请注意，您正在查看 Looker 文档。如需查看 Looker Studio 文档，请访问 https://support.google.com/looker-studio。

此页面由 Cloud Translation API 翻译。

使用 IAM 对 Looker (Google Cloud Core) 进行访问权限控制

Looker (Google Cloud Core) 使用 Identity and Access Management (IAM) 通过一组 IAM 角色来配置用户和管理员访问权限。如需详细了解 Google Cloud IAM，请参阅 IAM 文档。

什么是 Identity and Access Management (IAM)？

借助 IAM，您可以控制哪些人有权访问您的 Google Cloud 项目中的资源。IAM 允许您采用最小权限安全原则，因此您只需授予对您的资源的必要访问权限即可。

主账号是 IAM 适用的“谁”。主账号可以是个人用户、群组或 Workspace 网域。主账号会被授予角色，这使他们能够使用 Looker (Google Cloud Core) 以及更笼统的 Google Cloud 执行操作。每个角色都是一个或多个权限的集合。权限是 IAM 的基本单位：每个权限允许主账号执行特定的操作。

例如，looker.instances.login 权限允许主账号登录 Looker (Google Cloud Core) 实例。多个预定义角色拥有此权限，其中包括 Looker Admin 角色 (roles/looker.admin) 和 Looker Instance User 角色 (roles/looker.instanceUser)。

所需角色

如需获取分配 Looker (Google Cloud Core) IAM 角色所需的权限，请让管理员授予您 Project IAM Admin (roles/resourcemanager.projectIamAdmin) IAM 角色。如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

IAM 角色与 Looker 角色

授予 Looker (Google Cloud Core) 权限两种不同类型的角色：IAM 角色和 Looker 角色。

Looker（Google Cloud 核心）IAM 角色：此类角色用于管理以下功能：
- 用户的Google Cloud 控制台中与 Looker (Google Cloud Core) 相关的功能
与 OAuth 搭配使用时，这些权限还会管理以下权限：
- 用户对 Looker (Google Cloud Core) 实例的登录权限
- 在用户登录 Looker (Google Cloud Core) 实例后向其授予的默认 Looker 角色
如需了解如何授予 IAM 角色，请参阅 IAM 文档。
Looker 角色：此类角色用于管理用户在登录 Looker (Google Cloud Core) 实例后可以执行的操作。如需了解如何授予 Looker 角色，请参阅角色和群组文档页面。

在 Looker (Google Cloud Core) 实例中分配 Looker 角色时，这些角色会替换 IAM 授予的默认 Looker 角色。

Looker (Google Cloud Core) IAM 角色

我们为 Looker (Google Cloud Core) 用户提供了三个预定义角色。这些角色是在 Google Cloud 项目级授予的，将统一控制 Google Cloud 项目中所有 Looker (Google Cloud Core) 实例的访问权限。

角色名称权限

角色名称	权限
Looker 查看器 `(roles/looker.viewer)` 拥有对所有 Looker (Google Cloud Core) 资源的只读权限。	looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list
Looker 实例用户 `roles/looker.instanceUser` 拥有登录 Looker (Google Cloud Core) 实例的权限。	looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list
Looker 管理员 `roles/looker.admin` 拥有对所有 Looker (Google Cloud Core) 资源的完整访问权限。	looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list

Looker 查看器

(roles/looker.viewer)

拥有对所有 Looker (Google Cloud Core) 资源的只读权限。

looker.backups.get

looker.backups.list

looker.instances.get

looker.instances.list

looker.instances.login

looker.locations.get

looker.locations.list

looker.operations.get

looker.operations.list

resourcemanager.projects.get

resourcemanager.projects.list

Looker 实例用户

roles/looker.instanceUser

拥有登录 Looker (Google Cloud Core) 实例的权限。

looker.instances.get

looker.instances.login

resourcemanager.projects.get

resourcemanager.projects.list

Looker 管理员

roles/looker.admin

拥有对所有 Looker (Google Cloud Core) 资源的完整访问权限。

looker.backups.create

looker.backups.delete

looker.backups.get

looker.backups.list

looker.instances.create

looker.instances.delete

looker.instances.export

looker.instances.get

looker.instances.import

looker.instances.list

looker.instances.login

looker.instances.update

looker.locations.get

looker.locations.list

looker.operations.cancel

looker.operations.delete

looker.operations.get

looker.operations.list

resourcemanager.projects.get

resourcemanager.projects.list

至少有一个主账号必须具有 Looker Admin (roles/looker.admin) IAM 角色。

如果预定义角色未提供您所需的一组权限，您还可以创建自己的自定义角色。

使用 IAM 对 Looker (Google Cloud Core) 进行访问权限控制

什么是 Identity and Access Management (IAM)？

所需角色

IAM 角色与 Looker 角色

Looker (Google Cloud Core) IAM 角色

后续步骤