Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Für Dataplex werden mehrere IAM-Rollen (Identity and Access Management) definiert.
Jede vordefinierte Rolle enthält eine Reihe von IAM-Berechtigungen, die es den Hauptkonten ermöglichen, bestimmte Aktionen auszuführen. Mit einer IAM-Richtlinie können Sie einem Hauptkonto eine oder mehrere IAM-Rollen zuweisen.
IAM bietet außerdem die Möglichkeit, benutzerdefinierte Rollen zu erstellen. Sie können benutzerdefinierte IAM-Rollen erstellen und diesen eine oder mehrere Berechtigungen zuweisen. Anschließend können Sie Ihren Hauptkonten die neue Rolle zuweisen. Neben den verfügbaren vordefinierten Rollen können Sie benutzerdefinierte Rollen verwenden, um ein Modell zur Zugriffssteuerung zu erstellen, das auf Ihre Anforderungen zugeschnitten ist.
In diesem Dokument werden die IAM-Rollen beschrieben, die für Dataplex relevant sind.
Eine ausführliche Beschreibung von IAM und den entsprechenden Funktionen finden Sie in der IAM-Dokumentation.
Dataplex-Rollen
Dataplex-IAM-Rollen enthalten eine oder mehrere Berechtigungen. Sie erteilen Hauptkonten Rollen, damit sie Aktionen für die Dataplex-Ressourcen in Ihrem Projekt ausführen können. Die Rolle „Dataplex-Betrachter“ umfasst beispielsweise die Berechtigungen dataplex.*.get und dataplex.*.list, mit denen Nutzer Dataplex-Ressourcen in einem Projekt abrufen und auflisten können. Weitere Informationen finden Sie unter Dataplex-Berechtigungen.
Sie können Dataplex-Rollen auf alle Ressourcen in der Diensthierarchie anwenden, einschließlich Projekte, Lakes und Datenzonen.
Einfache Rollen
Sie können einfache Rollen auf Projektebene mithilfe der IAM-Projektrollen zuweisen. Im Folgenden finden Sie eine Liste der Berechtigungen, die mit IAM-Projektrollen verknüpft sind:
Projektrolle
Berechtigungen
Projektinhaber
Alle Berechtigungen des Projektbearbeiters sowie Berechtigungen zum Verwalten der Zugriffskontrolle für das Projekt (get/set IamPolicy) und zum Einrichten der Projektabrechnung
Projektbearbeiter
Alle Berechtigungen des Projektbetrachters und alle Projektberechtigungen für Aktionen, die den Status ändern (create, delete, update, use)
Projektbetrachter
Alle Projektberechtigungen für schreibgeschützte Aktionen, die den Status (get, list) beibehalten
Vordefinierte Rollen für Dataplex
Vordefinierte Rollen enthalten die Berechtigungen, die zum Ausführen einer Aufgabe oder einer Gruppe verwandter Aufgaben erforderlich sind.
Wichtige Hinweise:
Die Rollen „Dataplex Administrator“, „Dataplex Editor“ und „Dataplex Viewer“ gewähren keinen Zugriff auf Dataplex Catalog-Ressourcen.
Keine Rolle gewährt Berechtigungen zum Hinzufügen oder Löschen von Dataplex Catalog-Einträgen aus systemdefinierten Eintragsgruppen wie @bigquery und @dataplex.
Die Rolle „Dataplex Entry Owner“ umfasst Folgendes:
Gewährt vollständigen Zugriff auf eintragsbezogene Vorgänge.
Gewährt Berechtigungen zum Hinzufügen von Aspekten einiger Systemaspekttypen, z. B. Schema, Generic, Overview und Contacts.
Gewährt Berechtigungen zum Erstellen von Einträgen vom Typ GenericEntry.
Mit dieser Rolle können Sie einen Eintrag mit einem Eintragstyp und einem Aspekttyp erstellen, wobei der Eintragstyp und der Aspekttyp im selben Projekt wie der Eintrag definiert sind.
Andernfalls müssen in den Projekten, in denen der Datentyp und der Aspekttyp definiert sind, zusätzliche Rollen vom Typ „Dataplex Entry Type User“ und „Dataplex Aspect Type User“ gewährt werden.
Bei Verwendung der Methode LookupEntry oder der Methode SearchEntries gewährt diese Rolle keine Berechtigungen zum Lesen von Einträgen, die ausGoogle Cloud -Ressourcen außerhalb von Dataplex erstellt wurden, z. B. BigQuery-Einträge. Damit Sie diese Einträge lesen können, müssen Sie Berechtigungen für die Ressourcen des Quellsystems haben. Alternativ können Sie die Einträge mit der Rolle „Dataplex Entry Owner“ nur mit der Methode GetEntry lesen.
