Dataplex IAM 权限

借助 Dataplex 权限,用户可以对 Dataplex 服务、资源和操作。例如,dataplex.datascans.create 权限允许用户在您的项目中创建 Dataplex 数据扫描。您不直接向用户授予权限,而是向其授予角色(角色自带一个或多个权限)。

本文档重点介绍与 Dataplex 相关的 IAM 权限。如需详细了解预定义的 Dataplex 角色及其包含的权限,请参阅 Dataplex IAM 角色

准备工作

阅读 IAM 文档。

IAM 政策“Set and Get”权限

下表列出了获取和设置 IAM 所需的权限 权限:

资源 API 方法 IAM 权限
条目类型 GetIamPolicy dataplex.entryTypes.getIamPolicy
条目类型 SetIamPolicy dataplex.entryTypes.setIamPolicy
切面类型 GetIamPolicy dataplex.aspectTypes.getIamPolicy
切面类型 SetIamPolicy dataplex.aspectTypes.setIamPolicy
条目组 GetIamPolicy dataplex.entryGroups.getIamPolicy
条目组 SetIamPolicy dataplex.entryGroups.setIamPolicy
GetIamPolicy dataplex.lakes.getIamPolicy
SetIamPolicy dataplex.lakes.setIamPolicy

Dataplex Catalog 权限

对条目类型、切面类型、条目组和条目执行操作所需的一组权限取决于资源是系统资源还是自定义资源。系统资源由 Dataplex 定义,自定义资源由您或贵组织定义。

要执行与多个资源(例如, 创建特定条目类型的条目,或添加 特定切面类型),您可能需要多项权限 与资源相关联

条目类型

如需创建和管理条目类型,您必须至少获得标准 creategetlistupdatedelete 权限。

创建条目类型时,您必须获得使用每个条目类型的权限 您要标记为该条目类型必需的切面类型。

如需使用条目类型(例如,创建条目类型的条目),您必须获得相应条目类型的 use 权限。

下表列出了在 条目类型:

操作 自定义条目类型所需的权限
列出条目类型 dataplex.entryTypes.list
获取条目类型 dataplex.entryTypes.get
创建条目类型

dataplex.entryTypes.create

dataplex.aspectTypes.use(针对条目类型中的每个必需切面类型)

dataplex.entryGroups.useASPECT_TYPE(适用于条目类型中的每个必需的系统方面类型)。请参阅 系统切面类型的权限

更新条目类型

dataplex.entryTypes.update

dataplex.aspectTypes.use(适用于条目类型中的每个必需切面类型)

dataplex.entryGroups.useASPECT_TYPE(对于 条目类型中的每个必需的系统切面类型)。请参阅系统方面类型的权限

删除条目类型

dataplex.entryTypes.delete

dataplex.aspectTypes.use(适用于条目类型中的必需切面类型)

dataplex.entryGroups.useASPECT_TYPE(适用于条目类型中的每个必需的系统方面类型)。请参阅系统方面类型的权限

使用条目类型

(创建条目、更新顶级条目字段和必需的方面类型值时)

dataplex.entryTypes.use

dataplex.entries.createdataplex.entries.update

dataplex.aspectTypes.use(适用于创建或更新的每个切面)

切面类型

如需创建和管理切面类型,您必须获得标准 creategetlistupdatedelete 权限。

要使用切面类型(例如,将其作为可选切面附加到 条目),您必须获得切面类型的 use 权限。

切面类型分为系统切面类型和自定义切面类型。 系统方面类型由 Dataplex 创建,自定义方面类型由您或贵组织创建。系统切面类型 分为“可用”和“只读”两类如需了解详情,请参阅 切面类型的类别

下表列出了对自定义和系统方面类型执行操作所需的权限:

操作 自定义方面类型所需的权限 可用系统切面类型所需的权限 只读系统切面类型所需的权限
列出切面类型 dataplex.aspectTypes.list 不适用 (N/A) 不适用
获取切面类型 dataplex.aspectTypes.get 已授予 allUsers 已授予 allUsers
创建切面类型 dataplex.aspectTypes.create 不适用 不适用
更新切面类型 dataplex.aspectTypes.update 不适用 不适用
删除切面类型 dataplex.aspectTypes.delete 不适用 不适用
创建或更新条目时设置可选的切面类型值

dataplex.aspectTypes.use

dataplex.entries.createdataplex.entries.update

dataplex.entryGroups.useASPECT_TYPE。请参阅系统切面类型的权限

dataplex.entries.createdataplex.entries.update

不适用
在创建或更新条目时设置必需的方面类型值

dataplex.aspectTypes.use

dataplex.entryTypes.use

dataplex.entries.createdataplex.entries.update

dataplex.entryGroups.useASPECT_TYPE。请参阅 系统切面类型的权限

dataplex.entryTypes.use

dataplex.entries.createdataplex.entries.update

不适用

条目组

如需创建和管理条目组,您必须获得标准 creategetlistupdatedelete 权限。

条目组分为系统条目组(由 Dataplex 创建)和自定义条目组(由您或贵组织创建)。如需了解详情,请参阅条目组的类别

下表列出了对条目组执行操作所需的权限:

