Zugriff mit IAM verwalten

In diesem Dokument wird beschrieben, wie Sie mit Identity and Access Management (IAM) die Zugriffssteuerung für Knowledge Catalog-Ressourcen (früher Dataplex Universal Catalog) verwalten. IAM steuert den Zugriff auf Ihre Knowledge Catalog-Ressourcen auf Google Cloud Ressourcenebene. Damit können Sie steuern, welche Identitäten bestimmte Ressourcen wie Eintragsgruppen und Einträge über die Google Cloud -Konsole, die Google Cloud CLI, Clientbibliotheken oder APIs verwalten können.

Weitere Informationen zu IAM finden Sie in der IAM-Dokumentation.

IAM-Übersicht

Wenn Sie ein neues Google Cloud Projekt erstellen, wird dem ursprünglichen Projektersteller die Rolle „Inhaber“ zugewiesen. Andere von Google verwaltete Dienstkonten sind möglicherweise vorhanden oder werden erstellt, wenn Sie eine API aktivieren, um bestimmte Aufgaben auszuführen. Andere einzelne Nutzer haben jedoch keinen Zugriff auf das Projekt und seine Ressourcen, einschließlich Knowledge Catalog-Ressourcen. Sie gewähren diesen Zugriff nur, wenn Sie Nutzer explizit als Projektmitglieder hinzufügen oder ihnen Rollen für bestimmte Ressourcen zuweisen.

Mit IAM können Sie detaillierte Zugriffsberechtigungen auf bestimmte Google Cloud-Ressourcen gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern. Mit IAM können Sie das Sicherheitsprinzip der geringsten Berechtigung anwenden, indem Sie nur den erforderlichen Zugriff auf Ihre Ressourcen gewähren.

Mit IAM können Sie steuern, wer (Identitäten) welchen Zugriff (Rollen) auf welche Ressourcen hat.

Prinzipal

Ein Hauptkonto kann ein Google-Konto (für Endnutzer), ein Dienstkonto (für Apps und virtuelle Maschinen), eine Google-Gruppe oder eine Google Workspace- oder Cloud Identity-Domain sein. Diese Hauptkonten können auf eine Ressource zugreifen. Wenn Sie Rollen zuweisen, identifizieren Sie das Hauptkonto mit einer Kennung, wie unter Referenz für Richtlinienbindung beschrieben.

Weitere Informationen finden Sie unter IAM-Übersicht: Hauptkonten.

Der Dienst-Agent

Knowledge Catalog verwendet ein Google Cloud verwaltetes Dienstkonto, einen Dienstagenten, um auf Ihre Ressourcen zuzugreifen. Dienst-Agents sind von Google verwaltete Dienstkonten, mit denen Google Cloud -Dienste auf Ressourcen in Ihrem Projekt zugreifen können. Das unterscheidet sich von nutzerverwalteten Dienstkonten, die Sie erstellen und verwenden, um Ihre Anwendungen oder Arbeitslasten zu repräsentieren.

Der Dienst-Agent wird erstellt, wenn Sie die Dataplex API aktivieren. Sie können den Dienst-Agent anhand seiner E-Mail-Adresse identifizieren:

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com

Dabei ist CUSTOMER_PROJECT_NUMBER die Projektnummer des Projekts, in dem Sie die Dataplex API aktiviert haben.

Der Dienst-Agent benötigt die Rolle Dataplex-Dienst-Agent (roles/dataplex.serviceAgent) für das Projekt, um Knowledge Catalog-Ressourcen zu verwalten. Wenn Sie die API aktivieren, wird diese Rolle automatisch zugewiesen. Wenn Sie diese Rolle widerrufen, funktioniert Knowledge Catalog möglicherweise nicht richtig.

Wenn Knowledge Catalog auf Ressourcen in anderen Projekten zugreifen muss (z. B. Cloud Storage-Buckets oder BigQuery-Datasets, die Sie als Assets anhängen oder nach Datenprofilen durchsuchen möchten), müssen Sie diesem Dienst-Agent die erforderlichen Berechtigungen in den Projekten mit diesen Ressourcen erteilen.

Weitere Informationen zum Erteilen von Berechtigungen für den Dienst-Agent zum Anhängen von Assets finden Sie unter Daten-Assets verwalten.

Weitere Informationen zum Erteilen von Berechtigungen für die Datenprofilerstellung für den Dienst-Agent finden Sie unter Datenprofilscans erstellen und verwenden.

Ausführungsidentität für Datenscans

Standardmäßig verwendet Knowledge Catalog den Dienst-Agent, um Ihre Datenqualitäts- und Datenprofilscans auszuführen. Sie können dieses Verhalten jedoch überschreiben und Scans mit einem benutzerdefinierten Dienstkonto oder Ihren eigenen End-User-Credentials (EUC) ausführen.

