In Looker (Google Cloud Core) wird Identity and Access Management (IAM) verwendet, um Nutzer- und Administratorzugriff über eine Reihe von IAM-Rollen bereitzustellen. Eine ausführliche Beschreibung von Google Cloud IAM finden Sie in der IAM-Dokumentation.
Was ist Identity and Access Management (IAM)?
Mit IAM können Sie steuern, wer Zugriff auf die Ressourcen in Ihrem Google Cloud-Projekt hat. Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.
Hauptkonten sind die Akteure bei IAM. Hauptkonten können einzelne Nutzer, Gruppen oder Workspace-Domains sein. Hauptkonten erhalten Rollen, mit denen sie Aktionen in Looker (Google Cloud Core) und Google Cloud allgemeiner ausführen können. Jede Rolle umfasst eine oder mehrere Berechtigungen. Berechtigungen bilden die Grundlage von IAM: Jede Berechtigung gestattet es einem Hauptkonto, eine bestimmte Aktion auszuführen.
Mit der Berechtigung looker.instances.login kann sich ein Hauptkonto beispielsweise in Looker (Google Cloud Core)-Instanzen anmelden. Diese Berechtigung ist in mehreren vordefinierten Rollen enthalten, darunter die Rolle „Looker-Administrator“ (roles/looker.admin) und die Rolle „Looker-Instanznutzer“ (roles/looker.instanceUser).
Erforderliche Rolle
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Project IAM Admin (roles/resourcemanager.projectIamAdmin) für das Projekt zu zuweisen, in dem die Instanz erstellt wurde, um die Berechtigungen zu erhalten, die Sie zum Zuweisen von IAM-Rollen für Looker (Google Cloud Core) benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
IAM-Rollen und Looker-Rollen
Es gibt zwei Arten von Rollen, die Berechtigungen für Looker (Google Cloud-Kern) gewähren: IAM-Rollen und Looker-Rollen.
Looker (Google Cloud Core) IAM-Rollen:Diese Rollen steuern die folgenden Funktionen:
- Berechtigungen von Nutzern in der Google Cloud Console für Looker (Google Cloud Core)
In Kombination mit OAuth regeln sie auch die folgenden Funktionen:
- Anmeldeberechtigungen von Nutzern für eine Looker (Google Cloud Core)-Instanz
- Die Standard-Looker-Rolle, die Nutzern gewährt wird, sobald sie sich in einer Looker (Google Cloud Core)-Instanz anmelden
Informationen zum Gewähren von IAM-Rollen finden Sie in der IAM-Dokumentation.
Looker-Rollen:Diese Rollen steuern, was Nutzer tun können, nachdem sie sich in einer Looker (Google Cloud Core)-Instanz angemeldet haben. Informationen zum Zuweisen von Looker-Rollen finden Sie auf den Dokumentationsseiten Rollen und Gruppen.
Wenn Looker-Rollen innerhalb einer Looker (Google Cloud Core)-Instanz zugewiesen werden, werden die standardmäßigen Looker-Rollen überschrieben, die von IAM gewährt werden.
IAM-Rollen für Looker (Google Cloud Core)
Es gibt drei vordefinierte Rollen für Looker (Google Cloud Core)-Nutzer. Diese Rollen werden auf Google Cloud-Projektebene gewährt und steuern den Zugriff einheitlich für alle Looker (Google Cloud Core)-Instanzen in einem Google Cloud-Projekt.
| Rollenname | Berechtigungen |
|---|---|
Looker Viewer
Lesezugriff auf alle Looker-Ressourcen (Google Cloud-Kern). |
looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Looker Instance User
Zugriff zum Anmelden in einer Looker (Google Cloud Core)-Instanz. |
looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list |
Looker Admin
Vollständiger Zugriff auf alle Looker-Ressourcen (Google Cloud Core) |
looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Mindestens ein Hauptkonto muss die IAM-Rolle „Looker Admin“ (roles/looker.admin) haben.
Wenn die vordefinierten Rollen nicht die gewünschten Berechtigungen bieten, können Sie auch eigene benutzerdefinierte Rollen erstellen.
Nächste Schritte
- Google OAuth für die Nutzerauthentifizierung in Looker (Google Cloud Core) verwenden
- Nutzer in Looker (Google Cloud Core) verwalten
- Looker-Instanz (Google Cloud Core) erstellen
- Looker-Verwaltungseinstellungen (Google Cloud Core)
- Looker (Google Cloud Core)-Instanz über die Google Cloud Console verwalten