Wenn Sie mit der SearchEntries-Methode nach Einträgen suchen möchten, müssen Sie für das Projekt, das in der API-Anfrage verwendet wird, mindestens eine der Dataplex Catalog-IAM-Rollen haben. Berechtigungen für Suchergebnisse werden unabhängig vom ausgewählten Projekt geprüft.
In der folgenden Tabelle sind die vordefinierten Dataplex-Rollen und die Berechtigungen aufgeführt, die mit jeder Rolle verknüpft sind:
Role
Permissions
Dataplex Administrator
(roles/dataplex.admin)
Full access to Dataplex resources, except Dataplex Catalog.
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
dataplex.assetActions.list
dataplex.assets.create
dataplex.assets.delete
dataplex.assets.get
dataplex.assets.getIamPolicy
dataplex.assets.list
dataplex.assets.setIamPolicy
dataplex.assets.update
dataplex.content.*
dataplex.content.create
dataplex.content.delete
dataplex.content.get
dataplex.content.getIamPolicy
dataplex.content.list
dataplex.content.setIamPolicy
dataplex.content.update
dataplex.dataAttributeBindings.*
dataplex.dataAttributeBindings.create
dataplex.dataAttributeBindings.delete
dataplex.dataAttributeBindings.get
dataplex.dataAttributeBindings.getIamPolicy
dataplex.dataAttributeBindings.list
dataplex.dataAttributeBindings.setIamPolicy
dataplex.dataAttributeBindings.update
dataplex.dataAttributes.*
dataplex.dataAttributes.bind
dataplex.dataAttributes.create
dataplex.dataAttributes.delete
dataplex.dataAttributes.get
dataplex.dataAttributes.getIamPolicy
dataplex.dataAttributes.list
dataplex.dataAttributes.setIamPolicy
dataplex.dataAttributes.update
dataplex.dataTaxonomies.*
dataplex.dataTaxonomies.configureDataAccess
dataplex.dataTaxonomies.configureResourceAccess
dataplex.dataTaxonomies.create
dataplex.dataTaxonomies.delete
dataplex.dataTaxonomies.get
dataplex.dataTaxonomies.getIamPolicy
dataplex.dataTaxonomies.list
dataplex.dataTaxonomies.setIamPolicy
dataplex.dataTaxonomies.update
dataplex.datascans.*
dataplex.datascans.create
dataplex.datascans.delete
dataplex.datascans.get
dataplex.datascans.getData
dataplex.datascans.getIamPolicy
dataplex.datascans.list
dataplex.datascans.run
dataplex.datascans.setIamPolicy
dataplex.datascans.update
dataplex.encryptionConfig.*
dataplex.encryptionConfig.create
dataplex.encryptionConfig.delete
dataplex.encryptionConfig.get
dataplex.encryptionConfig.list
dataplex.encryptionConfig.update
dataplex.entities.*
dataplex.entities.create
dataplex.entities.delete
dataplex.entities.get
dataplex.entities.list
dataplex.entities.update
dataplex.entryGroups.export
dataplex.entryGroups.import
dataplex.environments.*
dataplex.environments.create
dataplex.environments.delete
dataplex.environments.execute
dataplex.environments.get
dataplex.environments.getIamPolicy
dataplex.environments.list
dataplex.environments.setIamPolicy
dataplex.environments.update
dataplex.lakeActions.list
dataplex.lakes.*
dataplex.lakes.create
dataplex.lakes.delete
dataplex.lakes.get
dataplex.lakes.getIamPolicy
dataplex.lakes.list
dataplex.lakes.setIamPolicy
dataplex.lakes.update
dataplex.locations.*
dataplex.locations.get
dataplex.locations.list
dataplex.metadataJobs.*
dataplex.metadataJobs.cancel
dataplex.metadataJobs.create
dataplex.metadataJobs.get
dataplex.metadataJobs.list
dataplex.operations.*
dataplex.operations.cancel
dataplex.operations.delete
dataplex.operations.get
dataplex.operations.list
dataplex.partitions.*
dataplex.partitions.create
dataplex.partitions.delete
dataplex.partitions.get
dataplex.partitions.list
dataplex.partitions.update
dataplex.tasks.*
dataplex.tasks.cancel
dataplex.tasks.create
dataplex.tasks.delete
dataplex.tasks.get
dataplex.tasks.getIamPolicy
dataplex.tasks.list
dataplex.tasks.run
dataplex.tasks.setIamPolicy
dataplex.tasks.update
dataplex.zoneActions.list
dataplex.zones.*
dataplex.zones.create
dataplex.zones.delete
dataplex.zones.get
dataplex.zones.getIamPolicy
dataplex.zones.list
dataplex.zones.setIamPolicy
dataplex.zones.update
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Aspect Type Owner
(roles/dataplex.aspectTypeOwner)
Grants access to creating and managing Aspect Types. Does not give the right to create/modify Entries.
