本文說明如何保護及管理 Dataplex Universal Catalog 湖泊的存取權。
Dataplex Universal Catalog 安全性模型可讓您管理下列工作的使用者權限:
- 管理湖泊 (建立及附加資產、可用區和額外湖泊)
- 透過對應資產存取連結至湖泊的資料 (例如 Cloud Storage 值區和 BigQuery 資料集等資源)Google Cloud
- 存取與湖泊連結的資料中繼資料
湖泊管理員可透過授予基本和預先定義的角色,控管 Dataplex Universal Catalog 資源 (例如湖泊、儲存區和資產) 的存取權。
基本角色
| 角色 | 說明 |
|---|---|
| Dataplex 檢視者 ( roles/dataplex.viewer) |
可以查看 (但無法編輯) 湖泊及其設定的區域和資產。 |
| Dataplex 編輯者 ( roles/dataplex.editor) |
編輯湖泊的權限。可建立及設定湖泊、區域、資產和工作。 |
| Dataplex 管理員 ( roles/dataplex.administrator) |
具備資料湖泊的完整管理權限。 |
| Dataplex 開發人員 ( roles/dataplex.developer) |
可在資料湖泊中執行資料分析工作負載。 * |
如要執行 Spark 工作,請在要歸因運算資源的專案中,建立 Dataproc 叢集並提交 Dataproc 工作。
預先定義的角色
Google Cloud 管理預先定義的角色,為 Dataplex Universal Catalog 提供精細的存取權。
中繼資料角色
中繼資料角色可查看中繼資料,例如資料表結構定義。
| 角色 | 說明 |
|---|---|
| Dataplex 中繼資料寫入者 ( roles/dataplex.metadataWriter) |
可更新特定資源的中繼資料。 |
| Dataplex 中繼資料讀取者 ( roles/dataplex.metadataReader) |
可讀取中繼資料 (例如查詢資料表)。 |
資料角色
將資料角色授予主體後,主體就能讀取或寫入資料湖泊資產所指向基礎資源中的資料。
Dataplex Universal Catalog 會將角色對應至每個基礎儲存空間資源 (例如 Cloud Storage 和 BigQuery) 的資料角色。
Dataplex Universal Catalog 會將 Dataplex Universal Catalog 資料角色轉換並傳播至基礎儲存空間資源,為每個儲存空間資源設定正確的角色。您可以在湖泊階層 (例如湖泊) 授予單一 Dataplex Universal Catalog 資料角色,Dataplex Universal Catalog 會維護對連結至該湖泊的所有資源 (例如 Cloud Storage bucket 和 BigQuery 資料集,這些資源是由基礎區域中的資產參照) 的指定資料存取權。
舉例來說,如果將湖泊的 dataplex.dataWriter 角色授予主體,該主體就能寫入湖泊、基礎區域和資產中的所有資料。在較低層級 (儲存區) 授予的資料存取角色,會沿用至湖泊階層中的基礎資產。
| 角色 | 說明 |
|---|---|
| Dataplex 資料讀取者 ( roles/dataplex.dataReader) |
能夠從附加至資產的儲存空間讀取資料,包括儲存空間值區和 BigQuery 資料集 (及其內容)。* |
| Dataplex 資料寫入者 ( roles/dataplex.dataWriter) |
可寫入資產指向的基礎資源。 * |
| Dataplex 資料擁有者 ( roles/dataplex.dataOwner) |
授予基礎資源的「擁有者」角色,包括管理子項資源的權限。舉例來說,如果您是 BigQuery 資料集的資料擁有者,就可以管理基礎資料表。 |
保護自有 lake
您可以保護及管理湖泊的存取權,以及附加至湖泊的資料。在 Google Cloud 控制台中,使用下列任一檢視畫面:
- 「權限」分頁中的 Dataplex Universal Catalog「管理」檢視畫面
- Dataplex Universal Catalog 安全檢視畫面
使用「管理」檢視畫面
您可以在「權限」分頁中管理湖泊資源的所有權限,並查看所有權限 (包括繼承的權限),不會經過篩選。
如要保護資料湖,請按照下列步驟操作:
在 Google Cloud 控制台,前往 Dataplex Universal Catalog 的「Lakes」(湖泊) 頁面。
