O Looker (Google Cloud Core) usa o Gerenciamento de identidade e acesso (IAM) para provisionar o acesso de usuário e administrador usando um conjunto de papéis do IAM. Para uma descrição detalhada do IAM Google Cloud , consulte a documentação do IAM.
O que é o gerenciamento de identidade e acesso (IAM)
Com o IAM, você controla quem tem acesso aos recursos do seu projeto do Google Cloud. Com o IAM, é possível adotar o princípio de segurança de privilégio mínimo para conceder apenas o acesso necessário aos recursos.
Os principais são o "quem" do IAM. Os participantes podem ser usuários individuais, grupos ou domínios do Workspace. Os Principais recebem papéis que permitem executar ações com o Looker (núcleo do Google Cloud) e Google Cloud de maneira geral. Cada papel é um conjunto de uma ou mais permissões. As permissões são as unidades básicas do IAM: cada uma delas permite que um principal realize uma determinada ação.
Por exemplo, a permissão looker.instances.login permite que um membro faça login em instâncias do Looker (Google Cloud Core). Essa permissão está incluída em vários papéis predefinidos, incluindo o de administrador do Looker (roles/looker.admin) e o de usuário de instância do Looker (roles/looker.instanceUser).
Papel necessário
Para receber as permissões necessárias para atribuir papéis do IAM do Looker (núcleo do Google Cloud), peça ao administrador para conceder a você o papel do IAM de
Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) no projeto em que a instância foi criada.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Papéis do IAM x papéis do Looker
Dois tipos diferentes de papéis concedem permissões para o Looker (núcleo do Google Cloud): papéis do IAM e do Looker.
Papéis do IAM do Looker:esses tipos de papéis governam as seguintes habilidades:
- Recursos dos usuários no console do Google Cloud em relação ao Looker (núcleo do Google Cloud)
Quando usados com o OAuth, eles também governam as seguintes habilidades:
- Habilidades dos usuários para fazer login em uma instância do Looker (Google Cloud Core)
- Se os usuários recebem automaticamente a função Administrador pelo IAM do Looker quando fazem login em uma instância do Looker (Google Cloud Core). Para mais informações, consulte a documentação Autenticação e autorização com OAuth e IAM.
Consulte a documentação do IAM para saber como conceder papéis do IAM.
Funções do Looker:esses tipos de função governam o que os usuários podem fazer depois de fazer login em uma instância do Looker (Google Cloud Core). Consulte as páginas de documentação Papéis e Grupos para informações sobre como conceder papéis do Looker.
Os papéis do Looker são atribuídos ou revogados em uma instância do Looker (Google Cloud Core), com exceção do papel de Administrador via IAM, que só pode ser atribuído ou revogado pelo IAM. Os papéis do IAM só podem ser atribuídos ou revogados no console do Google Cloud.
Papéis do IAM do Looker (Google Cloud Core)
Há três papéis predefinidos para usuários do Looker (Google Cloud Core). Esses papéis são concedidos no nível do projeto do Google Cloud e controlam o acesso de forma uniforme para todas as instâncias do Looker (Google Cloud Core) em um projeto do Google Cloud. Se um usuário estiver se autenticando com o OAuth, o papel do IAM atribuído a cada participante principal também afeta quais papéis do Looker são atribuídos ao fazer login na instância.
| Nome do papel | Permissões |
|---|---|
Visualizador do Looker
Acesso somente leitura a todos os recursos do Looker (núcleo do Google Cloud) no console do Google Cloud. |
looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Usuário da instância do Looker
Acesso para fazer login em uma instância do Looker (Google Cloud Core). |
looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list |
Administrador do Looker
Acesso total a todos os recursos do Looker (Google Cloud Core). |
looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Pelo menos um principal precisa ter o papel do IAM de administrador do Looker (roles/looker.admin).
Se os papéis predefinidos não fornecerem o conjunto de permissões que você quer, crie seus próprios papéis personalizados.
A seguir
- Usar o OAuth do Google para autenticação de usuários do Looker (Google Cloud Core)
- Gerenciar usuários no Looker (Google Cloud Core)
- Configurar uma instância do Looker (Google Cloud Core)
- Configurações de administrador do Looker (Google Cloud Core)
- Administrar uma instância do Looker (Google Cloud Core) no console do Google Cloud