Mulai 10 April 2026, Dataplex Universal Catalog kini disebut Knowledge Catalog. Nama API, library klien, CLI, dan IAM tidak berubah. Untuk mengetahui informasi selengkapnya, lihat Memperkenalkan Katalog Pengetahuan Google Cloud.

Mengelola akses dengan IAM

Dokumen ini menjelaskan cara menggunakan Identity and Access Management (IAM) untuk mengelola kontrol akses untuk resource Knowledge Catalog (sebelumnya Dataplex Universal Catalog). IAM mengontrol akses ke resource Knowledge Catalog Anda di Google Cloud level resource. Dengan IAM, Anda dapat mengontrol prinsipal mana yang dapat mengelola resource tertentu, seperti grup entri dan entri, menggunakan konsol Google Cloud , Google Cloud CLI, library klien, atau API.

Untuk mengetahui informasi selengkapnya tentang IAM, lihat dokumentasi IAM.

Ringkasan IAM

Saat Anda membuat project Google Cloud baru, pembuat project asli akan diberi peran Pemilik. Akun layanan yang dikelola Google lainnya mungkin ada atau dibuat saat Anda mengaktifkan API untuk melakukan tugas tertentu. Namun, tidak ada pengguna perorangan lain yang memiliki akses ke project dan resource-nya, termasuk resource Knowledge Catalog. Anda memberikan akses ini hanya jika Anda secara eksplisit menambahkan pengguna sebagai anggota project atau memberikan peran kepada mereka di resource tertentu.

IAM memungkinkan Anda memberikan akses terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM memungkinkan Anda menerapkan prinsip keamanan dengan hak istimewa terendah dengan hanya memberikan akses yang diperlukan ke resource Anda.

IAM memungkinkan Anda mengontrol siapa (akun utama) yang memiliki akses apa (peran) ke resource mana.

Utama

Akun utama dapat berupa Akun Google (untuk pengguna akhir), akun layanan (untuk aplikasi dan virtual machine), grup Google, atau domain Google Workspace atau Cloud Identity. Akun utama ini dapat mengakses resource. Saat memberikan peran, Anda mengidentifikasi akun utama menggunakan ID, seperti yang dijelaskan dalam Referensi pengikatan kebijakan.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan IAM: Akun utama.

Agen layanan

Knowledge Catalog menggunakan akun layanan terkelola, agen layanan, untuk mengakses resource Anda. Google Cloud Agen layanan adalah akun layanan yang dikelola oleh Google yang memungkinkan layanan mengakses resource di project Anda. Google Cloud Hal ini berbeda dengan akun layanan yang dikelola pengguna, yang Anda buat dan gunakan untuk merepresentasikan aplikasi atau workload Anda.

Agen layanan dibuat saat Anda mengaktifkan Dataplex API. Anda dapat mengidentifikasi agen layanan berdasarkan ID emailnya:

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com

Di sini, CUSTOMER_PROJECT_NUMBER adalah nomor project tempat Anda mengaktifkan Dataplex API.

Agen layanan memerlukan peran Dataplex Service Agent (roles/dataplex.serviceAgent) di project untuk mengelola resource Knowledge Catalog. Saat Anda mengaktifkan API, sistem akan otomatis memberikan peran ini. Jika Anda mencabut peran ini, Knowledge Catalog mungkin tidak berfungsi dengan benar.

Jika Knowledge Catalog perlu mengakses resource di project lain (misalnya, bucket Cloud Storage atau set data BigQuery yang ingin Anda lampirkan sebagai aset atau pindai untuk profil data), Anda harus memberikan izin yang diperlukan kepada agen layanan ini di project yang berisi resource tersebut.

Untuk mengetahui informasi selengkapnya tentang cara memberikan izin kepada agen layanan untuk melampirkan aset, lihat Mengelola aset data.

Untuk mengetahui informasi selengkapnya tentang pemberian izin kepada agen layanan untuk pembuatan profil data, lihat Membuat dan menggunakan pemindaian profil data.

Identitas Eksekusi untuk pemindaian data

Secara default, Knowledge Catalog menggunakan agen layanan untuk menjalankan pemindaian kualitas data dan profil data Anda. Namun, Anda dapat memilih untuk mengganti perilaku ini dan menjalankan pemindaian menggunakan akun layanan kustom atau Kredensial Pengguna Akhir (EUC) Anda sendiri.