按一下您建立的湖泊名稱。
按一下「Permissions」(權限) 分頁標籤。
按一下「依角色查看」分頁標籤。
按一下「新增」即可新增角色。新增「Dataplex 資料讀取者」、「資料寫入者」和「資料擁有者」角色。
確認「Dataplex 資料讀取者」、「資料寫入者」和「資料擁有者」角色是否顯示。
使用「安全」檢視畫面
Google Cloud 控制台中的 Dataplex Universal Catalog 安全檢視畫面提供下列功能:
- 可篩選的檢視畫面,只顯示以特定資源為中心的 Dataplex Universal Catalog 角色
- 將資料角色與 Lake 資源角色分開
- 從專案繼承 Dataplex 管理員角色的服務帳戶。
- 從專案繼承 Dataplex 編輯者和檢視者角色的主體 (電子郵件地址)。這些角色適用於所有資源。
- 從專案繼承 Dataplex 管理員角色的主體 (電子郵件地址)。
政策管理
指定安全性政策後,Dataplex Universal Catalog 會將權限傳播至受管理資源的 IAM 政策。
在湖泊層級設定的安全性政策會傳播至該湖泊內管理的所有資源。Dataplex Universal Catalog 會在「管理」>「權限」分頁中,顯示這些大規模傳播作業的傳播狀態和可見度。持續監控受管理資源,查看 Dataplex Universal Catalog 外部的 IAM 政策是否有任何變更。
資源附加至 Dataplex Universal Catalog 湖泊後,使用者仍會保留資源的權限。同樣地,將資源附加至 Dataplex Universal Catalog 後,建立或更新的非 Dataplex Universal Catalog 角色繫結會維持不變。
設定資料欄層級、資料列層級和資料表層級政策
Cloud Storage 值區資產會附加相關聯的 BigQuery外部資料表。
您可以升級 Cloud Storage bucket 資產,也就是讓 Dataplex Universal Catalog 移除附加的外部資料表,並改為附加 BigLake 資料表。
您可以使用 BigLake 資料表取代外部資料表,以進行精細的存取權控管,包括資料列層級控管、資料欄層級控管和資料欄資料遮蓋。
中繼資料安全性
中繼資料主要指與湖泊管理資源中使用者資料相關聯的結構定義資訊。
Dataplex Universal Catalog Discovery 會檢查受管理資源中的資料,並擷取表格結構定義資訊。這些資料表會發布至 BigQuery、Dataproc Metastore 和 Data Catalog (已淘汰) 系統。
BigQuery
每個探索到的資料表都會在 BigQuery 中註冊相關聯的資料表。每個區域都有相關聯的 BigQuery 資料集,與該資料區域中探索到的資料表相關聯的所有外部資料表,都會在該資料集下註冊。
系統會將探索到的 Cloud Storage 代管資料表,註冊到為區域建立的資料集下。
Dataproc Metastore
資料庫和資料表會顯示在與 Dataplex Universal Catalog 湖泊執行個體相關聯的 Dataproc Metastore 中。每個資料區都有相關聯的資料庫,且每個資產可有一或多個相關聯的資料表。
設定 VPC-SC 網路後,Dataproc Metastore 服務中的資料就會受到保護。建立湖泊時,系統會將 Dataproc Metastore 執行個體提供給 Dataplex Universal Catalog,因此這項資源已由使用者管理。
Data Catalog
每個探索到的資料表在 Data Catalog 中都有相關聯的項目 (已淘汰),方便您搜尋及探索。
建立項目時,Data Catalog 需要 IAM 政策名稱。因此,Dataplex Universal Catalog 會提供項目應關聯的 Dataplex Universal Catalog 資產資源 IAM 政策名稱。因此,Dataplex Universal Catalog 項目權限是由資產資源權限所控管。在資產資源上授予 Dataplex 中繼資料讀取者角色 (roles/dataplex.metadataReader) 和 Dataplex 中繼資料寫入者角色 (roles/dataplex.metadataWriter)。
後續步驟
- 進一步瞭解 Dataplex Universal Catalog IAM。
- 進一步瞭解 Dataplex Universal Catalog IAM 角色。
- 進一步瞭解 Dataplex Universal Catalog IAM 權限。