默认情况下,所有 Google Cloud 项目都只包含一位用户,即原始项目创建者。在将用户添加为项目成员或绑定到特定资源之前,其他用户都无权访问该项目,因此也无法访问 Dataplex 资源。本页面介绍了向项目添加新用户的方法,以及如何为您的 Dataplex 资源设置访问权限控制。
什么是 IAM?
Google Cloud 提供 Identity and Access Management (IAM),借助它,您可以授予对特定 Google Cloud 资源的更精细的访问权限,并防止对其他资源的不当访问。IAM 允许您采用最小权限安全原则,您只需授予对您资源的必要访问权限。
IAM 还允许您通过设置 IAM 政策来控制谁(身份)对哪些资源具有什么(角色)权限。IAM 政策可为项目成员授予一个或多个特定角色,进而授予相应身份特定权限。例如,对于给定资源(如项目),您可以将 roles/dataplex.admin 角色分配给 Google 帐号,该帐号可以控制项目中的 Dataplex 资源,但无法管理其他资源。您还可以使用 IAM 来管理向项目团队成员授予的基本角色。
针对用户的访问权限控制选项
如需允许用户创建和管理您的 Dataplex 资源,您可以将用户作为团队成员添加到项目或特定资源,并使用 IAM 角色向他们授予权限。
团队成员可以是具有有效 Google 帐号的个人用户、Google 群组、服务帐号或 Google Workspace 网域。当您将团队成员添加到项目或资源中时,请指定要向其授予的角色。IAM 提供三种类型的角色:预定义角色、基本角色和自定义角色。
如需查看每个 Dataplex 角色的权限列表以及特定角色可授予的 API 方法,请查看 Dataplex IAM 角色文档。
对于服务帐号和群组等其他成员类型,请参阅政策绑定参考文档。
服务帐号
Dataplex 使用服务帐号,这些服务帐号已被授予访问数据湖内管理的资源所需的权限。此服务帐号会自动获得包含数据湖实例的项目中的权限。您必须明确向该组织授予您希望在数据湖中添加和管理的其他项目和/或资源的权限。
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com。CUSTOMER_PROJECT_NUMBER是启用了 Dataplex API 的项目。
您必须向 Dataplex Service Agent (roles/dataplex.serviceAgent) 授予对您添加到数据湖或数据区域的底层资产的访问权限。
资源的 IAM 政策
Dataplex 会在 Cloud Storage 存储分区和 BigQuery 数据集等基础存储资源的基础上添加一个虚拟层次结构。Dataplex 会将分配给数据湖的 IAM 政策传播到数据可用区资产,最后再传递到这些资产指向的资源。添加到基本存储资源(Cloud Storage 存储桶和 BigQuery 数据集)中的政策。
IAM 政策允许您管理这些资源的 IAM 角色,而不是管理项目级别的角色。这让您可以灵活应用最小权限原则,即仅授予协作者完成其工作所需的特定资源的权限。
资源会沿用其父级资源的政策。如果在项目级层设置政策,则项目的所有子资源都会沿用该政策。资源的有效政策是为该资源设置的政策及其从层次结构中更高层级沿用而来的政策的集合。如需了解详情,请参阅 IAM 政策层次结构。
您可以使用 Google Cloud 控制台、IAM API 或 Google Cloud CLI 获取和设置 IAM 政策。
- 如需了解 Google Cloud 控制台,请参阅通过 Google Cloud 控制台进行访问权限控制。
- 有关 API,请参阅通过 API 进行访问控制。
- 对于 Google Cloud CLI,请参阅通过 Google Cloud CLI 进行访问控制。
后续步骤
- 详细了解 IAM 角色。
- 详细了解 IAM 权限
- 详细了解 Dataplex 湖安全性。