Dataplex 定义了多个 Identity and Access Management (IAM) 角色。每个预定义角色都包含一组允许主账号执行特定操作的 IAM 权限。您可以使用 IAM 政策向主帐号授予一个或多个 IAM 角色。
Identity and Access Management (IAM) 还提供创建自定义 IAM 角色的功能。您可以创建自定义 IAM 角色,并为该角色分配一项或多项权限。然后,您可以将新创建的角色授予主账号。使用自定义角色可创建访问权限控制模型,该模型将直接映射到您的需求以及可用的预定义角色。
本文档重点介绍与 Dataplex 相关的 IAM 角色。
准备工作
- 阅读 IAM 文档。
Dataplex 角色
Identity and Access Management (IAM) Dataplex 角色是一个或多个权限的捆绑包。您向主帐号授予角色,以允许他们对项目中的 Dataplex 资源执行操作。例如,Dataplex Viewer 角色包含 dataplex.*.get
和 dataplex.*.list
权限,这些权限允许用户获取和列出项目中的 Dataplex 服务、资源和操作。
Dataplex 角色可应用于服务层次结构中的任何资源,包括项目、数据湖和数据区域。
基本角色
您可以使用 IAM Project 角色在项目级分配基本角色。以下汇总了与 IAM Project 角色关联的权限:
项目角色 | 权限 |
---|---|
Project Owner | 拥有所有“项目修改者”权限,外加为项目管理访问控制的权限(获取/设置 IamPolicy)和设置项目结算的权限 |
Project Editor | 拥有所有 Project Viewer 权限,外加可修改状态的操作(创建、删除、更新、使用)的所有项目权限 |
项目查看者 | 拥有不会修改状态的只读操作(获取、列出)的所有项目权限 |
预定义角色
下表列出了 Dataplex 预定义角色(或精选)角色以及与每个角色关联的权限:
角色 ID | 权限 |
---|---|
roles/dataplex.admin | dataplex.*.create dataplex.*.update dataplex.*.delete dataplex.*.get dataplex.*.getData dataplex.*.list dataplex.*.getIamPolicy dataplex.*.setIamPolicy |
roles/dataplex.editor | dataplex.*.create dataplex.*.update dataplex.*.delete |
roles/dataplex.viewer | dataplex.*.get dataplex.*.list |
备注:
- “*”表示资源类型,例如“湖泊”或“可用区”。 某些权限未针对特定资源类型定义。
dataplex.admin
角色可授予对所有 Dataplex 资源的完整访问权限,包括 IAM 政策管理。dataplex.editor
角色可授予对所有 Dataplex 资源的读写权限。dataplex.viewer
角色可授予对所有 Dataplex 资源的读取权限。- 对于数据扫描资源,您需要拥有
dataplex.datascans.getData
权限才能获取资源的完整视图。roles/dataplex.viewer
或roles/dataplex.editor
中不包含此权限。如需了解详情,请参阅数据扫描权限和角色。
数据角色
Dataplex 定义了以下三个 IAM 角色,它们旨在应用于由 Dataplex 管理的任何资源:
数据角色 | 功能 | 理由 |
---|---|---|
roles/dataplex.dataOwner | 针对托管资源的所有权限。以及对所有子资源的所有权限(无论资源类型如何)。 | 除了各种其他权限之外,数据所有者还可以更新资源元数据、授予更精细的权限(例如对 BigQuery 数据集的子表的权限)和创建子资源。他们拥有对资源的完整所有权。 |
roles/dataplex.dataReader | 能够读取托管资源及其子资源中的数据。以及读取托管资源及其子资源的元数据的功能。 | 用于读取数据和元数据。 |
roles/dataplex.dataWriter | 能够创建/更新/删除数据(不是元数据)。 | 实现核心的 Dataplex 用户历程。 |
后续步骤
- 了解如何创建自定义 IAM 角色。
- 了解如何授予和管理角色。
- 请参阅 Dataplex IAM 权限映射。