请注意，您正在查看 Looker 文档。如需查看 Looker Studio 文档，请访问 https://support.google.com/looker-studio。

使用 IAM 进行 Looker (Google Cloud Core) 访问权限控制

Looker (Google Cloud Core) 使用 Identity and Access Management (IAM) 通过一组 IAM 角色来预配用户和管理员访问权限。如需详细了解 Google Cloud IAM，请参阅 IAM 文档。

什么是 Identity and Access Management (IAM)？

借助 IAM，您可以控制哪些人有权访问您的 Google Cloud 项目中的资源。IAM 允许您采用最小权限安全原则，因此您只需授予对您的资源的必要访问权限即可。

主账号是 IAM 的“谁”。主账号可以是个人用户、群组或 Workspace 网域。主账号被授予角色，使他们能够使用 Looker (Google Cloud Core) 以及更笼统的 Google Cloud 来执行操作。每个角色都是一个或多个权限的集合。权限是 IAM 的基本单位：每个权限允许主帐号执行特定的操作。

例如，looker.instances.login 权限允许主帐号登录 Looker (Google Cloud Core) 实例。有多个预定义角色拥有此权限，包括 Looker Admin 角色 (roles/looker.admin) 和 Looker Instance User 角色 (roles/looker.instanceUser)。

所需角色

如需获取分配 Looker (Google Cloud Core) IAM 角色所需的权限，请让管理员向您授予对创建实例的项目的 Project IAM Admin (roles/resourcemanager.projectIamAdmin) IAM 角色。如需详细了解如何授予角色，请参阅管理访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

IAM 角色与 Looker 角色

有两种不同类型的角色可用来授予 Looker (Google Cloud Core) 权限：IAM 角色和 Looker 角色。

Looker (Google Cloud Core) IAM 角色：这些类型的角色用于管理以下能力：
- 用户在 Google Cloud 控制台中关于 Looker (Google Cloud Core) 的权限
与 OAuth 一起使用时，这些 API 还可以控制以下功能：
- 用户能否登录 Looker (Google Cloud Core) 实例
- 在用户登录 Looker (Google Cloud Core) 实例后向其授予的默认 Looker 角色
如需了解如何授予 IAM 角色，请参阅 IAM 文档。
Looker 角色：这些类型的角色用于控制用户在登录 Looker (Google Cloud Core) 实例后可以执行的操作。如需了解如何授予 Looker 角色，请参阅角色和群组文档页面。

在 Looker (Google Cloud Core) 实例中分配 Looker 角色时，这些角色会覆盖 IAM 授予的默认 Looker 角色。

Looker (Google Cloud Core) IAM 角色

Looker (Google Cloud Core) 用户可以使用三种预定义角色。这些角色在 Google Cloud 项目级别授予，将统一控制 Google Cloud 项目内所有 Looker (Google Cloud Core) 实例的访问权限。

角色名称权限

角色名称	权限
Looker 查看器 `(roles/looker.viewer)` 拥有对所有 Looker (Google Cloud Core) 资源的只读权限。	looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list
Looker 实例用户 `roles/looker.instanceUser` 拥有登录 Looker (Google Cloud Core) 实例的权限。	looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list
Looker 管理员 `roles/looker.admin` 拥有对所有 Looker (Google Cloud Core) 资源的完整访问权限。	looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list

Looker 查看器

(roles/looker.viewer)

拥有对所有 Looker (Google Cloud Core) 资源的只读权限。

looker.backups.get

looker.backups.list

looker.instances.get

looker.instances.list

looker.instances.login

looker.locations.get

looker.locations.list

looker.operations.get

looker.operations.list

resourcemanager.projects.get

resourcemanager.projects.list

Looker 实例用户

roles/looker.instanceUser

拥有登录 Looker (Google Cloud Core) 实例的权限。

looker.instances.get

looker.instances.login

resourcemanager.projects.get

resourcemanager.projects.list

Looker 管理员

roles/looker.admin

拥有对所有 Looker (Google Cloud Core) 资源的完整访问权限。

looker.backups.create

looker.backups.delete

looker.backups.get

looker.backups.list

looker.instances.create

looker.instances.delete

looker.instances.export

looker.instances.get

looker.instances.import

looker.instances.list

looker.instances.login

looker.instances.update

looker.locations.get

looker.locations.list

looker.operations.cancel

looker.operations.delete

looker.operations.get

looker.operations.list

resourcemanager.projects.get

resourcemanager.projects.list

至少有一个主账号必须具有 Looker Admin (roles/looker.admin) IAM 角色。

如果预定义角色未提供您所需的权限，您还可以创建自己的自定义角色。

使用 IAM 进行 Looker (Google Cloud Core) 访问权限控制

什么是 Identity and Access Management (IAM)？

所需角色

IAM 角色与 Looker 角色

Looker (Google Cloud Core) IAM 角色

后续步骤