datacatalog.migrationConfig.get
dataplex.aspectTypes.*
dataplex.aspectTypes.create
dataplex.aspectTypes.delete
dataplex.aspectTypes.get
dataplex.aspectTypes.getIamPolicy
dataplex.aspectTypes.list
dataplex.aspectTypes.setIamPolicy
dataplex.aspectTypes.update
dataplex.aspectTypes.use
dataplex.operations.get
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Aspect Type User
(roles/dataplex.aspectTypeUser)
Grants access to use Aspect Types to create/modify Entries with the corresponding aspects.
datacatalog.migrationConfig.get
dataplex.aspectTypes.get
dataplex.aspectTypes.list
dataplex.aspectTypes.use
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Binding Administrator
(roles/dataplex.bindingAdmin)
Full access on DataAttribute Bindig resources.
dataplex.dataAttributeBindings.*
dataplex.dataAttributeBindings.create
dataplex.dataAttributeBindings.delete
dataplex.dataAttributeBindings.get
dataplex.dataAttributeBindings.getIamPolicy
dataplex.dataAttributeBindings.list
dataplex.dataAttributeBindings.setIamPolicy
dataplex.dataAttributeBindings.update
Dataplex Catalog Admin
(roles/dataplex.catalogAdmin)
Has full access to Catalog resources: Entry Groups, Entry Types, Aspect Types and Entries.
datacatalog.migrationConfig.get
dataplex.aspectTypes.*
dataplex.aspectTypes.create
dataplex.aspectTypes.delete
dataplex.aspectTypes.get
dataplex.aspectTypes.getIamPolicy
dataplex.aspectTypes.list
dataplex.aspectTypes.setIamPolicy
dataplex.aspectTypes.update
dataplex.aspectTypes.use
dataplex.entries.*
dataplex.entries.create
dataplex.entries.delete
dataplex.entries.get
dataplex.entries.list
dataplex.entries.update
dataplex.entryGroups.*
dataplex.entryGroups.create
dataplex.entryGroups.delete
dataplex.entryGroups.export
dataplex.entryGroups.get
dataplex.entryGroups.getIamPolicy
dataplex.entryGroups.import
dataplex.entryGroups.list
dataplex.entryGroups.setIamPolicy
dataplex.entryGroups.update
dataplex.entryGroups.useContactsAspect
dataplex.entryGroups.useGenericAspect
dataplex.entryGroups.useGenericEntry
dataplex.entryGroups.useOverviewAspect
dataplex.entryGroups.useSchemaAspect
dataplex.entryTypes.*
dataplex.entryTypes.create
dataplex.entryTypes.delete
dataplex.entryTypes.get
dataplex.entryTypes.getIamPolicy
dataplex.entryTypes.list
dataplex.entryTypes.setIamPolicy
dataplex.entryTypes.update
dataplex.entryTypes.use
dataplex.operations.get
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Catalog Editor
(roles/dataplex.catalogEditor)
Has write access to Catalog resources: Entry Groups, Entry Types, Aspect Types and Entries. Cannot set IAM policies on resources
datacatalog.migrationConfig.get
dataplex.aspectTypes.create
dataplex.aspectTypes.delete
dataplex.aspectTypes.get
dataplex.aspectTypes.getIamPolicy
dataplex.aspectTypes.list
dataplex.aspectTypes.update
dataplex.aspectTypes.use
dataplex.entries.*
dataplex.entries.create
dataplex.entries.delete
dataplex.entries.get
dataplex.entries.list
dataplex.entries.update
dataplex.entryGroups.create
dataplex.entryGroups.delete
dataplex.entryGroups.get
dataplex.entryGroups.getIamPolicy
dataplex.entryGroups.list
dataplex.entryGroups.update
dataplex.entryGroups.useContactsAspect
dataplex.entryGroups.useGenericAspect
dataplex.entryGroups.useGenericEntry
dataplex.entryGroups.useOverviewAspect
dataplex.entryGroups.useSchemaAspect
dataplex.entryTypes.create
dataplex.entryTypes.delete
dataplex.entryTypes.get
dataplex.entryTypes.getIamPolicy
dataplex.entryTypes.list
dataplex.entryTypes.update
dataplex.entryTypes.use
dataplex.operations.get
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Catalog Viewer
(roles/dataplex.catalogViewer)
Has read access to Catalog resources: Entry Groups, Entry Types, Aspect Types and Entries. Can view IAM policies on Catalog resources.
