Dataplex definiert mehrere Rollen für die Identitäts- und Zugriffsverwaltung (IAM). Jede vordefinierte Rolle enthält eine Reihe von IAM-Berechtigungen, mit denen Hauptkonten bestimmte Aktionen ausführen können. Mit einer IAM-Richtlinie können Sie einem Hauptkonto eine oder mehrere IAM-Rollen zuweisen.
Identity and Access Management (IAM) bietet auch die Möglichkeit, benutzerdefinierte IAM-Rollen zu erstellen. Sie können benutzerdefinierte IAM-Rollen erstellen und diesen eine oder mehrere Berechtigungen zuweisen. Anschließend können Sie Ihren Hauptkonten die neue Rolle zuweisen. Verwenden Sie neben den verfügbaren vordefinierten Rollen benutzerdefinierte Rollen, um ein Modell zur Zugriffssteuerung zu erstellen, das Ihren Anforderungen direkt zugeordnet ist.
In diesem Dokument werden die für Dataplex relevanten IAM-Rollen beschrieben.
Hinweise
- Lesen Sie die IAM-Dokumentation.
Dataplex-Rollen
Dataplex-Rollen für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) sind ein Bundle mit einer oder mehreren Berechtigungen. Sie weisen Hauptkonten Rollen zu, damit diese Aktionen mit den Dataplex-Ressourcen in Ihrem Projekt ausführen können. Die Rolle „Dataplex Viewer“ enthält beispielsweise die Berechtigungen dataplex.*.get und dataplex.*.list, mit denen ein Nutzer Dataplex-Dienste, -Ressourcen und -Vorgänge in einem Projekt abrufen und auflisten kann.
Dataplex-Rollen können auf alle Ressourcen in der Diensthierarchie angewendet werden, einschließlich Projekten, Lakes und Datenzonen.
Einfache Rollen
Sie können einfache Rollen auf Projektebene mithilfe der IAM-Projektrollen zuweisen. Hier finden Sie eine Zusammenfassung der Berechtigungen, die mit IAM-Projektrollen verbunden sind:
| Projektrolle | Berechtigungen |
|---|---|
| Projektinhaber | Alle Berechtigungen des Projektbearbeiters sowie Berechtigungen zum Verwalten der Zugriffskontrolle für das Projekt (get/set IamPolicy) und zum Einrichten der Projektabrechnung |
| Projektbearbeiter | Alle Berechtigungen des Projektbetrachters und alle Projektberechtigungen für Aktionen, die den Status ändern (create, delete, update, use) |
| Projektbetrachter | Alle Projektberechtigungen für schreibgeschützte Aktionen, die den Status (get, list) beibehalten |
Vordefinierte Rollen
In der folgenden Tabelle sind die vordefinierten (oder ausgewählten) Dataplex-Rollen und die mit jeder Rolle verknüpften Berechtigungen aufgeführt:
| Rollen-ID | Berechtigungen |
|---|---|
| roles/dataplex.admin | dataplex.*.create dataplex.*.update dataplex.*.delete dataplex.*.get dataplex.*.getData dataplex.*.list dataplex.*.getIamPolicy dataplex.*.setIamPolicy |
| roles/dataplex.editor | dataplex.*.create dataplex.*.update dataplex.*.delete |
| roles/dataplex.viewer | dataplex.*.get dataplex.*.list |
Hinweise:
- „*“ bezeichnet Ressourcentypen wie „Seen“ oder „Zonen“. Einige Berechtigungen sind für bestimmte Ressourcentypen nicht definiert.
- Die Rolle
dataplex.admingewährt vollständigen Zugriff auf alle Dataplex-Ressourcen, einschließlich der Verwaltung von IAM-Richtlinien. - Die Rolle
dataplex.editorgewährt Lese- und Schreibzugriff auf alle Dataplex-Ressourcen. - Die Rolle
dataplex.viewergewährt Lesezugriff auf alle Dataplex-Ressourcen. - Für Datenscanressourcen ist die Berechtigung
dataplex.datascans.getDataerforderlich, um die vollständige Ansicht der Ressource zu erhalten. Diese Berechtigung ist weder inroles/dataplex.viewernoch inroles/dataplex.editorenthalten. Weitere Informationen finden Sie unter Berechtigungen und Rollen für den Datenscan.
Datenrollen
Dataplex definiert die folgenden drei IAM-Rollen, die auf jede von Dataplex verwaltete Ressource angewendet werden sollen:
| Datenrolle | Leistungsspektrum | Begründung |
|---|---|---|
| roles/dataplex.dataOwner | Alle Berechtigungen für die verwaltete Ressource. Alle Berechtigungen für alle untergeordneten Ressourcen (unabhängig vom Ressourcentyp). | Neben verschiedenen anderen Berechtigungen können Dateninhaber Ressourcenmetadaten aktualisieren, Berechtigungen mit höherem Detaillierungsgrad gewähren (z. B. für untergeordnete Tabellen eines BigQuery-Datasets) und untergeordnete Ressourcen erstellen. Er ist Inhaber der Ressource. |
| roles/dataplex.dataReader | Kann Daten in der verwalteten Ressource und ihren untergeordneten Ressourcen lesen. Außerdem können Metadaten der verwalteten Ressource und ihrer untergeordneten Ressourcen gelesen werden. | Ermöglicht das Lesen von Daten und Metadaten. |
| roles/dataplex.dataWriter | Kann Daten erstellen, aktualisieren und löschen (nicht Metadaten). | Ermöglicht grundlegende Dataplex-Nutzerpfade. |
Nächste Schritte
- Benutzerdefinierte Rollen erstellen
- Rollen gewähren und verwalten
- Weitere Informationen finden Sie unter Zuordnung von Dataplex-IAM-Berechtigungen.