本文列出 Dataplex Universal Catalog 的 IAM 權限。擁有權限的使用者才能對 Dataplex Universal Catalog 資源執行特定操作。例如,dataplex.datascans.create 權限可讓使用者在您的專案中建立 Dataplex Universal Catalog 資料掃描。
權限與角色
您不會直接授予使用者權限,而是向他們授予內建一或多個權限的「角色」。這個方法符合最小權限原則,鼓勵您只授予使用者或服務帳戶執行工作所需的存取權。
IAM 提供常見用途的預先定義角色。 如果這些預先定義的角色不符合您的特定需求,您可以建立自己的自訂角色,只包含所需的特定權限。
如要進一步瞭解預先定義的 Dataplex Universal Catalog 角色及其包含的權限,請參閱「Dataplex Universal Catalog IAM 角色」。
如需 IAM 和其功能的詳細說明,請參閱 IAM 說明文件。
身分與存取權管理政策設定和取得權限
下表列出取得及設定 IAM 權限所需的權限:
| 資源 | API 方法 | IAM 權限 |
|---|---|---|
| 切面類型 | GetIamPolicy | dataplex.aspectTypes.getIamPolicy |
| 切面類型 | SetIamPolicy | dataplex.aspectTypes.setIamPolicy |
| 項目群組 | GetIamPolicy | dataplex.entryGroups.getIamPolicy |
| 項目群組 | SetIamPolicy | dataplex.entryGroups.setIamPolicy |
| 項目類型 | GetIamPolicy | dataplex.entryTypes.getIamPolicy |
| 項目類型 | SetIamPolicy | dataplex.entryTypes.setIamPolicy |
| 湖泊 | GetIamPolicy | dataplex.lakes.getIamPolicy |
| 湖泊 | SetIamPolicy | dataplex.lakes.setIamPolicy |
中繼資料管理權限
對項目類型、切面類型、項目群組和項目執行作業所需的權限組合,取決於資源是系統資源還是自訂資源。系統資源由 Dataplex Universal Catalog 定義,自訂資源則由您或貴機構定義。
如要執行與多項資源相關的作業 (例如建立特定項目類型的項目,或為項目新增特定切面類型的切面),您可能需要與資源相關聯的多項權限。
項目類型
如要建立及管理項目類型,您必須至少獲得標準的 create、get、list、update 和 delete 權限。
建立項目類型時,您必須獲得權限,才能使用要標示為該項目類型必要項目的各個切面類型。
如要使用項目類型 (例如建立項目類型的項目),您必須獲得該項目類型的 use 權限。
下表列出操作項目類型所需的權限:
| 作業 | IAM 權限 |
|---|---|
| 建立項目類型 |
|
| 刪除項目類型 |
|
| 取得項目類型 | dataplex.entryTypes.get |
| 列出項目類型 | dataplex.entryTypes.list |
| 更新項目類型 |
|
|
使用項目類型 (建立項目、更新頂層項目欄位和必要切面類型值時) |
|
切面類型
如要建立及管理切面類型,您必須獲得標準的 create、get、list、update 和 delete 權限。
如要使用切面類型 (例如將其附加為項目的選用切面),您必須獲得該切面類型的 use 權限。
切面類型分為系統切面類型和自訂切面類型。 系統切面類型是由 Dataplex Universal Catalog 建立,自訂切面類型則是由您或貴機構建立。系統切面類型會進一步分類為可用和唯讀。詳情請參閱「類別的面向類型」。
下表列出操作自訂和系統層面類型所需的權限:
| 作業 | 自訂切面類型所需的權限 | 可用的系統切面類型所需權限 | 唯讀系統切面類型所需的權限 |
|---|---|---|---|
| 建立切面類型 | dataplex.aspectTypes.create |
不適用 | 不適用 |
| 刪除切面類型 | dataplex.aspectTypes.delete |
不適用 | 不適用 |
| 取得切面類型 | dataplex.aspectTypes.get |
授予對象:allUsers |
授予對象:allUsers |
| 列出切面類型 | dataplex.aspectTypes.list |
不適用 (N/A) | 不適用 |
| 建立或更新項目時,設定選填的面向類型值 |
|
|
不適用 |
| 建立或更新項目時,設定必要層面類型值 |
|
|
不適用 |
| 更新切面類型 | dataplex.aspectTypes.update |
不適用 | 不適用 |
項目群組
如要建立及管理項目群組,您必須獲得標準的 create、get、list、update 和 delete 權限。
項目群組分為系統項目群組 (由 Dataplex Universal Catalog 建立) 和自訂項目群組 (由您或貴機構建立)。詳情請參閱「項目群組類別」。
下表列出操作項目群組所需的權限:
| 作業 | 自訂項目群組所需的權限 | 系統項目群組 (以 @ 開頭) 的必要權限 |
|---|---|---|
| 建立項目群組 | dataplex.entryGroups.create |
不適用 |
