Looker (Google Cloud Core) utilise la gestion de l'identité et des accès (IAM) pour provisionner des accès utilisateur et administrateur via un ensemble de rôles IAM. Pour obtenir une description détaillée d' Google Cloud IAM, consultez la documentation IAM.
Qu'est-ce que Cloud Identity and Access Management (IAM) ?
IAM vous permet de contrôler qui a accès aux ressources de votre projet Google Cloud. IAM vous permet d'adopter le principe de sécurité du moindre privilège afin de n'accorder que l'accès nécessaire à vos ressources.
Les comptes principaux sont les "acteurs" d'IAM. Les entités principales peuvent être des utilisateurs individuels, des groupes ou des domaines Workspace. Les comptes principaux se voient attribuer des rôles qui leur permettent d'effectuer des actions avec Looker (Google Cloud Core) et Google Cloud plus généralement. Chaque rôle est un ensemble constitué d'une ou plusieurs autorisations. Les autorisations sont les unités de base d'IAM: chaque autorisation permet à un compte principal d'effectuer une action donnée.
Par exemple, l'autorisation looker.instances.login permet à un principal de se connecter aux instances Looker (Google Cloud Core). Cette autorisation est incluse dans plusieurs rôles prédéfinis, y compris le rôle Administrateur Looker (roles/looker.admin) et le rôle Utilisateur de l'instance Looker (roles/looker.instanceUser).
Rôle requis
Pour obtenir les autorisations nécessaires pour attribuer des rôles IAM Looker (Google Cloud Core), demandez à votre administrateur de vous accorder le rôle IAM Administrateur IAM du projet (roles/resourcemanager.projectIamAdmin) sur le projet dans lequel l'instance a été créée.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Rôles IAM par rapport aux rôles Looker
Deux types de rôles accordent des autorisations pour Looker (Google Cloud Core): les rôles IAM et les rôles Looker.
Rôles IAM de l'observateur:ces types de rôles régissent les fonctionnalités suivantes:
- Fonctionnalités des utilisateurs dans la console Google Cloud concernant Looker (Google Cloud Core)
Lorsqu'ils sont utilisés avec OAuth, ils régissent également les fonctionnalités suivantes:
- Possibilité pour les utilisateurs de se connecter à une instance Looker (Google Cloud Core)
- Indique si le rôle Looker Administrateur via IAM est automatiquement attribué aux utilisateurs lorsqu'ils se connectent à une instance Looker (Google Cloud Core). Pour en savoir plus, consultez la documentation Authentification et autorisation avec OAuth et IAM.
Pour savoir comment accorder des rôles IAM, consultez la documentation IAM.
Rôles Looker:ces types de rôles régissent les actions que les utilisateurs peuvent effectuer une fois qu'ils se sont connectés à une instance Looker (Google Cloud Core). Pour savoir comment attribuer des rôles Looker, consultez les pages de documentation Rôles et Groupes.
Les rôles Looker sont attribués ou révoqués dans une instance Looker (Google Cloud Core), à l'exception du rôle Administrateur via IAM, qui ne peut être attribué ou révoqué que via IAM. Les rôles IAM ne peuvent être attribués ou révoqués que dans la console Google Cloud.
Rôles IAM Looker (Google Cloud Core)
Trois rôles prédéfinis sont disponibles pour les utilisateurs de Looker (Google Cloud Core). Ces rôles sont accordés au niveau du projet Google Cloud et contrôlent l'accès de manière uniforme pour toutes les instances Looker (Google Cloud Core) d'un projet Google Cloud. Si un utilisateur s'authentifie avec OAuth, le rôle IAM attribué à chaque principal affecte également les rôles Looker attribués lors de la connexion à l'instance.
| Nom du rôle | Autorisations |
|---|---|
Lecteur Looker
Accès en lecture seule à toutes les ressources Looker (Google Cloud Core) dans la console Google Cloud. |
looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Utilisateur de l'instance Looker
Accès permettant de se connecter à une instance Looker (Google Cloud Core). |
looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list |
Administrateur Looker
Accès complet à toutes les ressources Looker (Google Cloud Core). |
looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Au moins un compte principal doit disposer du rôle IAM "Administrateur Looker" (roles/looker.admin).
Si les rôles prédéfinis ne fournissent pas l'ensemble d'autorisations souhaité, vous pouvez également créer vos propres rôles personnalisés.
Étape suivante
- Utiliser Google OAuth pour l'authentification des utilisateurs Looker (Google Cloud Core)
- Gérer les utilisateurs dans Looker (Google Cloud Core)
- Configurer une instance Looker (Google Cloud Core)
- Paramètres d'administration de Looker (Google Cloud Core)
- Administrer une instance Looker (Google Cloud Core) depuis la console Google Cloud