Zugriffssteuerung für Looker (Google Cloud Core) mit IAM

In Looker (Google Cloud Core) wird Identity and Access Management (IAM) verwendet, um Nutzer- und Administratorzugriff über eine Reihe von IAM-Rollen bereitzustellen. Eine detaillierte Beschreibung von Google Cloud IAM finden Sie in der IAM-Dokumentation.

Was ist Identity and Access Management (IAM)?

Mit IAM können Sie steuern, wer Zugriff auf die Ressourcen in Ihrem Google Cloud-Projekt hat. Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.

Direktoren sind das „Wer“. von IAM. Hauptkonten können einzelne Nutzer, Gruppen oder Workspace-Domains sein. Hauptkonten erhalten Rollen, mit denen sie Aktionen in Looker (Google Cloud Core) und allgemeiner in Google Cloud ausführen können. Jede Rolle umfasst eine oder mehrere Berechtigungen. Berechtigungen bilden die Grundlage von IAM: Jede Berechtigung gestattet es einem Hauptkonto, eine bestimmte Aktion auszuführen.

Mit der Berechtigung looker.instances.login kann sich ein Hauptkonto beispielsweise bei Looker (Google Cloud Core)-Instanzen anmelden. Diese Berechtigung ist in mehreren vordefinierten Rollen enthalten, z. B. in der Rolle „Looker-Administrator“ (roles/looker.admin) und der Rolle „Looker-Instanznutzer“ (roles/looker.instanceUser).

Erforderliche Rolle

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Project IAM Admin (roles/resourcemanager.projectIamAdmin) für das Projekt zu zuweisen, in dem die Instanz erstellt wurde, um die Berechtigungen zu erhalten, die Sie zum Zuweisen von IAM-Rollen für Looker (Google Cloud Core) benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

IAM-Rollen und Looker-Rollen

Berechtigungen für Looker (Google Cloud Core) werden über zwei verschiedene Arten von Rollen gewährt: IAM-Rollen und Looker-Rollen.

  • Looker (Google Cloud Core) IAM-Rollen: Diese Rollen steuern die folgenden Funktionen:

    • Berechtigungen von Nutzern in der Google Cloud Console für Looker (Google Cloud Core)

    In Kombination mit OAuth regeln sie auch die folgenden Funktionen:

    • Nutzer Möglichkeit zur Anmeldung in einer Looker (Google Cloud Core)-Instanz
    • Die Standard-Looker-Rolle, die Nutzern gewährt wird, sobald sie sich in einer Looker (Google Cloud Core)-Instanz anmelden

    Informationen zum Gewähren von IAM-Rollen finden Sie in der IAM-Dokumentation.

  • Looker-Rollen: Diese Rollen steuern, was Nutzer tun können, nachdem sie sich in einer Looker (Google Cloud Core)-Instanz angemeldet haben. Informationen zum Zuweisen von Looker-Rollen finden Sie auf den Dokumentationsseiten zu Rollen und Gruppen.

Wenn Looker-Rollen innerhalb einer Looker (Google Cloud Core)-Instanz zugewiesen werden, überschreiben sie die standardmäßigen Looker-Rollen, die von IAM gewährt werden.

Looker (Google Cloud Core) IAM-Rollen

Für Looker (Google Cloud Core)-Nutzer sind drei vordefinierte Rollen verfügbar. Diese Rollen werden auf Google Cloud-Projektebene gewährt und steuern den Zugriff für alle Looker (Google Cloud Core)-Instanzen innerhalb eines Google Cloud-Projekts einheitlich.

Rollenname Berechtigungen

Looker-Betrachter

(roles/looker.viewer)

Lesezugriff auf alle Looker (Google Cloud Core)-Ressourcen.

looker.backups.get

looker.backups.list

looker.instances.get

looker.instances.list

looker.instances.login

looker.locations.get

looker.locations.list

looker.operations.get

looker.operations.list

resourcemanager.projects.get

resourcemanager.projects.list

Looker-Instanznutzer

roles/looker.instanceUser

Zugriff zur Anmeldung in einer Looker (Google Cloud Core)-Instanz.

looker.instances.get

looker.instances.login

resourcemanager.projects.get

resourcemanager.projects.list

Looker Admin

roles/looker.admin

Vollständiger Zugriff auf alle Ressourcen von Looker (Google Cloud Core).

looker.backups.create

looker.backups.delete

looker.backups.get

looker.backups.list

looker.instances.create

looker.instances.delete

looker.instances.export

looker.instances.get

looker.instances.import

looker.instances.list

looker.instances.login

looker.instances.update

looker.locations.get

looker.locations.list

looker.operations.cancel

looker.operations.delete

looker.operations.get

looker.operations.list

resourcemanager.projects.get

resourcemanager.projects.list

Mindestens ein Hauptkonto muss die IAM-Rolle „Looker-Administrator“ (roles/looker.admin) haben.

Wenn die vordefinierten Rollen nicht die gewünschten Berechtigungen enthalten, können Sie auch Ihre eigenen benutzerdefinierten Rollen erstellen.

Nächste Schritte