借助 Dataplex 权限,用户可以对
Dataplex 服务、资源和操作。例如,dataplex.datascans.create 权限允许用户在您的项目中创建 Dataplex 数据扫描。您不直接向用户授予权限,而是向其授予角色(角色自带一个或多个权限)。
本文档重点介绍与 Dataplex 相关的 IAM 权限。如需详细了解预定义的 Dataplex 角色及其包含的权限,请参阅 Dataplex IAM 角色。
准备工作
阅读 IAM 文档。
IAM 政策“Set and Get”权限
下表列出了获取和设置 IAM 所需的权限 权限:
| 资源 | API 方法 | IAM 权限 |
|---|---|---|
| 条目类型 | GetIamPolicy | dataplex.entryTypes.getIamPolicy |
| 条目类型 | SetIamPolicy | dataplex.entryTypes.setIamPolicy |
| 切面类型 | GetIamPolicy | dataplex.aspectTypes.getIamPolicy |
| 切面类型 | SetIamPolicy | dataplex.aspectTypes.setIamPolicy |
| 条目组 | GetIamPolicy | dataplex.entryGroups.getIamPolicy |
| 条目组 | SetIamPolicy | dataplex.entryGroups.setIamPolicy |
| 湖 | GetIamPolicy | dataplex.lakes.getIamPolicy |
| 湖 | SetIamPolicy | dataplex.lakes.setIamPolicy |
Dataplex Catalog 权限
对条目类型、切面类型、条目组和条目执行操作所需的一组权限取决于资源是系统资源还是自定义资源。系统资源由 Dataplex 定义,自定义资源由您或贵组织定义。
要执行与多个资源(例如, 创建特定条目类型的条目,或添加 特定切面类型),您可能需要多项权限 与资源相关联
条目类型
如需创建和管理条目类型,您必须至少获得标准 create、get、list、update 和 delete 权限。
创建条目类型时,您必须获得使用每个条目类型的权限 您要标记为该条目类型必需的切面类型。
如需使用条目类型(例如,创建条目类型的条目),您必须获得相应条目类型的 use 权限。
下表列出了在 条目类型:
| 操作 | 自定义条目类型所需的权限 |
|---|---|
| 列出条目类型 | dataplex.entryTypes.list |
| 获取条目类型 | dataplex.entryTypes.get |
| 创建条目类型 |
|
| 更新条目类型 |
|
| 删除条目类型 |
|
|
使用条目类型 (创建条目、更新顶级条目字段和必需的方面类型值时) |
|
切面类型
如需创建和管理切面类型,您必须获得标准 create,
get、list、update 和 delete 权限。
要使用切面类型(例如,将其作为可选切面附加到
条目),您必须获得切面类型的 use 权限。
切面类型分为系统切面类型和自定义切面类型。 系统方面类型由 Dataplex 创建,自定义方面类型由您或贵组织创建。系统切面类型 分为“可用”和“只读”两类如需了解详情,请参阅 切面类型的类别。
下表列出了对自定义和系统方面类型执行操作所需的权限:
| 操作 | 自定义方面类型所需的权限 | 可用系统切面类型所需的权限 | 只读系统切面类型所需的权限 |
|---|---|---|---|
| 列出切面类型 | dataplex.aspectTypes.list |
不适用 (N/A) | 不适用 |
| 获取切面类型 | dataplex.aspectTypes.get |
已授予 allUsers |
已授予 allUsers |
| 创建切面类型 | dataplex.aspectTypes.create |
不适用 | 不适用 |
| 更新切面类型 | dataplex.aspectTypes.update |
不适用 | 不适用 |
| 删除切面类型 | dataplex.aspectTypes.delete |
不适用 | 不适用 |
| 创建或更新条目时设置可选的切面类型值 |
|
|
不适用 |
| 在创建或更新条目时设置必需的方面类型值 |
|
|
不适用 |
条目组
如需创建和管理条目组,您必须获得标准 create,
get、list、update 和 delete 权限。
条目组分为系统条目组(由 Dataplex 创建)和自定义条目组(由您或贵组织创建)。如需了解详情,请参阅条目组的类别。
下表列出了对条目组执行操作所需的权限:
| 操作 | 自定义条目组所需的权限 | 系统条目组所需的权限(以 @ 开头) |
|---|---|---|
| 创建条目组 | dataplex.entryGroups.create |
不适用 |
| 更新条目组 | dataplex.entryGroups.update |
不适用 |
| 删除条目组 | dataplex.entryGroups.delete |
不适用 |
| 列出条目组 | dataplex.entryGroups.list |
dataplex.entryGroups.list |
| 获取条目组 | dataplex.entryGroups.get |
dataplex.entryGroups.get |
条目数
如需创建和管理条目,您必须获得标准 create、get、list、update 和 delete 权限。
请注意以下几点:
- 对于查找 (
LookupEntry) 和搜索 (SearchEntries) 方法,条目需要具有来自原始来源系统的权限。例如,如果来源是 BigQuery 表,您需要拥有bigquery.tables.get权限。 - 在创建条目或更新条目的顶级字段时,您需要
必须获得该条目类型的
use权限。 - 当您创建、更新或删除必需切面时,必须获得相应授权
针对条目类型的
use权限,以及 底层切面类型。这是因为必需的切面 条目类型。 - 创建、更新或删除可选方面时,您必须获得相应方面类型的
use权限。 - 当您更新/插入条目(
UpdateEntry与allow_missing = True)时,必须获得create权限。
如需详细了解条目所依据的条目类型,请参阅 条目类型的类别。
下表列出了在 条目:
| 操作 | 基于自定义条目类型的条目 | 基于可用系统条目类型的条目 | 根据只读系统条目类型创建的条目 |
|---|---|---|---|
| 创建条目 |
|
|
不适用 |
| 更新条目 |
|
|
无法修改顶级字段和必需的方面。 |
| 列出条目 | dataplex.entries.list |
dataplex.entries.list |
dataplex.entries.list |
| 获取条目 | dataplex.entries.get |
dataplex.entries.get |
dataplex.entries.get |
| 查找条目 |
原始源系统的读取权限。 对于自定义条目,该值为 |
原始源系统的读取权限。 对于自定义条目,该值为 |
原始源系统的读取权限。 对于自定义条目,该值为 |
| 搜索条目 |
原始源系统的读取权限。 对于自定义条目,该值为 |
原始源系统的读取权限。 对于自定义条目,该值为 |
原始源系统的读取权限。 对于自定义条目,此值为 |
元数据作业权限
下表列出了使用 元数据作业:
| 操作 | IAM 权限 |