Jika Anda menentukan akun layanan kustom untuk identitas eksekusi pemindaian, agen layanan memerlukan peran Service Account Token Creator (roles/iam.serviceAccountTokenCreator) (atau izin iam.serviceAccounts.getAccessToken) di akun layanan target untuk meniru identitasnya dan menjalankan tugas. Untuk mengetahui detail selengkapnya, lihat dokumentasi identitas eksekusi untuk kualitas data dan pemrofilan data.

Resource

Resource yang dapat Anda beri akses di Katalog Pengetahuan mencakup project, grup entri, entri, link entri, jenis aspek, jenis entri, dan jenis link entri.

Beberapa metode API memerlukan izin untuk beberapa resource. Misalnya, melampirkan aspek ke entri memerlukan izin pada entri dan jenis aspek.

Peran

Peran adalah kumpulan izin yang menentukan operasi mana yang dapat dilakukan akun utama pada resource. Saat peran diberikan ke akun utama, semua izin pada peran tersebut juga diberikan.

Anda dapat memberikan satu atau beberapa peran kepada akun utama.

Mirip dengan produk Google Cloud lainnya, Knowledge Catalog mendukung tiga jenis peran:

Peran dasar: peran yang sangat permisif (Pemilik, Editor, Viewer) yang ada sebelum IAM diperkenalkan. Untuk mengetahui informasi selengkapnya tentang peran dasar, lihat Peran dasar.
Peran bawaan: memberikan akses terperinci ke resource Google Cloud tertentu. Untuk mengetahui informasi selengkapnya tentang peran bawaan, lihat Peran bawaan. Dokumentasi peran IAM Knowledge Catalog menjelaskan peran bawaan Knowledge Catalog.
Peran khusus: membantu Anda menerapkan prinsip hak istimewa terendah dengan hanya memberikan izin tertentu yang diperlukan. Untuk mengetahui informasi selengkapnya tentang peran khusus, lihat Peran khusus.

Misalnya, peran bawaan Dataplex Viewer (roles/dataplex.viewer) memberikan akses hanya baca ke resource Knowledge Catalog. Kepala sekolah dengan peran ini dapat melihat grup entri, entri, link entri, jenis aspek, jenis entri, dan jenis link entri, tetapi tidak dapat membuat, memperbarui, atau menghapusnya. Sebaliknya, Administrator Dataplex (roles/dataplex.admin) memberikan akses luas untuk mengelola resource Knowledge Catalog.

Untuk mengetahui informasi selengkapnya tentang cara menetapkan peran, lihat Memberikan, mengubah, dan mencabut akses.

Untuk menentukan izin yang Anda perlukan untuk tugas tertentu, lihat halaman referensi untuk peran Knowledge Catalog dan izin Knowledge Catalog.

Misalnya, untuk resource project, Anda dapat menetapkan peran roles/dataplex.admin ke Akun Google. Akun tersebut kemudian dapat mengelola resource Knowledge Catalog dalam project, tetapi tidak dapat mengelola resource lain. Anda juga dapat menggunakan IAM untuk mengelola peran dasar yang diberikan kepada anggota tim project.

Kebijakan IAM untuk resource

Dengan kebijakan IAM, Anda dapat mengelola peran IAM pada resource, bukan mengelola peran di level project. Hal ini memberikan fleksibilitas untuk menerapkan prinsip hak istimewa terendah dengan memberikan akses hanya ke resource tertentu yang diperlukan kolaborator untuk pekerjaan mereka.

Resource mewarisi kebijakan resource induknya. Jika Anda menetapkan kebijakan di tingkat project, semua resource turunannya akan mewarisinya. Kebijakan yang efektif untuk suatu resource adalah gabungan kebijakan yang ditetapkan pada resource tersebut dan kebijakan yang diwariskan dari posisi yang lebih tinggi dalam hierarki. Untuk mengetahui informasi selengkapnya, lihat hierarki kebijakan IAM.

Anda dapat memperoleh dan menetapkan kebijakan IAM menggunakan konsol Google Cloud , Identity and Access Management API, atau gcloud CLI.

Untuk konsol Google Cloud , lihat Kontrol akses menggunakan konsol Google Cloud .
Untuk API, lihat Kontrol akses menggunakan API.
Untuk gcloud CLI, lihat Kontrol akses menggunakan gcloud CLI .

Langkah berikutnya

Pelajari Peran IAM lebih lanjut
Pelajari lebih lanjut izin IAM.
Pelajari lebih lanjut keamanan Katalog Pengetahuan

Mengelola akses dengan IAM Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.