datacatalog.migrationConfig.get
dataplex.aspectTypes.get
dataplex.aspectTypes.getIamPolicy
dataplex.aspectTypes.list
dataplex.entries.get
dataplex.entries.list
dataplex.entryGroups.get
dataplex.entryGroups.getIamPolicy
dataplex.entryGroups.list
dataplex.entryTypes.get
dataplex.entryTypes.getIamPolicy
dataplex.entryTypes.list
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Data Owner
(roles/dataplex.dataOwner)
Owner access to data. To be granted to Dataplex resources Lake, Zone or Asset only.
dataplex.assets.ownData
dataplex.assets.readData
dataplex.assets.writeData
Dataplex Data Reader
(roles/dataplex.dataReader)
Read only access to data. To be granted to Dataplex resources Lake, Zone or Asset only.
dataplex.assets.readData
Dataplex DataScan Administrator
(roles/dataplex.dataScanAdmin)
Full access to DataScan resources.
dataplex.datascans.*
dataplex.datascans.create
dataplex.datascans.delete
dataplex.datascans.get
dataplex.datascans.getData
dataplex.datascans.getIamPolicy
dataplex.datascans.list
dataplex.datascans.run
dataplex.datascans.setIamPolicy
dataplex.datascans.update
dataplex.operations.get
dataplex.operations.list
Dataplex DataScan Creator
(roles/dataplex.dataScanCreator)
Access to create new DataScan resources.
dataplex.datascans.create
dataplex.datascans.get
dataplex.datascans.list
dataplex.operations.get
Dataplex DataScan DataViewer
(roles/dataplex.dataScanDataViewer)
Read access to DataScan resources and additional contents.
dataplex.datascans.get
dataplex.datascans.getData
dataplex.datascans.getIamPolicy
dataplex.datascans.list
Dataplex DataScan Editor
(roles/dataplex.dataScanEditor)
Write access to DataScan resources.
dataplex.datascans.create
dataplex.datascans.delete
dataplex.datascans.get
dataplex.datascans.getData
dataplex.datascans.getIamPolicy
dataplex.datascans.list
dataplex.datascans.run
dataplex.datascans.update
dataplex.operations.get
dataplex.operations.list
Dataplex DataScan Viewer
(roles/dataplex.dataScanViewer)
Read access to DataScan resources.
dataplex.datascans.get
dataplex.datascans.getIamPolicy
dataplex.datascans.list
Dataplex Data Writer
(roles/dataplex.dataWriter)
Write access to data. To be granted to Dataplex resources Lake, Zone or Asset only.
dataplex.assets.writeData
Dataplex Developer
(roles/dataplex.developer)
Allows running data analytics workloads in a lake.
dataplex.content.*
dataplex.content.create
dataplex.content.delete
dataplex.content.get
dataplex.content.getIamPolicy
dataplex.content.list
dataplex.content.setIamPolicy
dataplex.content.update
dataplex.environments.execute
dataplex.environments.get
dataplex.environments.list
dataplex.tasks.cancel
dataplex.tasks.create
dataplex.tasks.delete
dataplex.tasks.get
dataplex.tasks.list
dataplex.tasks.run
dataplex.tasks.update
Dataplex Editor
(roles/dataplex.editor)
Write access to Dataplex resources.
