Looker (Google Cloud Core) verwendet Identity and Access Management (IAM), um Nutzer- und Administratorzugriff über eine Reihe von IAM-Rollen bereitzustellen. Eine ausführliche Beschreibung von Google Cloud IAM finden Sie in der IAM-Dokumentation.
Was ist Identity and Access Management (IAM)?
Mit IAM können Sie steuern, wer Zugriff auf die Ressourcen in Ihrem Google Cloud-Projekt hat. Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.
Hauptkonten sind das „Wer“ von IAM. Hauptkonten können einzelne Nutzer, Gruppen oder Workspace-Domains sein. Hauptkonten werden Rollen zugewiesen, die ihnen die Möglichkeit geben, Aktionen mit Looker (Google Cloud Core) sowie im Allgemeinen mit Google Cloud auszuführen. Jede Rolle besteht aus einer oder mehreren Berechtigungen. Berechtigungen bilden die Grundlage von IAM: Jede Berechtigung ermöglicht einem Hauptkonto, eine bestimmte Aktion auszuführen.
Mit der Berechtigung looker.instances.login kann sich ein Hauptkonto beispielsweise in Looker (Google Cloud Core)-Instanzen anmelden. Diese Berechtigung ist in mehreren vordefinierten Rollen enthalten, darunter die Rollen „Looker-Administrator“ (roles/looker.admin) und „Looker-Instanznutzer“ (roles/looker.instanceUser).
Erforderliche Rolle
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin) für das Projekt zu gewähren, in dem die Instanz erstellt wurde, um die Berechtigungen zu erhalten, die Sie zum Zuweisen von Looker (Google Cloud Core)-IAM-Rollen benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
IAM-Rollen im Vergleich zu Looker-Rollen
Zwei verschiedene Arten von Rollen gewähren Berechtigungen für Looker (Google Cloud Core): IAM-Rollen und Looker-Rollen.
IAM-Rollen für Looker (Google Cloud Core):Diese Rollen regeln die folgenden Funktionen:
- Nutzerfunktionen in der Google Cloud Console in Bezug auf Looker (Google Cloud Core)
In Kombination mit OAuth haben sie außerdem folgende Möglichkeiten:
- Fähigkeit der Nutzer, sich in einer Looker (Google Cloud Core)-Instanz anzumelden
- Die Looker-Standardrolle, die Nutzern gewährt wird, wenn sie sich in einer Looker (Google Cloud Core)-Instanz anmelden
Informationen zum Gewähren von IAM-Rollen finden Sie in der IAM-Dokumentation.
Looker-Rollen:Diese Rollen bestimmen, was Nutzer tun können, nachdem sie sich bei einer Looker (Google Cloud Core)-Instanz angemeldet haben. Informationen zum Zuweisen von Looker-Rollen finden Sie in den Dokumentationsseiten zu Rollen und Gruppen.
Wenn Looker-Rollen in einer Looker (Google Cloud Core)-Instanz zugewiesen werden, überschreiben sie die von IAM zugewiesenen Looker-Standardrollen.
IAM-Rollen für Looker (Google Cloud Core)
Für Benutzer von Looker (Google Cloud Core) sind drei vordefinierte Rollen verfügbar. Diese Rollen werden auf Google Cloud-Projektebene gewährt und steuern den Zugriff einheitlich für alle Instanzen von Looker (Google Cloud Core) innerhalb eines Google Cloud-Projekts.
| Rollenname | Berechtigungen |
|---|---|
Looker-Betrachter
Lesezugriff auf alle Looker (Google Cloud Core)-Ressourcen. |
looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Looker-Instanznutzer
Zugriff zur Anmeldung in einer Looker (Google Cloud Core)-Instanz. |
looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list |
Looker-Administrator
Vollständiger Zugriff auf alle Ressourcen von Looker (Google Cloud Core). |
looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Mindestens ein Hauptkonto muss die IAM-Rolle „Looker-Administrator“ (roles/looker.admin) haben.
Wenn die vordefinierten Rollen nicht die gewünschten Berechtigungen enthalten, können Sie auch eigene benutzerdefinierte Rollen erstellen.
Nächste Schritte
- Google OAuth für die Nutzerauthentifizierung von Looker (Google Cloud Core) verwenden
- Nutzer in Looker (Google Cloud Core) verwalten
- Looker (Google Cloud Core)-Instanz konfigurieren
- Administratoreinstellungen für Looker (Google Cloud Core)
- Looker (Google Cloud Core)-Instanz über die Google Cloud Console verwalten