操作 自定义条目组所需的权限 系统条目组所需的权限(以 @ 开头)
创建条目组 dataplex.entryGroups.create 不适用
更新条目组 dataplex.entryGroups.update 不适用
删除条目组 dataplex.entryGroups.delete 不适用
列出条目组 dataplex.entryGroups.list dataplex.entryGroups.list
获取条目组 dataplex.entryGroups.get dataplex.entryGroups.get

条目数

如需创建和管理条目,您必须获得标准 creategetlistupdatedelete 权限。

请注意以下几点:

  • 对于查找 (LookupEntry) 和搜索 (SearchEntries) 方法,条目需要具有来自原始来源系统的权限。例如,如果来源是 BigQuery 表,您需要拥有 bigquery.tables.get 权限。
  • 在创建条目或更新条目的顶级字段时,您需要 必须获得该条目类型的 use 权限。
  • 当您创建、更新或删除必需切面时,必须获得相应授权 针对条目类型的 use 权限,以及 底层切面类型。这是因为必需的切面 条目类型。
  • 创建、更新或删除可选方面时,您必须获得相应方面类型的 use 权限。
  • 当您更新/插入条目(UpdateEntryallow_missing = True)时,必须获得 create 权限。

如需详细了解条目所依据的条目类型,请参阅 条目类型的类别

下表列出了在 条目:

操作 基于自定义条目类型的条目 基于可用系统条目类型的条目 根据只读系统条目类型创建的条目
创建条目

dataplex.entries.create

dataplex.entryTypes.use

dataplex.aspectTypes.use(针对创建的每个方面)

dataplex.entryGroups.useASPECT_TYPE(对于创建的可用系统切面类型的每个方面)。请参阅 系统切面类型的权限

dataplex.entries.create

dataplex.entryGroups.useENTRY_TYPE。请参阅系统条目类型的权限

dataplex.entryGroups.useASPECT_TYPE(针对创建的每个系统切面)。请参阅 系统切面类型的权限

dataplex.aspectTypes.use(适用于创建的每个自定义切面)

不适用
更新条目

dataplex.entries.update

dataplex.entryTypes.use(用于更新顶级字段或必需的方面)

dataplex.aspectTypes.使用(适用于更新的每个方面)

dataplex.entryGroups.useASPECT_TYPE(针对更新的每个系统方面)。请参阅 系统切面类型的权限

dataplex.entries.create(如果 allow_missingTrue

dataplex.entries.update

dataplex.entryGroups.useENTRY_TYPE(用于更新) 顶级字段或必需切面)。请参阅 系统条目类型的权限

dataplex.aspectTypes.use(针对更新的每个自定义方面)

dataplex.entryGroups.useASPECT_TYPE(适用于所有方面) 属于系统切面类型)。请参阅系统方面类型的权限

dataplex.entries.create(如果 allow_missingTrue

dataplex.entries.update

dataplex.aspectTypes.use(针对更新的每个自定义方面)

dataplex.entryGroups.useASPECT_TYPE(对于 更新可用系统切面类型的每个方面)。请参阅系统方面类型的权限

无法修改顶级字段和必需的方面。

列出条目 dataplex.entries.list dataplex.entries.list dataplex.entries.list
获取条目 dataplex.entries.get dataplex.entries.get dataplex.entries.get
查找条目

原始源系统的读取权限。

对于自定义条目,该值为 dataplex.entries.get,因为 Dataplex 被视为原始源系统。

原始源系统的读取权限。

对于自定义条目,该值为 dataplex.entries.get,因为 Dataplex 被视为原始源系统。

原始源系统的读取权限。

对于自定义条目,该值为 dataplex.entries.get,因为 Dataplex 被视为原始源系统。

搜索条目

原始源系统的读取权限。

对于自定义条目,该值为 dataplex.entries.get,因为 Dataplex 被视为原始源系统。

原始源系统的读取权限。

对于自定义条目,该值为 dataplex.entries.get,因为 Dataplex 被视为原始源系统。

原始源系统的读取权限。

对于自定义条目,此值为 dataplex.entries.get,因为 Dataplex 被视为原始来源系统。

元数据作业权限

下表列出了使用 元数据作业:

