管理用户对 Looker (Google Cloud Core)实例的访问权限

Looker (Google Cloud Core)使用 Identity and Access Management (IAM) 通过一组预定义角色预配用户和管理员访问权限。如需详细了解 Google Cloud IAM,请参阅 IAM 文档

IAM 角色与 Looker 角色

有两种不同类型的角色拥有 Looker (Google Cloud Core)的权限:IAM 角色和 Looker 角色。

  • Looker(Google Cloud 核心)IAM 角色:这些角色用于控制以下角色:

    • 用户在 Google Cloud 控制台中与 Looker (Google Cloud Core)相关的功能
    • 用户能够登录 Looker (Google Cloud Core)实例
    • 用户登录 Looker (Google Cloud Core)实例后是否具有 Admin Looker 角色

    如需了解如何授予 IAM 角色,请参阅 IAM 文档

  • Looker 角色:这些角色决定了用户在登录 Looker (Google Cloud Core)实例后可以执行哪些操作。请参阅角色群组文档页面,了解如何授予 Looker 角色。

用户可以担任多种角色。

Looker (Google Cloud Core)IAM 角色

Looker (Google Cloud Core)有三种预定义角色:

角色
名称		 说明
Looker(Google Cloud 核心)权限
roles/looker.viewer
Looker 查看者		 拥有查看实例页面上的实例列表的只读权限。

looker.instances.list
looker.instances.get
roles/looker.instanceUser
Looker 实例用户		 拥有登录 Looker 实例的权限。

looker.instances.get
looker.instances.login
roles/looker.admin
Looker 管理员		 拥有对所有 Looker 资源的完全访问权限。

looker.instances.list
looker.instances.get
looker.instances.login
looker.instances.create
looker.instances.delete
looker.instances.update
looker.instances.import
looker.instances.export

拥有 Looker Viewer 角色的用户帐号无法登录 Looker (Google Cloud Core)实例,但可以在实例页面上查看实例列表。

如果用户的帐号拥有 Looker Instance User IAM 角色,当他们首次登录 Looker (Google Cloud Core)实例时,系统会为其授予在新用户的角色设置中选择的 Looker 角色。

拥有 Looker Admin IAM 角色的用户帐号在 Looker (Google Cloud Core)实例中具有 Admin Looker 角色。任何具有 Google Cloud 项目的 Looker Admin IAM 角色的人员都具有该项目中所有 Looker (Google Cloud Core)实例的管理员权限。

如果预定义角色未提供您所需的一组权限,您还可以创建自己的自定义角色

在 Looker (Google Cloud Core)实例中设置默认 Looker 角色

在添加任何用户之前,最好在具有 Looker 实例用户 IAM 角色的用户首次登录 Looker (Google Cloud Core)实例时为其授予默认的 Looker 角色。如需设置默认角色,请按以下步骤操作:

  1. 确保您对实例所在的项目拥有 Looker Admin IAM 角色。
  2. 在 Looker (Google Cloud Core)实例中,依次前往管理控制台中的管理 > 身份验证 > Google 页面。
  3. 新用户的角色设置包含 Looker (Google Cloud Core)实例中所有默认角色自定义角色的列表。选择默认授予所有新用户的角色。
  4. 无论在新用户的角色设置中选择了哪些设置,拥有 Looker Admin IAM 角色的用户帐号都将获得分配给默认 Admin Looker 角色的所有权限。

将用户添加到 Looker (Google Cloud Core)实例

创建配置 Looker (Google Cloud Core)实例后,就可以添加用户了。如需添加用户,请按以下步骤操作:

  1. 请确保您拥有 Project IAM Admin 角色或可让您管理 IAM 访问权限的其他角色

  2. 前往 Looker (Google Cloud Core)实例所在的 Google Cloud 控制台项目。

  3. 前往 Google Cloud 控制台的 IAM 和管理 > IAM 部分。

  4. 选择授予访问权限

  5. 添加主帐号部分,添加以下一项或多项:

    • Google 帐号电子邮件地址
    • Google 群组
    • Google Workspace 网域

  6. 分配角色部分中,选择一个预定义 Looker (Google Cloud Core)IAM 角色或您添加的自定义角色。

  7. 点击保存

  8. 告知新的访问权限(Google Cloud 核心用户)已授予访问权限,并将用户定向到实例的网址。然后,他们可以登录实例,此时系统会创建他们的帐号。系统不会自动发送消息。

如果您更改了用户的 IAM 角色,那么这些更改会在几分钟内传播到 Looker (Google Cloud Core)实例中。

所有用户都必须通过先前所述的 IAM 步骤进行配置,但有一个例外:您可以在 Looker (Google Cloud Core)实例中创建仅限 Looker API 的服务帐号

创建仅限 API 的服务帐号

如果您拥有 Looker Admin IAM 角色,则可以通过管理 > 用户页面创建仅限 API 的帐号(通常称为“服务帐号”)。这些帐号可以授予 Admin Looker 角色,并且可以授予 Looker API 凭据。不过,这些帐号无法通过界面登录 Looker (Google Cloud Core)。

登录 Looker(Google Cloud 核心)

首次登录时,系统会要求用户使用自己的 Google 帐号登录。他们应该使用授予访问权限时在添加主帐号字段中列出的 Looker 管理员所用的帐号。用户会看到创建 OAuth 客户端期间配置的 OAuth 同意屏幕。用户同意同意屏幕后,系统会在 Looker (Google Cloud Core)实例中创建帐号并登录帐号。

此后,用户会自动登录 Looker(Google Cloud 核心),除非其授权到期或被用户撤消。在这些情况下,系统会再次显示 OAuth 权限请求页面,并请求用户同意授权。

系统可能会为部分用户分配 API 凭据,以用于检索 API 访问令牌。如果这些用户的授权到期或被撤消,其 API 凭据就会停止运行。当前的所有 API 访问令牌也会停止运行。为了解决此问题,用户必须重新登录每个 Looker(Google Cloud 核心)实例的 Looker(Google Cloud 核心)界面,从而重新为其凭据授权。或者,使用仅限 API 的服务帐号有助于避免 API 访问令牌出现凭据授权失败。

在 Looker (Google Cloud Core)中查看用户

如果您拥有 Looker Admin IAM 角色,则可以在 Looker (Google Cloud Core)管理面板中前往管理 > 用户,在 Looker (Google Cloud Core)实例中查看用户。

Looker (Google Cloud Core)实例中的用户页面与 Looker(原始)实例中的用户页面存在以下区别:

更改用户在 Looker (Google Cloud Core)中的角色和权限

如果您拥有 Looker Admin IAM 角色,则可以在 Looker (Google Cloud Core)实例中修改用户的 Looker (Google Cloud Core)权限。

群组角色文档页面介绍了如何在 Looker (Google Cloud Core)实例中授予访问权限和权限。

在 Looker (Google Cloud Core)实例中授予 Looker 角色和权限与 Looker(原版)实例不同,您只能向服务帐号授予 Admin Looker 角色。

移除对 Looker (Google Cloud Core)的访问权限

如果您拥有可管理 IAM 访问权限的角色,则可以通过撤消授予访问权限的 IAM 角色来移除对 Looker (Google Cloud Core)实例的访问权限。如果您移除用户帐号的 IAM 角色,那么这些更改会在几分钟内传播到 Looker (Google Cloud Core)实例中。虽然该用户无法再访问该实例,但其用户帐号在用户页面上可能仍会显示为有效状态。

后续步骤