Wenn Sie ein benutzerdefiniertes Dienstkonto für die Ausführungsidentität Ihres Scans angeben, benötigt der Dienst-Agent die Rolle Ersteller von Dienstkonto-Tokens (roles/iam.serviceAccountTokenCreator) oder die Berechtigung iam.serviceAccounts.getAccessToken für das Zieldienstkonto, um die Identität des Dienstkontos zu übernehmen und den Job auszuführen. Weitere Informationen finden Sie in der Dokumentation zur Ausführungsidentität für Datenqualität und Datenprofilerstellung.

Ressource

Zu den Ressourcen, auf die Sie im Knowledge Catalog Zugriff gewähren können, gehören Projekte, Eintragsgruppen, Einträge, Eintragslinks, Aspekttypen, Eintragstypen und Eintragslinktypen.

Für einige API-Methoden sind Berechtigungen für mehrere Ressourcen erforderlich. Wenn Sie beispielsweise einem Eintrag einen Aspekt hinzufügen möchten, benötigen Sie Berechtigungen für den Eintrag und den Aspekttyp.

Rolle

Eine Rolle ist eine Sammlung von Berechtigungen, die festlegen, welche Vorgänge ein Hauptkonto für eine Ressource ausführen kann. Wenn Sie einem Hauptkonto eine Rolle zuweisen, gewähren Sie alle mit ihr verknüpften Berechtigungen.

Sie können einem Hauptkonto eine oder mehrere Rollen zuweisen.

Ähnlich wie bei anderen Google Cloud Produkten werden im Knowledge Catalog drei Arten von Rollen unterstützt:

  • Einfache Rollen:Rollen mit sehr vielen Berechtigungen („Inhaber“, „Bearbeiter“, „Betrachter“), die es schon vor der Einführung von IAM gab. Weitere Informationen zu einfachen Rollen finden Sie unter Einfache Rollen.

  • Vordefinierte Rollen:Sie ermöglichen einen detaillierten Zugriff auf bestimmte Google Cloud-Ressourcen. Weitere Informationen zu vordefinierten Rollen finden Sie unter Vordefinierte Rollen. In der Dokumentation zu Knowledge Catalog-IAM-Rollen werden die vordefinierten Knowledge Catalog-Rollen beschrieben.

  • Benutzerdefinierte Rollen:Mit benutzerdefinierten Rollen können Sie das Prinzip der geringsten Berechtigung erzwingen, indem Sie nur die erforderlichen Berechtigungen erteilen. Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Rollen.

Die vordefinierte Rolle Dataplex-Betrachter (roles/dataplex.viewer) bietet beispielsweise Lesezugriff auf Knowledge Catalog-Ressourcen. Ein Hauptkonto mit dieser Rolle kann Eintragsgruppen, Einträge, Eintragslinks, Aspekttypen, Eintragstypen und Eintragslinktypen aufrufen, aber nicht erstellen, aktualisieren oder löschen. Umgekehrt gewährt die Rolle Dataplex-Administrator (roles/dataplex.admin) umfassenden Zugriff auf die Verwaltung von Knowledge Catalog-Ressourcen.

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Welche Berechtigungen Sie für eine bestimmte Aufgabe benötigen, erfahren Sie auf den Referenzseiten für Knowledge Catalog-Rollen und Knowledge Catalog-Berechtigungen.

Für eine Projektressource können Sie beispielsweise einem Google-Konto die Rolle roles/dataplex.admin zuweisen. Dieses Konto kann dann Knowledge Catalog-Ressourcen im Projekt verwalten, aber keine anderen Ressourcen. Mit IAM können Sie außerdem die grundlegenden Rollen von Projektteammitgliedern verwalten.

IAM-Richtlinien für Ressourcen

Mit einer IAM-Richtlinie können Sie IAM-Rollen für Ressourcen anstatt oder zusätzlich zur Rollenverwaltung auf Projektebene verwalten. So können Sie den Grundsatz der geringsten Berechtigung flexibel anwenden. Hierbei gewähren Sie Zugriff nur auf bestimmte Ressourcen, die Mitbearbeiter für ihre Arbeit benötigen.

Ressourcen übernehmen die Richtlinien ihrer übergeordneten Ressourcen. Wenn Sie eine Richtlinie auf Projektebene festlegen, wird sie von allen untergeordneten Ressourcen übernommen. Die geltende Richtlinie für eine Ressource ist die Kombination aus der für diese Ressource festgelegten Richtlinie und der Richtlinie, die von weiter oben in der Hierarchie übernommen wird. Weitere Informationen finden Sie unter IAM-Richtlinienhierarchie.

Sie können IAM-Richtlinien mithilfe der Google Cloud -Konsole, der Identity and Access Management API oder der gcloud CLI abrufen und festlegen.

Nächste Schritte