使用 IAM 控管存取權

本文說明如何使用 Google Cloud Identity and Access Management (IAM) 控管 Dataplex Universal Catalog 的存取權。

IAM 可在 Google Cloud 資源層級控管 Dataplex Universal Catalog 資源的存取權。決定哪些使用者可以管理 Dataplex Universal Catalog 資源，例如項目群組和項目。您可以使用 Google Cloud API 和工具 (例如Google Cloud 控制台、Google Cloud CLI 或用戶端程式庫) 管理這些資源。

如要進一步瞭解 IAM，請參閱 IAM 說明文件。

IAM 總覽

根據預設，建立新 Google Cloud 專案時，系統會將擁有者角色授予原始專案建立者。系統預設可能會提供其他 Google 代管的服務帳戶，或在您啟用 API 來執行特定工作時建立這類帳戶。不過，其他使用者無法存取專案和資源，包括 Dataplex Universal Catalog 資源。只有在您明確將使用者新增為專案成員，或授予特定資源的角色時，才會授予這項存取權。

IAM 可讓您對特定 Google Cloud資源授予精細的存取權，避免未經授權者存取其他資源。IAM 採用最低權限安全原則，可確保您僅授予使用者必要的資源存取權限。

您可以透過 IAM 控管「哪些主體」具備「哪些資源」的「何種存取權」(角色)。

主體

主體可以是 Google 帳戶 (用於使用者)、服務帳戶 (用於應用程式和虛擬機器)、Google 群組，或是 Google Workspace 或 Cloud Identity 網域。這些主體可以存取資源。授予角色時，請使用 ID 識別主體，詳情請參閱「政策繫結參考資料」。

詳情請參閱「IAM 總覽：主體」。

Dataplex Universal Catalog 服務代理

Dataplex Universal Catalog 會使用 Google Cloud 受管理服務帳戶 (又稱服務代理) 存取資源。啟用 Dataplex API 時，系統會建立服務代理。服務代理可以透過電子郵件識別：

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com

其中 CUSTOMER_PROJECT_NUMBER 是您啟用 Dataplex API 的專案編號。

Dataplex Universal Catalog 服務代理需要專案的 Dataplex 服務代理 (roles/dataplex.serviceAgent) 角色，才能管理 Dataplex Universal Catalog 資源。啟用 API 時，系統會自動授予這個角色。如果撤銷這項角色，Dataplex Universal Catalog 可能無法正常運作。

資源

您可以在 Dataplex Universal Catalog 中授予下列資源的存取權：專案、項目群組、項目、切面類型和項目類型。

部分 API 方法需要多項資源的權限。舉例來說，如要將切面附加至項目，您必須同時擁有項目和切面類型的權限。

角色

角色是一組權限。權限決定能對資源執行哪些作業。授予角色之後，主體就會取得該角色具備的所有權限。

您可以將一或多個角色授予主體。

與其他 Google Cloud 產品類似，Dataplex Universal Catalog 支援三種角色：

• 基本角色：權限非常寬鬆的角色 (擁有者、編輯者、檢視者)，在 IAM 推出前就存在。如要進一步瞭解基本角色，請參閱基本角色。

• 預先定義的角色：提供特定資源的精細存取權。 Google Cloud如要進一步瞭解預先定義的角色，請參閱「預先定義的角色」。如要瞭解 Dataplex Universal Catalog 預先定義的角色，請參閱 Dataplex Universal Catalog IAM 角色文件。

• 自訂角色：協助您強制執行最低權限原則，只授予必要的特定權限。如要進一步瞭解自訂角色，請參閱自訂角色。

舉例來說，Dataplex 檢視者 (roles/dataplex.viewer) 預先定義的角色提供 Dataplex Universal Catalog 資源的唯讀存取權。具有這個角色的主體可以查看項目群組、項目、切面類型和項目類型，但無法建立、更新或刪除這些項目。反之，Dataplex Universal Catalog 管理員 (roles/dataplex.admin) 則可授予廣泛的存取權，用來管理 Dataplex Universal Catalog 資源。

如要進一步瞭解如何指派角色，請參閱「授予、變更及撤銷存取權」。

如要判斷特定工作需要哪些權限，請參閱 Dataplex Universal Catalog 角色和 Dataplex Universal Catalog 權限的參考頁面。

舉例來說，您可以將專案資源的 roles/dataplex.admin 角色指派給 Google 帳戶。該帳戶即可管理專案中的 Dataplex Universal Catalog 資源，但無法管理其他資源。您也可以使用 IAM 管理授予專案團隊成員的基本角色。

資源的 IAM 政策

IAM 政策可讓您管理資源上的 IAM 角色，而不是在專案層級管理角色。這樣一來，您就能透過更靈活的方式來落實最小權限原則；例如將協作者的權限侷限在工作需要的資源上。

資源會繼承父項資源的政策。如果您在專案層級設定政策，該層級的所有子項資源都會繼承這項政策。會對資源發揮作用的政策，除了在資源層級設定的政策外，還包括資源從上層階級繼承的政策。詳情請參閱 IAM 政策階層。

您可以使用 Google Cloud 控制台、Identity and Access Management API 或 gcloud CLI 取得及設定 IAM 政策。

• 如要使用 Google Cloud 控制台，請參閱「使用Google Cloud 控制台控管存取權」一文。
• 如要使用 API，請參閱透過 API 控管存取權。
• 如要使用 gcloud CLI，請參閱「使用 gcloud CLI 控管存取權 」。

後續步驟

• 進一步瞭解 IAM 角色。
• 進一步瞭解 IAM 權限。
• 進一步瞭解 Dataplex Universal Catalog 安全性