Dataplex IAM 角色

Dataplex 定义了多个 Identity and Access Management (IAM) 角色。每个预定义角色都包含一组允许主账号执行特定操作的 IAM 权限。您可以使用 IAM 政策向主帐号授予一个或多个 IAM 角色。

Identity and Access Management (IAM) 还提供创建自定义 IAM 角色的功能。您可以创建自定义 IAM 角色,并为该角色分配一项或多项权限。然后,您可以将新创建的角色授予主账号。使用自定义角色可创建访问权限控制模型,该模型将直接映射到您的需求以及可用的预定义角色。

本文档重点介绍与 Dataplex 相关的 IAM 角色。

准备工作

  • 阅读 IAM 文档。

Dataplex 角色

Identity and Access Management (IAM) Dataplex 角色是一个或多个权限的捆绑包。您向主帐号授予角色,以允许他们对项目中的 Dataplex 资源执行操作。例如,Dataplex Viewer 角色包含 dataplex.*.getdataplex.*.list 权限,这些权限允许用户获取和列出项目中的 Dataplex 服务、资源和操作。

Dataplex 角色可应用于服务层次结构中的任何资源,包括项目、数据湖和数据区域。

基本角色

您可以使用 IAM Project 角色在项目级分配基本角色。以下汇总了与 IAM Project 角色关联的权限:

项目角色 权限
Project Owner 拥有所有“项目修改者”权限,外加为项目管理访问控制的权限(获取/设置 IamPolicy)和设置项目结算的权限
Project Editor 拥有所有 Project Viewer 权限,外加可修改状态的操作(创建、删除、更新、使用)的所有项目权限
项目查看者 拥有不会修改状态的只读操作(获取、列出)的所有项目权限

预定义角色

下表列出了 Dataplex 预定义角色(或精选)角色以及与每个角色关联的权限:

角色 ID 权限
roles/dataplex.admin dataplex.*.create
dataplex.*.update
dataplex.*.delete
dataplex.*.get
dataplex.*.getData
dataplex.*.list
dataplex.*.getIamPolicy
dataplex.*.setIamPolicy
roles/dataplex.editor dataplex.*.create
dataplex.*.update
dataplex.*.delete
roles/dataplex.viewer dataplex.*.get
dataplex.*.list

备注:

  • “*”表示资源类型,例如“湖泊”或“可用区”。 某些权限未针对特定资源类型定义。
  • dataplex.admin 角色可授予对所有 Dataplex 资源的完整访问权限,包括 IAM 政策管理。
  • dataplex.editor 角色可授予对所有 Dataplex 资源的读写权限。
  • dataplex.viewer 角色可授予对所有 Dataplex 资源的读取权限。
  • 对于数据扫描资源,您需要拥有 dataplex.datascans.getData 权限才能获取资源的完整视图。roles/dataplex.viewerroles/dataplex.editor 中不包含此权限。如需了解详情,请参阅数据扫描权限和角色

数据角色

Dataplex 定义了以下三个 IAM 角色,它们旨在应用于由 Dataplex 管理的任何资源:

数据角色 功能 理由
roles/dataplex.dataOwner 针对托管资源的所有权限。以及对所有子资源的所有权限(无论资源类型如何)。 除了各种其他权限之外,数据所有者还可以更新资源元数据、授予更精细的权限(例如对 BigQuery 数据集的子表的权限)和创建子资源。他们拥有对资源的完整所有权。
roles/dataplex.dataReader 能够读取托管资源及其子资源中的数据。以及读取托管资源及其子资源的元数据的功能。 用于读取数据和元数据。
roles/dataplex.dataWriter 能够创建/更新/删除数据(不是元数据)。 实现核心的 Dataplex 用户历程。

后续步骤