使用 IAM 控管 Looker (Google Cloud Core) 存取權

Looker (Google Cloud Core) 使用 Identity and Access Management (IAM)，透過一組 IAM 角色佈建使用者和管理員存取權。如需 IAM 的詳細說明，請參閱 IAM 說明文件。 Google Cloud

什麼是身分與存取權管理 (IAM)

您可以透過 IAM 控管哪些人可存取 Google Cloud 專案中的資源。IAM 能讓您採用最低權限安全性原則，僅授予必要的資源存取權限給使用者。

主體是指 IAM 的「權限授予對象」。主體可以是個別使用者、群組或 Workspace 網域。主體會獲派角色，藉由角色授予的權限，在 Looker (Google Cloud Core) 及 Google Cloud 更廣的範圍中執行動作。每個角色具有一或多項權限。權限是 IAM 的基本單位：每種權限都能讓主體執行特定動作。

舉例來說，looker.instances.login 權限可讓主體登入 Looker (Google Cloud Core) 執行個體。這項權限包含在多個預先定義的角色中，包括 Looker 管理員角色 (roles/looker.admin) 和 Looker 執行個體使用者角色 (roles/looker.instanceUser)。

必要角色

如要取得指派 Looker (Google Cloud Core) IAM 角色所需的權限，請要求管理員授予您執行個體所在專案的專案 IAM 管理員 (roles/resourcemanager.projectIamAdmin) IAM 角色。如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

IAM 角色與 Looker 角色

有兩種角色可授予 Looker (Google Cloud Core) 的權限：IAM 角色和 Looker 角色。

• Looker IAM 角色：這類角色可控管下列功能：

  • 使用者在 Google Cloud 控制台中對 Looker (Google Cloud Core) 執行的操作

  如果搭配 OAuth 使用，這些範圍也會控管下列功能：

  • 使用者登入 Looker (Google Cloud Core) 執行個體的能力
  • 使用者登入 Looker (Google Cloud Core) 執行個體後，是否會自動獲派 透過 IAM 取得管理員權限的 Looker 角色。詳情請參閱「使用 OAuth 和 IAM 進行驗證和授權」說明文件。

  如需瞭解如何授予身分與存取權管理角色，請參閱身分與存取權管理說明文件。

• Looker 角色：這類角色會控管使用者登入 Looker (Google Cloud Core) 執行個體後可執行的操作。如要瞭解如何授予 Looker 角色，請參閱「角色」和「群組」說明文件頁面。

Looker 角色是在 Looker (Google Cloud Core) 執行個體中指派或撤銷，但「透過 IAM 指派的管理員」Looker 角色除外，該角色只能透過 IAM 指派或撤銷。IAM 角色只能在 Google Cloud 控制台中指派或撤銷。

Looker (Google Cloud Core) IAM 角色

系統提供三種預先定義的角色，供 Looker (Google Cloud Core) 使用者使用。這些角色是在 Google Cloud 專案層級授予，並統一控管 Google Cloud 專案中所有 Looker (Google Cloud Core) 執行個體的存取權。如果使用者透過 OAuth 進行驗證，指派給每個主體的 IAM 角色也會影響登入執行個體時指派的 Looker 角色。

角色名稱	權限
Looker Viewer (roles/looker.viewer) 具備 Google Cloud 控制台中所有 Looker (Google Cloud Core) 資源的唯讀存取權。	looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list
Looker 執行個體使用者 roles/looker.instanceUser 具備 Looker (Google Cloud Core) 執行個體的登入權限。	looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list
Looker 管理員 roles/looker.admin 具備所有 Looker (Google Cloud Core) 資源的完整存取權。	looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list

至少一個主體必須具備 Looker 管理員 (roles/looker.admin) IAM 角色。

如果預先定義的角色未提供您需要的權限集，您也可以建立自己的自訂角色。

後續步驟

• 使用 Google OAuth 進行 Looker (Google Cloud Core) 使用者驗證
• 在 Looker (Google Cloud Core) 中管理使用者
• 設定 Looker (Google Cloud Core) 執行個體
• Looker (Google Cloud Core) 管理員設定
• 透過 Google Cloud 控制台管理 Looker (Google Cloud Core) 執行個體