|---|---|
| 创建元数据作业 |
|
| 获取元数据作业 |
|
| 列出元数据作业 |
|
| 取消元数据作业 |
|
系统方面类型和条目类型
每个系统定义的切面类型和系统定义的条目类型都有自己的 IAM
权限。这些权限采用如下格式:
dataplex.entryGroups.useASPECT_TYPE 或
dataplex.entryGroups.useENTRY_TYPE。例如,overview 系统方面类型的权限为 dataplex.entryGroups.useOverviewAspect。
下表列出了适用于系统定义的切面的权限 和条目类型
| 资源 | IAM 权限 |
|---|---|
schema(系统方面类型) |
dataplex.entryGroups.useSchemaAspect |
contacts(系统切面类型) |
dataplex.entryGroups.useContactsAspect |
overview(系统方面类型) |
dataplex.entryGroups.useOverviewAspect |
generic(系统方面类型) |
dataplex.entryGroups.useGenericAspect |
generic(系统条目类型) |
dataplex.entryGroups.useGenericEntry |
数据湖、区域和资产权限
下表列出了对数据湖、区域和素材资源执行操作所需的权限:
| API 方法 | IAM 权限 |
|---|---|
| CreateLake | dataplex.lakes.create |
| UpdateLake | dataplex.lakes.update |
| DeleteLake | dataplex.lakes.delete |
| ListLakes | dataplex.lakes.list |
| GetLake | dataplex.lakes.get |
| ListLakeActions | dataplex.lakeActions.list |
| CreateZone | dataplex.zones.create |
| UpdateZone | dataplex.zones.update |
| DeleteZone | dataplex.zones.delete |
| ListZones | dataplex.zones.list |
| GetZone | dataplex.zones.get |
| ListZoneActions | dataplex.zoneActions.list |
| CreateAsset | dataplex.assets.create |
| UpdateAsset | dataplex.assets.update |
| DeleteAsset | dataplex.assets.delete |
| ListAssets | dataplex.assets.list |
| GetAsset | dataplex.assets.get |
| ListAssetActions | dataplex.assetActions.list |
任务权限
下表列出了对任务执行操作所需的权限:
| API 方法 | IAM 权限 |
|---|---|
| CreateTask | dataplex.tasks.create |
| UpdateTask | dataplex.tasks.update |
| DeleteTask | dataplex.tasks.delete |
| ListTasks | dataplex.tasks.list |
| GetTask | dataplex.tasks.get |
| ListJobs | dataplex.tasks.get |
| GetJob | dataplex.tasks.get |
| CancelJob | dataplex.tasks.cancel |
环境权限
下表列出了在 环境:
| API 方法 | IAM 权限 |
|---|---|
| CreateEnvironment | dataplex.environments.create |
| UpdateEnvironment | dataplex.environments.update |
| DeleteEnvironment | dataplex.environments.delete |
| ListEnvironments | dataplex.environments.list |
| GetEnvironment | dataplex.environments.get |
| CreateContent | dataplex.content.create |
| UpdateContent | dataplex.content.update |
| DeleteContent | dataplex.content.delete |
| ListContent | dataplex.content.list |
| GetContent | dataplex.content.get |
| ListSessions | dataplex.environments.get |
元数据权限
下表列出了对实体和分区执行操作所需的权限:
| API 方法 | IAM 权限 |
|---|---|
| CreateEntity | dataplex.entities.create |
| UpdateEntity | dataplex.entities.update |
| DeleteEntity | dataplex.entities.delete |
| GetEntity | dataplex.entities.get |
| ListEntities | dataplex.entities.list |
| CreatePartition | dataplex.partitions.create |
| UpdatePartition | dataplex.partitions.update |
| DeletePartition | dataplex.partitions.delete |
| GetPartition | dataplex.partitions.get |
| ListPartitions | dataplex.partitions.list |
数据扫描权限
下表列出了对数据扫描执行操作所需的权限:
| API 方法 | IAM 权限 |
|---|---|
| CreateDataScan | dataplex.datascans.create |
| UpdateDataScan | dataplex.datascans.update |
| DeleteDataScan | dataplex.datascans.delete |
| ListDataScans | dataplex.datascans.list |
| GetDataScan(基本视图) | dataplex.datascans.get |
| GetDataScan(完整视图) | dataplex.datascans.getData |
| ListDataScanJobs | dataplex.datascans.get |
| GetDataScanJob(基本视图) | dataplex.datascans.get |
| GetDataScanJob(完整视图) | dataplex.datascans.getData |
| RunDataScan | dataplex.datascans.run |