cloudasset.assets.analyzeIamPolicy
dataplex.assetActions.list
dataplex.assets.create
dataplex.assets.delete
dataplex.assets.get
dataplex.assets.getIamPolicy
dataplex.assets.list
dataplex.assets.update
dataplex.content.delete
dataplex.content.get
dataplex.content.getIamPolicy
dataplex.content.list
dataplex.dataAttributeBindings.create
dataplex.dataAttributeBindings.delete
dataplex.dataAttributeBindings.get
dataplex.dataAttributeBindings.getIamPolicy
dataplex.dataAttributeBindings.list
dataplex.dataAttributeBindings.update
dataplex.dataAttributes.bind
dataplex.dataAttributes.create
dataplex.dataAttributes.delete
dataplex.dataAttributes.get
dataplex.dataAttributes.getIamPolicy
dataplex.dataAttributes.list
dataplex.dataAttributes.update
dataplex.dataTaxonomies.configureDataAccess
dataplex.dataTaxonomies.configureResourceAccess
dataplex.dataTaxonomies.create
dataplex.dataTaxonomies.delete
dataplex.dataTaxonomies.get
dataplex.dataTaxonomies.getIamPolicy
dataplex.dataTaxonomies.list
dataplex.dataTaxonomies.update
dataplex.datascans.create
dataplex.datascans.delete
dataplex.datascans.get
dataplex.datascans.getIamPolicy
dataplex.datascans.list
dataplex.datascans.run
dataplex.datascans.update
dataplex.environments.create
dataplex.environments.delete
dataplex.environments.get
dataplex.environments.getIamPolicy
dataplex.environments.list
dataplex.environments.update
dataplex.lakeActions.list
dataplex.lakes.create
dataplex.lakes.delete
dataplex.lakes.get
dataplex.lakes.getIamPolicy
dataplex.lakes.list
dataplex.lakes.update
dataplex.operations.*
dataplex.operations.cancel
dataplex.operations.delete
dataplex.operations.get
dataplex.operations.list
dataplex.tasks.cancel
dataplex.tasks.create
dataplex.tasks.delete
dataplex.tasks.get
dataplex.tasks.getIamPolicy
dataplex.tasks.list
dataplex.tasks.run
dataplex.tasks.update
dataplex.zoneActions.list
dataplex.zones.create
dataplex.zones.delete
dataplex.zones.get
dataplex.zones.getIamPolicy
dataplex.zones.list
dataplex.zones.update
Dataplex Encryption Admin
(roles/dataplex.encryptionAdmin)
Gives user permissions to manage encryption config.
dataplex.encryptionConfig.*
dataplex.encryptionConfig.create
dataplex.encryptionConfig.delete
dataplex.encryptionConfig.get
dataplex.encryptionConfig.list
dataplex.encryptionConfig.update
dataplex.operations.get
dataplex.operations.list
Dataplex Entry Group Exporter
Beta
(roles/dataplex.entryGroupExporter)
Grants access to export this entry group for Metadata Job processing.
dataplex.entryGroups.export
dataplex.entryGroups.get
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Entry Group Importer
(roles/dataplex.entryGroupImporter)
Grants access to import this entry group for Metadata Job processing.
dataplex.entryGroups.get
dataplex.entryGroups.import
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Entry Group Owner
(roles/dataplex.entryGroupOwner)
Owns Entry Groups and Entries inside of them.
datacatalog.migrationConfig.get
dataplex.aspectTypes.get
dataplex.aspectTypes.list
dataplex.aspectTypes.use
dataplex.entries.*
dataplex.entries.create
dataplex.entries.delete
dataplex.entries.get
dataplex.entries.list
dataplex.entries.update
dataplex.entryGroups.*
dataplex.entryGroups.create
dataplex.entryGroups.delete
dataplex.entryGroups.export
dataplex.entryGroups.get
dataplex.entryGroups.getIamPolicy
dataplex.entryGroups.import
dataplex.entryGroups.list
dataplex.entryGroups.setIamPolicy
dataplex.entryGroups.update
dataplex.entryGroups.useContactsAspect
dataplex.entryGroups.useGenericAspect
dataplex.entryGroups.useGenericEntry
dataplex.entryGroups.useOverviewAspect
dataplex.entryGroups.useSchemaAspect
dataplex.entryTypes.get
dataplex.entryTypes.list
dataplex.entryTypes.use
dataplex.operations.get
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Entry Owner
(roles/dataplex.entryOwner)
Owns Metadata Entries.
datacatalog.migrationConfig.get
dataplex.aspectTypes.get
dataplex.aspectTypes.list
dataplex.aspectTypes.use
dataplex.entries.*
dataplex.entries.create
dataplex.entries.delete
dataplex.entries.get
dataplex.entries.list
dataplex.entries.update
dataplex.entryGroups.get
dataplex.entryGroups.useContactsAspect
dataplex.entryGroups.useGenericAspect
dataplex.entryGroups.useGenericEntry
dataplex.entryGroups.useOverviewAspect
dataplex.entryGroups.useSchemaAspect
dataplex.entryTypes.get
dataplex.entryTypes.list
dataplex.entryTypes.use
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Entry Type Owner
(roles/dataplex.entryTypeOwner)
Grants access to creating and managing Entry Types. Does not give the right to create/modify Entries.
