In diesem Dokument wird beschrieben, wie Sie Google Cloud Identity and Access Management (IAM) für die Zugriffssteuerung im Dataplex Universal Catalog verwenden.
Mit IAM wird der Zugriff auf Ihre Dataplex Universal Catalog-Ressourcen auf Google Cloud Ressourcenebene gesteuert. Sie bestimmt, wer Dataplex Universal Catalog-Ressourcen wie Eintragsgruppen und Einträge verwalten kann. Sie können diese Ressourcen mit Google Cloud APIs und Tools wie derGoogle Cloud Console, der Google Cloud CLI oder Clientbibliotheken verwalten.
Weitere Informationen zu IAM finden Sie in der IAM-Dokumentation.
IAM-Übersicht
Wenn Sie ein neues Google Cloud -Projekt erstellen, wird dem ursprünglichen Projektersteller standardmäßig die Rolle „Inhaber“ zugewiesen. Andere von Google verwaltete Dienstkonten sind möglicherweise standardmäßig vorhanden oder werden erstellt, wenn Sie eine API aktivieren, um bestimmte Aufgaben auszuführen. Andere einzelne Nutzer haben jedoch keinen Zugriff auf das Projekt und seine Ressourcen, einschließlich Dataplex Universal Catalog-Ressourcen. Dieser Zugriff wird nur gewährt, wenn Sie Nutzer explizit als Projektmitglieder hinzufügen oder ihnen Rollen für bestimmte Ressourcen zuweisen.
Mit IAM können Sie detaillierte Zugriffsberechtigungen auf bestimmte Google Cloud-Ressourcen gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern. Mit IAM können Sie das Sicherheitsprinzip der geringsten Berechtigung anwenden, indem Sie nur den erforderlichen Zugriff auf Ihre Ressourcen gewähren.
Mit IAM können Sie steuern, wer (Identitäten) welchen Zugriff (Rollen) auf welche Ressourcen hat.
Hauptkonto
Ein Hauptkonto kann ein Google-Konto (für Endnutzer), ein Dienstkonto (für Apps und virtuelle Maschinen), eine Google-Gruppe oder eine Google Workspace- oder Cloud Identity-Domain sein. Diese Hauptkonten können auf eine Ressource zugreifen. Wenn Sie Rollen gewähren, identifizieren Sie das Hauptkonto mit einer Kennung, wie unter Referenz für Richtlinienbindung beschrieben.
Weitere Informationen finden Sie unter IAM-Übersicht: Hauptkonten.
Dataplex Universal Catalog Service Agent
Dataplex Universal Catalog verwendet ein Google Cloud verwaltetes Dienstkonto, das als Dienst-Agent bezeichnet wird, um auf Ihre Ressourcen zuzugreifen. Der Dienst-Agent wird erstellt, wenn Sie die Dataplex API aktivieren. Der Dienst-Agent ist durch die E-Mail-Adresse identifizierbar:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
Dabei ist CUSTOMER_PROJECT_NUMBER die Projektnummer des Projekts, in dem Sie die Dataplex API aktiviert haben.
Der Dataplex Universal Catalog-Dienst-Agent benötigt die Rolle Dataplex Service Agent (roles/dataplex.serviceAgent) für das Projekt, um Dataplex Universal Catalog-Ressourcen zu verwalten. Diese Rolle wird automatisch gewährt, wenn Sie die API aktivieren. Wenn Sie diese Rolle widerrufen, funktioniert Dataplex Universal Catalog möglicherweise nicht richtig.
Ressource
Zu den Ressourcen, für die Sie in Dataplex Universal Catalog Zugriff gewähren können, gehören Projekte, Eintragsgruppen, Einträge, Aspekttypen und Eintragstypen.
Für einige API-Methoden sind Berechtigungen für mehrere Ressourcen erforderlich. Wenn Sie beispielsweise einem Eintrag einen Aspekt zuweisen möchten, benötigen Sie Berechtigungen für den Eintrag und den Aspekttyp.