| 刪除項目群組 | dataplex.entryGroups.delete |
不適用 |
| 取得項目群組 | dataplex.entryGroups.get |
dataplex.entryGroups.get |
| 列出項目群組 | dataplex.entryGroups.list |
dataplex.entryGroups.list |
| 更新項目群組 | dataplex.entryGroups.update |
不適用 |
實體
如要建立及管理項目,您必須獲得標準的 create、get、list、update 和 delete 權限。
注意事項:
- 如要使用查詢 (
LookupEntry) 和搜尋 (SearchEntries) 方法,必須取得原始來源系統的項目權限。舉例來說,如果來源是 BigQuery 資料表,您需要bigquery.tables.get權限才能查看中繼資料,並需要bigquery.tables.getData權限才能查看資料層面。 - 如果沒有查看資料層面的權限,系統仍會顯示項目,但會隱藏資料層面的內容。
- 建立項目或更新項目的頂層欄位時,您必須具備項目類型的
use權限。 - 建立、更新或刪除必要切面時,您必須獲得項目項目類型和基礎切面類型的
use權限。這是因為項目類型會強制執行必要切面。 - 如要建立、更新或刪除選用層面,您必須具備層面類型
use權限。 - 當您要插入或更新項目 (
UpdateEntry與allow_missing = True) 時,必須具備create權限。
如要進一步瞭解項目所依據的項目類型,請參閱「項目類型類別」。
下表列出操作項目所需的權限:
| 作業 | 依據自訂項目類型建立的項目 | 根據可用的系統項目類型輸入 | 根據唯讀系統項目類型建立項目 |
|---|---|---|---|
| 建立項目 |
|
|
不適用 |
| 取得項目 |
如要查看資料層面,
也必須提供 |
如要查看資料層面,
也必須提供 |
如要查看資料層面,
也必須提供 |
| 清單項目 | dataplex.entries.list |
dataplex.entries.list |
dataplex.entries.list |
| 查閱項目 |
需要來源系統的中繼資料讀取權限。如要查看資料層面,您必須具備從來源系統讀取資料的權限。 如果是自訂項目,Dataplex Universal Catalog 會視為來源系統,這時的權限分別為 |
需要來源系統的中繼資料讀取權限。如要查看資料層面,您必須具備從來源系統讀取資料的權限。 如果是自訂項目,Dataplex Universal Catalog 會視為來源系統,這時的權限分別為 |
需要來源系統的中繼資料讀取權限。如要查看資料層面,您必須具備從來源系統讀取資料的權限。 如果是自訂項目,且 Dataplex Universal Catalog 視為來源系統,則這些權限分別為 |
| 搜尋項目 |
原始來源系統的讀取權限。 如果是自訂項目,則為 |
原始來源系統的讀取權限。 如果是自訂項目,則為 |
原始來源系統的讀取權限。 如果是自訂項目,則為 |
| 更新項目 |
|
|
無法編輯頂層欄位和必要切面。 |
中繼資料工作權限
下表列出使用中繼資料匯入工作和中繼資料匯出工作時所需的權限。
| 作業 | IAM 權限 |
|---|---|
| 存取中繼資料匯出工作匯出的結果 |
|
| 取消中繼資料工作 |
|
| 建立中繼資料匯出工作 |
|
| 建立中繼資料匯入工作 |
|
| 取得中繼資料工作 |
|
| 列出中繼資料工作 |
|
系統切面類型和項目類型
每個系統定義的切面類型和系統定義的項目類型都有自己的 IAM 權限。這些權限採用 dataplex.entryGroups.useASPECT_TYPE 或 dataplex.entryGroups.useENTRY_TYPE 等格式。舉例來說,overview 系統切面類型的權限為 dataplex.entryGroups.useOverviewAspect。
下表列出適用於系統定義切面類型和項目類型的權限。
| 資源 | IAM 權限 |
|---|---|
contacts (系統切面類型) |
dataplex.entryGroups.useContactsAspect |
data-profile (系統切面類型) |
dataplex.entryGroups.useDataProfileAspect |
data-quality-scorecard (系統切面類型) |
dataplex.entryGroups.useDataQualityScorecardAspect |
generic (系統切面類型) |
dataplex.entryGroups.useGenericAspect |
generic (系統輸入類型) |
dataplex.entryGroups.useGenericEntry |
overview (系統切面類型) |
dataplex.entryGroups.useOverviewAspect |
schema (系統切面類型) |
dataplex.entryGroups.useSchemaAspect |
湖泊、區域和資產權限
下表列出操作湖泊、區域和資產所需的權限:
| API 方法 | IAM 權限 |
|---|---|
| CreateAsset | dataplex.assets.create |
| CreateLake | dataplex.lakes.create |
| CreateZone | dataplex.zones.create |
