请注意，您正在查看 Looker 文档。如需查看 Looker Studio 文档，请访问 https://support.google.com/looker-studio。

此页面由 Cloud Translation API 翻译。

使用 IAM 控制 Looker (Google Cloud Core) 访问权限

Looker (Google Cloud Core) 使用 Identity and Access Management (IAM) 通过一组 IAM 角色预配用户和管理员访问权限。如需详细了解 Google Cloud IAM，请参阅 IAM 文档。

什么是 Identity and Access Management (IAM)？

借助 IAM，您可以控制哪些人有权访问您的 Google Cloud 项目中的资源。IAM 允许您采用最小权限安全原则，因此您只需授予对您的资源的必要访问权限即可。

主账号是 IAM 适用的“谁”。主账号可以是个人用户、群组或 Workspace 网域。主账号被授予角色，使他们能够在 Looker (Google Cloud Core)以及 Google Cloud 中执行操作。每个角色都是一个或多个权限的集合。权限是 IAM 的基本单位：每项权限允许主账号执行一种特定的操作。

例如，looker.instances.login 权限允许主账号登录 Looker (Google Cloud Core) 实例。此权限包含在多个预定义角色中，包括 Looker Admin 角色 (roles/looker.admin) 和 Looker Instance User 角色 (roles/looker.instanceUser)。

所需角色

如需获得分配 Looker (Google Cloud Core) IAM 角色所需的权限，请让您的管理员为您授予创建实例的项目的 Project IAM Admin (roles/resourcemanager.projectIamAdmin) IAM 角色。如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

IAM 角色与 Looker 角色

有两种不同类型的角色可为 Looker (Google Cloud Core)授予权限：IAM 角色和 Looker 角色。

Looker（Google Cloud 核心）IAM 角色：此类角色用于管理以下功能：
- 用户在 Google Cloud 控制台中针对 Looker (Google Cloud Core)的功能
与 OAuth 搭配使用时，这些权限还会管理以下权限：
- 用户对 Looker (Google Cloud Core) 实例的登录权限
- 在用户登录 Looker (Google Cloud Core) 实例后向其授予的默认 Looker 角色
如需了解如何授予 IAM 角色，请参阅 IAM 文档。
Looker 角色：此类角色用于管理用户在登录 Looker (Google Cloud Core) 实例后可以执行的操作。如需了解如何授予 Looker 角色，请参阅角色和群组文档页面。

在 Looker (Google Cloud Core) 实例中分配 Looker 角色时，这些角色会替换 IAM 授予的默认 Looker 角色。

Looker (Google Cloud Core) IAM 角色

我们为 Looker (Google Cloud Core) 用户提供了三个预定义角色。这些角色是在 Google Cloud 项目级别授予的，并将统一控制 Google Cloud 项目中所有 Looker (Google Cloud Core) 实例的访问权限。

角色名称权限

角色名称	权限
Looker Viewer `(roles/looker.viewer)` 对所有 Looker (Google Cloud Core)资源拥有只读权限。	looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list
Looker Instance User `roles/looker.instanceUser` 拥有登录 Looker (Google Cloud Core) 实例的权限。	looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list
Looker Admin `roles/looker.admin` 拥有对所有 Looker (Google Cloud Core) 资源的完整访问权限。	looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list

Looker Viewer

(roles/looker.viewer)

对所有 Looker (Google Cloud Core)资源拥有只读权限。

looker.backups.get

looker.backups.list

looker.instances.get

looker.instances.list

looker.instances.login

looker.locations.get

looker.locations.list

looker.operations.get

looker.operations.list

resourcemanager.projects.get

resourcemanager.projects.list

Looker Instance User

roles/looker.instanceUser

拥有登录 Looker (Google Cloud Core) 实例的权限。

looker.instances.get

looker.instances.login

resourcemanager.projects.get

resourcemanager.projects.list

Looker Admin

roles/looker.admin

拥有对所有 Looker (Google Cloud Core) 资源的完整访问权限。

looker.backups.create

looker.backups.delete

looker.backups.get

looker.backups.list

looker.instances.create

looker.instances.delete

looker.instances.export

looker.instances.get

looker.instances.import

looker.instances.list

looker.instances.login

looker.instances.update

looker.locations.get

looker.locations.list

looker.operations.cancel

looker.operations.delete

looker.operations.get

looker.operations.list

resourcemanager.projects.get

resourcemanager.projects.list

至少有一个主账号必须具有 Looker Admin (roles/looker.admin) IAM 角色。

如果预定义角色未提供您所需的权限集，您还可以创建自己的自定义角色。

使用 IAM 控制 Looker (Google Cloud Core) 访问权限

什么是 Identity and Access Management (IAM)？

所需角色

IAM 角色与 Looker 角色

Looker (Google Cloud Core) IAM 角色

后续步骤