Rolle
Eine Rolle ist eine Sammlung von Berechtigungen. Berechtigungen bestimmen, welche Vorgänge bei einer Ressource zugelassen sind. Wenn Sie einem Hauptkonto eine Rolle zuweisen, gewähren Sie alle mit ihr verknüpften Berechtigungen.
Sie können einem Hauptkonto eine oder mehrere Rollen zuweisen.
Ähnlich wie bei anderen Google Cloud Produkten unterstützt Dataplex Universal Catalog drei Arten von Rollen:
Einfache Rollen:Rollen mit sehr weitreichenden Berechtigungen („Inhaber“, „Bearbeiter“, „Betrachter“), die es schon vor der Einführung von IAM gab. Weitere Informationen zu einfachen Rollen finden Sie unter Einfache Rollen.
Vordefinierte Rollen:Sie ermöglichen einen detaillierten Zugriff auf bestimmte Google Cloud-Ressourcen. Weitere Informationen zu vordefinierten Rollen finden Sie unter Vordefinierte Rollen. In der Dokumentation zu Dataplex Universal Catalog-IAM-Rollen werden die vordefinierten Rollen für Dataplex Universal Catalog beschrieben.
Benutzerdefinierte Rollen:Mit benutzerdefinierten Rollen können Sie das Prinzip der geringsten Berechtigung erzwingen, indem Sie nur die erforderlichen Berechtigungen erteilen. Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Rollen.
Die vordefinierte Rolle Dataplex-Betrachter (roles/dataplex.viewer) bietet beispielsweise schreibgeschützten Zugriff auf Dataplex Universal Catalog-Ressourcen. Ein Hauptkonto mit dieser Rolle kann Eintragsgruppen, Einträge, Aspekttypen und Eintragstypen aufrufen, aber nicht erstellen, aktualisieren oder löschen. Umgekehrt gewährt die Rolle Dataplex Universal Catalog Administrator (roles/dataplex.admin) umfassenden Zugriff zum Verwalten von Dataplex Universal Catalog-Ressourcen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
Welche Berechtigungen Sie für eine bestimmte Aufgabe benötigen, erfahren Sie auf den Referenzseiten für Dataplex Universal Catalog-Rollen und Dataplex Universal Catalog-Berechtigungen.
Für eine Projektressource können Sie beispielsweise einem Google-Konto die Rolle roles/dataplex.admin zuweisen. Dieses Konto kann dann Dataplex Universal Catalog-Ressourcen im Projekt verwalten, jedoch keine anderen Ressourcen. Mit IAM können Sie außerdem die grundlegenden Rollen von Projektteammitgliedern verwalten.
IAM-Richtlinien für Ressourcen
Mit einer IAM-Richtlinie können Sie IAM-Rollen für Ressourcen anstatt oder zusätzlich zur Rollenverwaltung auf Projektebene verwalten. So können Sie den Grundsatz der geringsten Berechtigung flexibel anwenden. Hierbei gewähren Sie Zugriff nur auf bestimmte Ressourcen, die Mitbearbeiter für ihre Arbeit benötigen.
Ressourcen übernehmen die Richtlinien ihrer übergeordneten Ressourcen. Wenn Sie auf Projektebene eine Richtlinie festlegen, wird sie von allen untergeordneten Ressourcen übernommen. Die geltende Richtlinie für eine Ressource ist die Kombination aus der für diese Ressource festgelegten Richtlinie und der Richtlinie, die von weiter oben in der Hierarchie übernommen wird. Weitere Informationen finden Sie unter IAM-Richtlinienhierarchie.
Sie können IAM-Richtlinien mithilfe der Google Cloud -Konsole, der Identity and Access Management API oder der gcloud CLI abrufen und festlegen.
- Informationen zur Google Cloud Console finden Sie unter Zugriffssteuerung über dieGoogle Cloud Console.
- Weitere Informationen zur API finden Sie unter Zugriffssteuerung über die API.
- Informationen zur gcloud CLI finden Sie unter Zugriffssteuerung über die gcloud CLI .
Nächste Schritte
- Weitere Informationen zu IAM-Rollen
- Weitere Informationen zu IAM-Berechtigungen
- Weitere Informationen zur Sicherheit von Dataplex Universal Catalog