datacatalog.migrationConfig.get
dataplex.entryTypes.*
dataplex.entryTypes.create
dataplex.entryTypes.delete
dataplex.entryTypes.get
dataplex.entryTypes.getIamPolicy
dataplex.entryTypes.list
dataplex.entryTypes.setIamPolicy
dataplex.entryTypes.update
dataplex.entryTypes.use
dataplex.operations.get
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Entry Type User
(roles/dataplex.entryTypeUser)
Grants access to use Entry Types to create/modify Entries of those types.
datacatalog.migrationConfig.get
dataplex.entryTypes.get
dataplex.entryTypes.list
dataplex.entryTypes.use
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Metadata Job Owner
(roles/dataplex.metadataJobOwner)
Grants access to creating and managing Metadata Jobs. Does not give the right to create/modify Entry Groups.
dataplex.metadataJobs.*
dataplex.metadataJobs.cancel
dataplex.metadataJobs.create
dataplex.metadataJobs.get
dataplex.metadataJobs.list
dataplex.operations.get
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Metadata Job Viewer
(roles/dataplex.metadataJobViewer)
Read access to Metadata Job resources.
dataplex.metadataJobs.get
dataplex.metadataJobs.list
dataplex.operations.get
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Metadata Reader
(roles/dataplex.metadataReader)
Read only access to metadata.
dataplex.assets.get
dataplex.assets.list
dataplex.entities.get
dataplex.entities.list
dataplex.partitions.get
dataplex.partitions.list
dataplex.zones.get
dataplex.zones.list
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Metadata Writer
(roles/dataplex.metadataWriter)
Write and Read access to metadata.
dataplex.assets.get
dataplex.assets.list
dataplex.entities.*
dataplex.entities.create
dataplex.entities.delete
dataplex.entities.get
dataplex.entities.list
dataplex.entities.update
dataplex.partitions.*
dataplex.partitions.create
dataplex.partitions.delete
dataplex.partitions.get
dataplex.partitions.list
dataplex.partitions.update
dataplex.zones.get
dataplex.zones.list
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Security Administrator
(roles/dataplex.securityAdmin)
Permissions configure ResourceAccess and DataAccess Specs on Data Attributes.
dataplex.dataTaxonomies.configureDataAccess
dataplex.dataTaxonomies.configureResourceAccess
Dataplex Storage Data Owner
(roles/dataplex.storageDataOwner)
Owner access to data. Should not be used directly. This role is granted by Dataplex to managed resources like Cloud Storage buckets, BigQuery datasets etc.
bigquery.datasets.get
bigquery.models.create
bigquery.models.delete
bigquery.models.export
bigquery.models.getData
bigquery.models.getMetadata
bigquery.models.list
bigquery.models.updateData
bigquery.models.updateMetadata
bigquery.routines.create
bigquery.routines.delete
bigquery.routines.get
bigquery.routines.list
bigquery.routines.update
bigquery.tables.create
bigquery.tables.createSnapshot
bigquery.tables.delete
bigquery.tables.deleteSnapshot
bigquery.tables.export
bigquery.tables.get
bigquery.tables.getData
bigquery.tables.list
bigquery.tables.restoreSnapshot
bigquery.tables.update
bigquery.tables.updateData
storage.buckets.get
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
storage.objects.update
Dataplex Storage Data Reader
(roles/dataplex.storageDataReader)
Read only access to data. Should not be used directly. This role is granted by Dataplex to managed resources like Cloud Storage buckets, BigQuery datasets etc.
bigquery.datasets.get
bigquery.models.export
bigquery.models.getData
bigquery.models.getMetadata
bigquery.models.list
bigquery.routines.get
bigquery.routines.list
bigquery.tables.export
bigquery.tables.get
bigquery.tables.getData
bigquery.tables.list
storage.buckets.get
storage.objects.get
storage.objects.list
Dataplex Storage Data Writer
(roles/dataplex.storageDataWriter)
Write access to data. Should not be used directly. This role is granted by Dataplex to managed resources like Cloud Storage buckets, BigQuery datasets etc.
bigquery.tables.updateData
storage.objects.create
storage.objects.delete
storage.objects.update
Dataplex Taxonomy Administrator
(roles/dataplex.taxonomyAdmin)
Full access to DataTaxonomy, DataAttribute resources.
