Dataplex definiert mehrere IAM-Rollen (Identity and Access Management). Jede vordefinierte Rolle enthält eine Reihe von IAM-Berechtigungen, mit denen Hauptkonten bestimmte Aktionen ausführen können. Sie können eine IAM-Richtlinie verwenden, um einem Hauptkonto eine oder mehrere IAM-Rollen zuzuweisen.
Identity and Access Management (IAM) bietet auch die Möglichkeit, benutzerdefinierte IAM-Rollen zu erstellen. Sie können benutzerdefinierte IAM-Rollen erstellen und diesen eine oder mehrere Berechtigungen zuweisen. Anschließend können Sie Ihren Hauptkonten die neue Rolle zuweisen. Sie können neben den verfügbaren vordefinierten Rollen benutzerdefinierte Rollen verwenden, um ein Modell zur Zugriffssteuerung zu erstellen, das Ihren Anforderungen direkt zugeordnet ist.
In diesem Dokument werden die für Dataplex relevanten IAM-Rollen beschrieben.
Hinweis
- Lesen Sie die IAM-Dokumentation.
Dataplex-Rollen
Dataplex-Rollen von Identity and Access Management (IAM) enthalten ein oder mehrere Berechtigungen.
Sie weisen Hauptkonten Rollen zu, damit sie Aktionen für die Dataplex-Ressourcen in Ihrem Projekt ausführen können. Die Rolle Dataplex-Betrachter enthält beispielsweise die Berechtigungen dataplex.*.get und dataplex.*.list, mit denen ein Nutzer Dataplex-Dienste, -Ressourcen und -Vorgänge in einem Projekt abrufen und auflisten kann.
Dataplex-Rollen können auf alle Ressourcen in der Diensthierarchie angewendet werden, einschließlich Projekten, Lakes und Datenzonen.
Einfache Rollen
Sie können einfache Rollen auf Projektebene mithilfe der IAM-Projektrollen zuweisen. Hier finden Sie eine Zusammenfassung der Berechtigungen, die mit IAM-Projektrollen verbunden sind:
| Projektrolle | Berechtigungen |
|---|---|
| Projektinhaber | Alle Berechtigungen des Projektbearbeiters sowie Berechtigungen zum Verwalten der Zugriffskontrolle für das Projekt (get/set IamPolicy) und zum Einrichten der Projektabrechnung |
| Projektbearbeiter | Alle Berechtigungen des Projektbetrachters und alle Projektberechtigungen für Aktionen, die den Status ändern (create, delete, update, use) |
| Projektbetrachter | Alle Projektberechtigungen für schreibgeschützte Aktionen, die den Status (get, list) beibehalten |
Vordefinierte Rollen
In der folgenden Tabelle sind die vordefinierten (oder kuratierten) Dataplex-Rollen und die mit jeder Rolle verknüpften Berechtigungen aufgeführt:
| Rollen-ID | Berechtigungen |
|---|---|
| rollen/dataplex.admin | dataplex.*.create dataplex.*.update dataplex.*.delete dataplex.*.get dataplex.*.list dataplex.*.admanager dataplex.*.setIamPolicy |
| Rollen/Datenplex.editor | dataplex.*.create dataplex.*.update dataplex.*.delete |
| Rollen/Datenplex.viewer | dataplex.*.get dataplex.*.list |
Hinweise:
- „*“ bezeichnet Ressourcentypen, z. B. „Lakes“ oder „Zonen“. Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert.
- Die Rolle
dataplex.admingewährt vollständigen Zugriff auf alle Dataplex-Ressourcen, einschließlich der IAM-Richtlinienverwaltung. - Die Rolle
dataplex.editorgewährt Lese- und Schreibzugriff auf alle Dataplex-Ressourcen. - Die Rolle
dataplex.viewergewährt Lesezugriff auf alle Dataplex-Ressourcen.
Datenrollen
In Dataplex werden die folgenden drei IAM-Rollen definiert, die auf jede von Dataplex verwaltete Ressource angewendet werden sollen:
| Datenrolle | Leistungsspektrum | Begründung |
|---|---|---|
| rollen/dataplex.dataOwner | Alle Berechtigungen für die verwaltete Ressource. Alle Berechtigungen für alle untergeordneten Ressourcen (unabhängig vom Ressourcentyp) | Dateninhaber können neben verschiedenen anderen Berechtigungen auch Metadaten von Ressourcen aktualisieren, detailliertere Berechtigungen erteilen (z. B. für untergeordnete Tabellen eines BigQuery-Datasets) und untergeordnete Ressourcen erstellen. Sie haben die vollständige Inhaberschaft der Ressource. |
| Rollen/dataplex.dataReader | Kann Daten in der verwalteten Ressource und ihren untergeordneten Entitäten lesen. Kann Metadaten der verwalteten Ressource und ihrer untergeordneten Entitäten lesen. | Ermöglicht das Lesen von Daten und Metadaten. |
| Rollen/dataplex.dataWriter | Kann Daten erstellen/aktualisieren/löschen (nicht Metadaten). | Ermöglicht zentrale Dataplex-Nutzerprozesse. |
Nächste Schritte
- Benutzerdefinierte Rollen erstellen
- Rollen gewähren und verwalten
- Weitere Informationen finden Sie unter Dataplex-IAM-Berechtigungszuordnung.