操作 IAM 权限
创建元数据作业

dataplex.metadataJobs.create

dataplex.entryTypes.use(适用于作业范围内的自定义条目类型)

dataplex.entryTypes.useENTRY_TYPE(对于每 系统条目类型)。 请参阅系统条目类型的权限

dataplex.aspectTypes.use(针对 作业的范围)

dataplex.aspectTypes.useASPECT_TYPE(对于每 系统切面类型)。 请参阅系统方面类型的权限

dataplex.entryGroups.import(针对 作业的范围)

获取元数据作业

dataplex.metadataJobs.get

列出元数据作业

dataplex.metadataJobs.list

取消元数据作业

dataplex.metadataJobs.cancel

系统方面类型和条目类型

每个系统定义的切面类型和系统定义的条目类型都有自己的 IAM 权限。这些权限采用如下格式: dataplex.entryGroups.useASPECT_TYPEdataplex.entryGroups.useENTRY_TYPE。例如,overview 系统方面类型的权限为 dataplex.entryGroups.useOverviewAspect

下表列出了适用于系统定义的切面的权限 和条目类型

资源 IAM 权限
schema(系统方面类型) dataplex.entryGroups.useSchemaAspect
contacts(系统切面类型) dataplex.entryGroups.useContactsAspect
overview(系统方面类型) dataplex.entryGroups.useOverviewAspect
generic(系统方面类型) dataplex.entryGroups.useGenericAspect
generic(系统条目类型) dataplex.entryGroups.useGenericEntry

数据湖、区域和资产权限

下表列出了对数据湖、区域和素材资源执行操作所需的权限:

API 方法 IAM 权限
CreateLake dataplex.lakes.create
UpdateLake dataplex.lakes.update
DeleteLake dataplex.lakes.delete
ListLakes dataplex.lakes.list
GetLake dataplex.lakes.get
ListLakeActions dataplex.lakeActions.list
CreateZone dataplex.zones.create
UpdateZone dataplex.zones.update
DeleteZone dataplex.zones.delete
ListZones dataplex.zones.list
GetZone dataplex.zones.get
ListZoneActions dataplex.zoneActions.list
CreateAsset dataplex.assets.create
UpdateAsset dataplex.assets.update
DeleteAsset dataplex.assets.delete
ListAssets dataplex.assets.list
GetAsset dataplex.assets.get
ListAssetActions dataplex.assetActions.list

任务权限

下表列出了对任务执行操作所需的权限:

API 方法 IAM 权限
CreateTask dataplex.tasks.create
UpdateTask dataplex.tasks.update
DeleteTask dataplex.tasks.delete
ListTasks dataplex.tasks.list
GetTask dataplex.tasks.get
ListJobs dataplex.tasks.get
GetJob dataplex.tasks.get
CancelJob dataplex.tasks.cancel

环境权限

下表列出了在 环境:

API 方法 IAM 权限
CreateEnvironment dataplex.environments.create
UpdateEnvironment dataplex.environments.update
DeleteEnvironment dataplex.environments.delete
ListEnvironments dataplex.environments.list
GetEnvironment dataplex.environments.get
CreateContent dataplex.content.create
UpdateContent dataplex.content.update
DeleteContent dataplex.content.delete
ListContent dataplex.content.list
GetContent dataplex.content.get
ListSessions dataplex.environments.get

元数据权限

下表列出了对实体和分区执行操作所需的权限:

API 方法 IAM 权限
CreateEntity dataplex.entities.create
UpdateEntity dataplex.entities.update
DeleteEntity dataplex.entities.delete
GetEntity dataplex.entities.get
ListEntities dataplex.entities.list
CreatePartition dataplex.partitions.create
UpdatePartition dataplex.partitions.update
DeletePartition dataplex.partitions.delete
GetPartition dataplex.partitions.get
ListPartitions dataplex.partitions.list

数据扫描权限

下表列出了对数据扫描执行操作所需的权限:

API 方法 IAM 权限
CreateDataScan dataplex.datascans.create
UpdateDataScan dataplex.datascans.update
DeleteDataScan dataplex.datascans.delete
ListDataScans dataplex.datascans.list
GetDataScan(基本视图) dataplex.datascans.get
GetDataScan(完整视图) dataplex.datascans.getData
ListDataScanJobs dataplex.datascans.get
GetDataScanJob(基本视图) dataplex.datascans.get
GetDataScanJob(完整视图) dataplex.datascans.getData
RunDataScan dataplex.datascans.run