dataplex.dataAttributes.*
dataplex.dataAttributes.bind
dataplex.dataAttributes.create
dataplex.dataAttributes.delete
dataplex.dataAttributes.get
dataplex.dataAttributes.getIamPolicy
dataplex.dataAttributes.list
dataplex.dataAttributes.setIamPolicy
dataplex.dataAttributes.update
dataplex.dataTaxonomies.create
dataplex.dataTaxonomies.delete
dataplex.dataTaxonomies.get
dataplex.dataTaxonomies.getIamPolicy
dataplex.dataTaxonomies.list
dataplex.dataTaxonomies.setIamPolicy
dataplex.dataTaxonomies.update
Dataplex Taxonomy Viewer
(roles/dataplex.taxonomyViewer)
Read access on DataTaxonomy, DataAttribute resources.
dataplex.dataAttributes.get
dataplex.dataAttributes.getIamPolicy
dataplex.dataAttributes.list
dataplex.dataTaxonomies.get
dataplex.dataTaxonomies.getIamPolicy
dataplex.dataTaxonomies.list
Dataplex Viewer
(roles/dataplex.viewer)
Read access to Dataplex resources.
cloudasset.assets.analyzeIamPolicy
dataplex.assetActions.list
dataplex.assets.get
dataplex.assets.getIamPolicy
dataplex.assets.list
dataplex.content.get
dataplex.content.getIamPolicy
dataplex.content.list
dataplex.dataAttributeBindings.get
dataplex.dataAttributeBindings.getIamPolicy
dataplex.dataAttributeBindings.list
dataplex.dataAttributes.get
dataplex.dataAttributes.getIamPolicy
dataplex.dataAttributes.list
dataplex.dataTaxonomies.get
dataplex.dataTaxonomies.getIamPolicy
dataplex.dataTaxonomies.list
dataplex.datascans.get
dataplex.datascans.getIamPolicy
dataplex.datascans.list
dataplex.environments.get
dataplex.environments.getIamPolicy
dataplex.environments.list
dataplex.lakeActions.list
dataplex.lakes.get
dataplex.lakes.getIamPolicy
dataplex.lakes.list
dataplex.operations.get
dataplex.operations.list
dataplex.tasks.get
dataplex.tasks.getIamPolicy
dataplex.tasks.list
dataplex.zoneActions.list
dataplex.zones.get
dataplex.zones.getIamPolicy
dataplex.zones.list
Vordefinierte Rollen für die Datenherkunft
Um auf die Herkunft eines Dataplex Catalog-Eintrags zuzugreifen, benötigen Sie Zugriff auf den Eintrag in Dataplex. Um auf den Dataplex Catalog-Eintrag zuzugreifen, benötigen Sie die Rolle „Betrachter“ für die entsprechende Systemressource oder die Rolle Dataplex Catalog-Betrachter (roles/dataplex.catalogViewer) für das Projekt, in dem der Dataplex Catalog-Eintrag gespeichert ist. In diesem Abschnitt werden die Rollen beschrieben, die zum Ansehen der Abfolge erforderlich sind.
Rolle „Abstammungsanzeige“
Mit der Rolle Data Lineage-Betrachter (roles/datalineage.viewer) können Sie die Dataplex-Abstammungskette in der Google Cloud Console aufrufen und Abstammungsinformationen mit der Data Lineage API lesen. Die Ausführungen und Ereignisse für einen bestimmten Prozess werden im selben Projekt wie der Prozess gespeichert. Bei der automatischen Abfolge werden der Prozess, die Ausführungen und die Ereignisse im Projekt gespeichert, in dem der Job ausgeführt wurde, der die Abfolge generiert hat. Das kann beispielsweise das Projekt sein, in dem ein BigQuery-Job ausgeführt wurde.
Sie benötigen unterschiedliche Rollen, um die Herkunftsabfolge zwischen Assets und die Metadaten der Assets aufzurufen. Für Ersteres benötigen Sie die Rolle Datenabstammungsbetrachter (roles/datalineage.viewer). Für Letzteres benötigen Sie dieselben Rollen wie für den Zugriff auf Metadateneinträge in Dataplex.
Rollen zum Aufrufen der Abfolge zwischen zwei Assets
Wenn Sie die Herkunft zwischen Assets sehen möchten, benötigen Sie die Rolle Data Lineage-Betrachter (roles/datalineage.viewer) für die folgenden Projekte:
Das Projekt, in dem Sie die Abfolge aufrufen (aktives Projekt). Das ist das Projekt im Drop-down-Menü oben in der Google Cloud Console oder das Projekt, von dem aus API-Aufrufe erfolgen. Das ist normalerweise das Projekt, das die Ressourcen enthält, die Sie im Dataplex-Katalog erstellen oder auf die Sie in anderen Google Cloud Systemen mit der API zugreifen.
