen) Berechtigungen für welche Ressourcen hat.
Anhand von IAM-Richtlinien werden einem Projektmitglied bestimmte Rollen zugewiesen, mit denen wiederum bestimmte Berechtigungen verknüpft sind.
Sie können beispielsweise für eine bestimmte Ressource, z. B. ein Projekt, einem Google-Konto die Rolle roles/dataplex.admin zuweisen. Dieses Konto kann dann Dataplex-Ressourcen im Projekt steuern, aber keine anderen Ressourcen. Mit IAM können Sie außerdem die grundlegenden Rollen von Projektteammitgliedern verwalten.
Zugriffssteuerungsoptionen für Nutzer
Damit Nutzer Ihre Dataplex-Ressourcen erstellen und verwalten können, können Sie sie Ihrem Projekt oder bestimmten Ressourcen als Teammitglieder hinzufügen und ihnen mithilfe von IAM-Rollen Berechtigungen erteilen.
Teammitglieder können einzelne Nutzer mit gültigem Google-Konto sowie Google-Gruppen, Dienstkonten oder Google Workspace-Domains sein. Wenn Sie einem Projekt oder einer Ressource ein Teammitglied hinzufügen, geben Sie an, welche Rollen Sie dem Mitglied zuweisen möchten. IAM bietet drei Arten von Rollen: vordefinierte Rollen, einfache Rollen und benutzerdefinierte Rollen.
Eine Liste der Funktionen der einzelnen Dataplex-Rollen und API-Methoden, für die eine bestimmte Rolle Berechtigungen gewährt, finden Sie in der Dokumentation zu Dataplex-IAM-Rollen.
Informationen zu anderen Mitgliedstypen wie Dienstkonten und Gruppen finden Sie in der Referenz zur Richtlinienbindung.
Dienstkonten
Dataplex verwendet ein Dienstkonto, dem die erforderlichen Berechtigungen für den Zugriff auf Ressourcen gewährt wurden, die in einem Lake verwaltet werden. Diesem Dienstkonto werden automatisch Berechtigungen in dem Projekt gewährt, das eine Lake-Instanz enthält. Sie müssen ihm anderen Projekten und Ressourcen, die Sie in einem Lake hinzufügen und verwalten möchten, ausdrücklich Berechtigungen erteilen.
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com.CUSTOMER_PROJECT_NUMBERist das Projekt, in dem die Dataplex API aktiviert ist.
Sie müssen dem Dataplex-Dienst-Agent (roles/dataplex.serviceAgent) Zugriff auf die zugrunde liegenden Assets gewähren, die Sie einem Lake oder einer Datenzone hinzufügen.
IAM-Richtlinien für Ressourcen
Dataplex fügt über Basisspeicherressourcen wie Cloud Storage-Buckets und BigQuery-Datasets eine virtuelle Hierarchie hinzu. Dataplex leitet die dem Lake zugewiesenen IAM-Richtlinien von den Datenzonen-Assets bis zu den Ressourcen weiter, auf die diese Assets verweisen. Richtlinien werden den Richtlinien hinzugefügt, die bereits für die Basisspeicherressource (Cloud Storage-Bucket und BigQuery-Dataset) vorhanden sind.
Mit einer IAM-Richtlinie können Sie IAM-Rollen auf diesen Ressourcen anstatt oder zusätzlich zur Rollenverwaltung auf Projektebene verwalten. So können Sie das Prinzip der geringsten Berechtigung flexibel anwenden: Es wird nur Zugriff auf die Ressourcen gewährt, die Mitbearbeiter für ihre Arbeit benötigen.
Ressourcen erben auch die Richtlinien der ihnen übergeordneten Ressourcen. Wenn Sie auf Projektebene eine Richtlinie festlegen, wird sie von allen untergeordneten Ressourcen übernommen. Die geltende Richtlinie für eine Ressource ist die Kombination aus der für diese Ressource festgelegten Richtlinie und der Richtlinie, die von weiter oben in der Hierarchie übernommen wird. Weitere Informationen finden Sie unter IAM-Richtlinienhierarchie.
Sie können IAM-Richtlinien mithilfe der Google Cloud Console, der IAM API oder der Google Cloud CLI abrufen und festlegen.
- Weitere Informationen zur Google Cloud Console findest du unter Zugriffssteuerung mit der Google Cloud Console.
- Für die API siehe Zugriffssteuerung mit der API.
- Informationen zur Google Cloud CLI finden Sie unter Zugriffssteuerung mit der Google Cloud CLI.
Nächste Schritte
- Weitere Informationen zu IAM-Rollen
- Übersicht über IAM-Berechtigungen
- Weitere Informationen zur Sicherheit von Dataplex-Lake