| DeleteAsset | dataplex.assets.delete |
| DeleteLake | dataplex.lakes.delete |
| DeleteZone | dataplex.zones.delete |
| GetAsset | dataplex.assets.get |
| GetLake | dataplex.lakes.get |
| GetZone | dataplex.zones.get |
| ListAssetActions | dataplex.assetActions.list |
| ListAssets | dataplex.assets.list |
| ListLakeActions | dataplex.lakeActions.list |
| ListLakes | dataplex.lakes.list |
| ListZoneActions | dataplex.zoneActions.list |
| ListZones | dataplex.zones.list |
| UpdateAsset | dataplex.assets.update |
| UpdateLake | dataplex.lakes.update |
| UpdateZone | dataplex.zones.update |
工作權限
下表列出操作工作所需的權限:
| API 方法 | IAM 權限 |
|---|---|
| CancelJob | dataplex.tasks.cancel |
| CreateTask | dataplex.tasks.create |
| DeleteTask | dataplex.tasks.delete |
| GetJob | dataplex.tasks.get |
| GetTask | dataplex.tasks.get |
| ListJobs | dataplex.tasks.get |
| ListTasks | dataplex.tasks.list |
| UpdateTask | dataplex.tasks.update |
環境權限
下表列出環境作業所需的權限:
| API 方法 | IAM 權限 |
|---|---|
| CreateContent | dataplex.content.create |
| CreateEnvironment | dataplex.environments.create |
| DeleteContent | dataplex.content.delete |
| DeleteEnvironment | dataplex.environments.delete |
| GetContent | dataplex.content.get |
| GetEnvironment | dataplex.environments.get |
| ListContent | dataplex.content.list |
| ListEnvironments | dataplex.environments.list |
| ListSessions | dataplex.environments.get |
| UpdateContent | dataplex.content.update |
| UpdateEnvironment | dataplex.environments.update |
中繼資料權限
下表列出對實體和分割區執行作業時所需的權限:
| API 方法 | IAM 權限 |
|---|---|
| CreateEntity | dataplex.entities.create |
| CreatePartition | dataplex.partitions.create |
| DeleteEntity | dataplex.entities.delete |
| DeletePartition | dataplex.partitions.delete |
| GetEntity | dataplex.entities.get |
| GetPartition | dataplex.partitions.get |
| ListEntities | dataplex.entities.list |
| ListPartitions | dataplex.partitions.list |
資料掃描權限
下表列出操作資料掃描所需的權限:
| API 方法 | IAM 權限 |
|---|---|
| CreateDataScan | dataplex.datascans.create |
| DeleteDataScan | dataplex.datascans.delete |
| GetDataScan (基本檢視畫面) | dataplex.datascans.get |
| GetDataScan (完整檢視畫面) | dataplex.datascans.getData |
| GetDataScanJob (基本檢視畫面) | dataplex.datascans.get |
| GetDataScanJob (完整檢視畫面) | dataplex.datascans.getData |
| ListDataScanJobs | dataplex.datascans.get |
| ListDataScans | dataplex.datascans.list |
| RunDataScan | dataplex.datascans.run |
| UpdateDataScan | dataplex.datascans.update |