Die Projekte, in denen die Abfolge aufgezeichnet wird (Compute-Projekt).
Die Abfolge wird im Projekt gespeichert, in dem der entsprechende Prozess ausgeführt wurde, wie bereits beschrieben. Dieses Projekt kann sich von dem Projekt unterscheiden, in dem das Asset gespeichert ist, für das Sie die Herkunft ansehen.
Weisen Sie je nach Anwendungsfall die Rolle Datenabstammungsbetrachter (roles/datalineage.viewer) auf Ordner- oder Organisationsebene zu, um Zugriff auf die Datenabstammung zu gewähren (siehe Einzelne Rolle zuweisen oder widerrufen).
Rollen, die für die Datenabfolge erforderlich sind, können nur über die Google Cloud CLI gewährt werden.
Rollen, mit denen sich Asset-Metadaten in der Abfolge ansehen lassen
Wenn Metadaten zu einem Asset im Dataplex Catalog gespeichert sind, können Sie diese Metadaten nur aufrufen, wenn Sie die Rolle „Betrachter“ für die entsprechende Systemressource oder die Rolle „Dataplex Catalog-Betrachter“ (roles/dataplex.catalogViewer) für das Projekt haben, in dem der Dataplex Catalog-Eintrag gespeichert ist. Möglicherweise haben Sie über die entsprechenden Betrachterrollen Zugriff auf Assets im Stammbaumdiagramm oder in der Liste, aber keinen Zugriff auf die Stammbaumbeziehungen zwischen ihnen. Das ist der Fall, wenn Sie für das Projekt, in dem die Datenreihe aufgezeichnet wurde, nicht die Rolle Data Lineage-Betrachter (roles/datalineage.viewer) haben. In diesem Fall zeigen die Data Lineage API und die Google Cloud Console weder die Datenabfolge noch einen Fehler an, um zu verhindern, dass Informationen zur Existenz der Datenabfolge weitergegeben werden. Wenn also keine Herkunft für ein Asset angegeben ist, bedeutet das nicht, dass es keine Herkunft gibt, sondern dass Sie möglicherweise keinen Zugriff darauf haben.
Rolle „Data Lineage-Ereignis-Ersteller“
Mit der Rolle Ersteller von Data Lineage-Ereignissen (roles/datalineage.producer) können Nutzer Datenreiheninformationen manuell mit der Data Lineage API erfassen.
Rolle „Data Lineage-Bearbeiter“
Mit der Rolle Data Lineage-Bearbeiter (roles/datalineage.editor) können Nutzer Abfolgeinformationen manuell mithilfe der Data Lineage API ändern.
Rolle „Data Lineage-Administrator“
Mit der Rolle Administrator für die Datenherkunft (roles/datalineage.admin) können Nutzer alle in diesem Abschnitt aufgeführten Vorgänge für die Datenherkunft ausführen.
Datenrollen
In Dataplex werden die folgenden IAM-Rollen definiert, die auf alle von Dataplex verwalteten Ressourcen angewendet werden sollen.
Weitere Informationen zu den Berechtigungen, die mit den einzelnen Rollen verknüpft sind, finden Sie in diesem Dokument im Abschnitt Vordefinierte Rollen.
Datenrolle
Leistungsspektrum
Begründung
Dataplex-Dateninhaber (roles/dataplex.dataOwner)
Alle Berechtigungen für die verwaltete Ressource. sowie alle Berechtigungen für alle untergeordneten Ressourcen (unabhängig vom Ressourcentyp).
Dateninhaber können neben verschiedenen anderen Berechtigungen auch Ressourcenmetadaten aktualisieren, Berechtigungen mit höherer Granularität gewähren (z. B. für untergeordnete Tabellen eines BigQuery-Datasets) und untergeordnete Ressourcen erstellen. Sie haben die vollständige Inhaberschaft über die Ressource.
Dataplex-Datenleser (roles/dataplex.dataReader)
Lesezugriff auf Daten in der verwalteten Ressource und ihren untergeordneten Ressourcen. Außerdem muss die Möglichkeit bestehen, Metadaten der verwalteten Ressource und ihrer untergeordneten Ressourcen zu lesen.
Ermöglicht das Lesen von Daten und Metadaten.
Dataplex-Datenautor (roles/dataplex.dataWriter)
Erstellen, Aktualisieren und Löschen von Daten (keine Metadaten).
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-02-14 (UTC)."],[],[]]
