Kontrol akses dengan IAM

Dokumen ini menjelaskan cara menggunakan Google Cloud Identity and Access Management (IAM) untuk kontrol akses di Dataplex Universal Catalog.

IAM mengontrol akses ke resource Dataplex Universal Catalog Anda di tingkat Google Cloud resource. Menentukan siapa yang dapat mengelola resource Dataplex Universal Catalog, misalnya, grup entri dan entri. Anda dapat mengelola resource ini menggunakan API dan alat Google Cloud seperti konsolGoogle Cloud , Google Cloud CLI, atau library klien.

Untuk mengetahui informasi selengkapnya tentang IAM, lihat dokumentasi IAM.

Ringkasan IAM

Secara default, saat Anda membuat project Google Cloud baru, pembuat project asli akan diberi peran Pemilik. Akun layanan yang dikelola Google lainnya mungkin ada secara default atau dibuat saat Anda mengaktifkan API untuk melakukan tugas tertentu. Namun, tidak ada pengguna perorangan lain yang memiliki akses ke project dan resource-nya, termasuk resource Dataplex Universal Catalog. Akses ini diberikan hanya jika Anda menambahkan pengguna secara eksplisit sebagai anggota project atau memberikan peran kepada mereka di resource tertentu.

IAM memungkinkan Anda memberikan akses terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM memungkinkan Anda menerapkan prinsip keamanan dengan hak istimewa terendah dengan hanya memberikan akses yang diperlukan ke resource Anda.

Dengan IAM, Anda dapat mengontrol siapa (akun utama) yang memiliki akses apa (peran) ke resource mana.

Akun utama

Akun utama dapat berupa Akun Google (untuk pengguna akhir), akun layanan (untuk aplikasi dan virtual machine), grup Google, atau domain Google Workspace atau Cloud Identity. Akun utama ini dapat mengakses resource. Saat memberikan peran, Anda mengidentifikasi principal menggunakan ID, seperti yang dijelaskan dalam Referensi pengikatan kebijakan.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan IAM: Akun utama.

Agen Layanan Katalog Universal Dataplex

Dataplex Universal Catalog menggunakan akun layanan terkelola yang dikenal sebagai agen layanan untuk mengakses resource Anda. Google Cloud Agen layanan dibuat saat Anda mengaktifkan Dataplex API. Agen layanan dapat diidentifikasi berdasarkan emailnya:

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com

Di sini, CUSTOMER_PROJECT_NUMBER adalah nomor project tempat Anda mengaktifkan Dataplex API.

Agen layanan Dataplex Universal Catalog memerlukan peran Dataplex Service Agent (roles/dataplex.serviceAgent) di project untuk mengelola resource Dataplex Universal Catalog. Peran ini otomatis diberikan saat Anda mengaktifkan API. Jika Anda mencabut peran ini, Katalog Universal Dataplex mungkin tidak berfungsi dengan benar.

Resource

Resource yang dapat Anda beri akses di Dataplex Universal Catalog mencakup project, grup entri, entri, jenis aspek, dan jenis entri.

Beberapa metode API memerlukan izin untuk beberapa resource. Misalnya, melampirkan aspek ke entri memerlukan izin pada entri dan jenis aspek.

Peran

Peran adalah kumpulan izin. Izin menentukan operasi apa saja yang diizinkan pada suatu resource. Saat Anda memberikan peran kepada akun utama, Anda memberikan semua izin yang dimiliki oleh peran tersebut.

Anda dapat memberikan satu atau beberapa peran kepada akun utama.

Serupa dengan produk Google Cloud lainnya, Dataplex Universal Catalog mendukung tiga jenis peran:

  • Peran dasar: peran yang sangat permisif (Pemilik, Editor, Viewer) yang ada sebelum IAM diperkenalkan. Untuk mengetahui informasi selengkapnya tentang peran dasar, lihat Peran dasar.

  • Peran bawaan: memberikan akses terperinci ke resource Google Cloud tertentu. Untuk mengetahui informasi selengkapnya tentang peran bawaan, lihat Peran bawaan. Dokumentasi peran IAM Katalog Universal Dataplex menjelaskan peran standar Katalog Universal Dataplex.

  • Peran khusus: membantu Anda menerapkan prinsip hak istimewa terendah dengan hanya memberikan izin tertentu yang diperlukan. Untuk mengetahui informasi selengkapnya tentang peran khusus, lihat Peran khusus.

Sebagai contoh, peran bawaan Dataplex Viewer (roles/dataplex.viewer) memberikan akses hanya baca ke resource Dataplex Universal Catalog. Principal dengan peran ini dapat melihat grup entri, entri, jenis aspek, dan jenis entri, tetapi tidak dapat membuat, memperbarui, atau menghapusnya. Sebaliknya, Administrator Katalog Universal Dataplex (roles/dataplex.admin) memberikan akses luas untuk mengelola resource Katalog Universal Dataplex.

Untuk mengetahui informasi selengkapnya tentang cara menetapkan peran, lihat Memberikan, mengubah, dan mencabut akses.

Untuk menentukan izin yang Anda perlukan untuk tugas tertentu, lihat halaman referensi untuk peran Dataplex Universal Catalog dan izin Dataplex Universal Catalog.

Misalnya, untuk resource project, Anda dapat menetapkan peran roles/dataplex.admin ke Akun Google. Akun tersebut kemudian dapat mengelola resource Dataplex Universal Catalog dalam project, tetapi tidak dapat mengelola resource lain. Anda juga dapat menggunakan IAM untuk mengelola peran dasar yang diberikan kepada anggota tim project.

Kebijakan IAM untuk resource

Dengan kebijakan IAM, Anda dapat mengelola peran IAM pada resource, bukan mengelola peran di level project. Hal ini memberikan fleksibilitas untuk menerapkan prinsip hak istimewa terendah dengan memberikan akses hanya ke resource tertentu yang diperlukan kolaborator untuk pekerjaan mereka.

Resource mewarisi kebijakan resource induknya. Jika Anda menetapkan kebijakan di level project, kebijakan tersebut akan diwarisi oleh semua resource turunannya. Kebijakan yang efektif untuk suatu resource adalah gabungan kebijakan yang ditetapkan pada resource tersebut dan kebijakan yang diwariskan dari posisi yang lebih tinggi dalam hierarki. Untuk mengetahui informasi selengkapnya, lihat hierarki kebijakan IAM.

Anda dapat memperoleh dan menetapkan kebijakan IAM menggunakan konsol Google Cloud , Identity and Access Management API, atau gcloud CLI.

Apa langkah selanjutnya?