Mengelola akses dengan IAM

Dokumen ini menjelaskan cara menggunakan Identity and Access Management (IAM) untuk mengelola kontrol akses untuk resource dalam Dataplex Universal Catalog. IAM mengontrol akses ke resource Dataplex Universal Catalog Anda di Google Cloud tingkat resource. Dengan fitur ini, Anda dapat mengontrol prinsipal mana yang dapat mengelola resource tertentu, seperti grup entri dan entri, menggunakan konsol Google Cloud , Google Cloud CLI, library klien, atau API.

Untuk mengetahui informasi selengkapnya tentang IAM, lihat dokumentasi IAM.

Ringkasan IAM

Secara default, saat Anda membuat project Google Cloud baru, pembuat project asli akan diberi peran Pemilik. Akun layanan yang dikelola Google lainnya mungkin ada secara default atau dibuat saat Anda mengaktifkan API untuk melakukan tugas tertentu. Namun, tidak ada pengguna perorangan lain yang memiliki akses ke project dan resource-nya, termasuk resource Dataplex Universal Catalog. Akses ini diberikan hanya jika Anda menambahkan pengguna secara eksplisit sebagai anggota project atau memberikan peran kepada mereka di resource tertentu.

IAM memungkinkan Anda memberikan akses terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM memungkinkan Anda menerapkan prinsip keamanan dengan hak istimewa terendah dengan hanya memberikan akses yang diperlukan ke resource Anda.

Dengan IAM, Anda dapat mengontrol siapa (akun utama) yang memiliki akses apa (peran) ke resource mana.

Akun utama

Akun utama dapat berupa Akun Google (untuk pengguna akhir), akun layanan (untuk aplikasi dan virtual machine), grup Google, atau domain Google Workspace atau Cloud Identity. Akun utama ini dapat mengakses resource. Saat memberikan peran, Anda mengidentifikasi akun utama menggunakan ID, seperti yang dijelaskan dalam Referensi pengikatan kebijakan.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan IAM: Akun utama.

Agen Layanan Katalog Universal Dataplex

Dataplex Universal Catalog menggunakan Google Cloud akun layanan terkelola yang dikenal sebagai agen layanan untuk mengakses resource Anda. Agen layanan dibuat saat Anda mengaktifkan Dataplex API. Agen layanan dapat diidentifikasi berdasarkan emailnya:

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com

Di sini, CUSTOMER_PROJECT_NUMBER adalah nomor project tempat Anda mengaktifkan Dataplex API.

Agen layanan Dataplex Universal Catalog memerlukan peran Dataplex Service Agent (roles/dataplex.serviceAgent) di project untuk mengelola resource Dataplex Universal Catalog. Peran ini otomatis diberikan saat Anda mengaktifkan API. Jika Anda mencabut peran ini, Katalog Universal Dataplex mungkin tidak berfungsi dengan benar.

Resource

Resource yang dapat Anda beri akses di Dataplex Universal Catalog mencakup project, grup entri, entri, jenis aspek, dan jenis entri.

Beberapa metode API memerlukan izin untuk beberapa resource. Misalnya, melampirkan aspek ke entri memerlukan izin pada entri dan jenis aspek.

Peran

Peran adalah kumpulan izin. Izin menentukan operasi apa saja yang diizinkan pada suatu resource. Saat Anda memberikan peran kepada akun utama, Anda memberikan semua izin yang dimiliki oleh peran tersebut.

Anda dapat memberikan satu atau beberapa peran kepada akun utama.

Serupa dengan produk Google Cloud lainnya, Dataplex Universal Catalog mendukung tiga jenis peran:

  • Peran dasar: peran yang sangat permisif (Pemilik, Editor, Viewer) yang ada sebelum IAM diperkenalkan. Untuk mengetahui informasi selengkapnya tentang peran dasar, lihat Peran dasar.

  • Peran bawaan: memberikan akses terperinci ke resource Google Cloud tertentu. Untuk mengetahui informasi selengkapnya tentang peran bawaan, lihat Peran bawaan. Dokumentasi peran IAM Dataplex Universal Catalog menjelaskan peran standar Dataplex Universal Catalog.

  • Peran khusus: membantu Anda menerapkan prinsip hak istimewa terendah dengan hanya memberikan izin tertentu yang diperlukan. Untuk mengetahui informasi selengkapnya tentang peran khusus, lihat Peran khusus.

Sebagai contoh, peran bawaan Dataplex Viewer (roles/dataplex.viewer) memberikan akses hanya baca ke resource Dataplex Universal Catalog. Principal dengan peran ini dapat melihat grup entri, entri, jenis aspek, dan jenis entri, tetapi tidak dapat membuat, memperbarui, atau menghapusnya. Sebaliknya, Administrator Katalog Universal Dataplex (roles/dataplex.admin) memberikan akses luas untuk mengelola resource Katalog Universal Dataplex.

Untuk mengetahui informasi selengkapnya tentang cara menetapkan peran, lihat Memberikan, mengubah, dan mencabut akses.

Untuk menentukan izin yang Anda perlukan untuk tugas tertentu, lihat halaman referensi untuk peran Dataplex Universal Catalog dan izin Dataplex Universal Catalog.

Misalnya, untuk resource project, Anda dapat menetapkan peran roles/dataplex.admin ke Akun Google. Akun tersebut kemudian dapat mengelola resource Dataplex Universal Catalog dalam project, tetapi tidak dapat mengelola resource lain. Anda juga dapat menggunakan IAM untuk mengelola peran dasar yang diberikan kepada anggota tim project.

Kebijakan IAM untuk resource

Dengan kebijakan IAM, Anda dapat mengelola peran IAM pada resource, bukan mengelola peran di level project. Hal ini memberikan fleksibilitas untuk menerapkan prinsip hak istimewa terendah dengan memberikan akses hanya ke resource tertentu yang diperlukan kolaborator untuk pekerjaan mereka.

Resource mewarisi kebijakan resource induknya. Jika Anda menetapkan kebijakan di level project, kebijakan tersebut akan diwarisi oleh semua resource turunannya. Kebijakan yang efektif untuk suatu resource adalah gabungan kebijakan yang ditetapkan pada resource tersebut dan kebijakan yang diwariskan dari posisi yang lebih tinggi dalam hierarki. Untuk mengetahui informasi selengkapnya, lihat hierarki kebijakan IAM.

Anda dapat memperoleh dan menetapkan kebijakan IAM menggunakan konsol Google Cloud , Identity and Access Management API, atau gcloud CLI.

Apa langkah selanjutnya?