Diese Seite wurde von der Cloud Translation API übersetzt.

IAM-Berechtigungen für den Dataplex Universal Catalog

In diesem Dokument werden die IAM-Berechtigungen für Dataplex Universal Catalog aufgeführt. Mit Berechtigungen werden Nutzer autorisiert, bestimmte Aktionen für Dataplex Universal Catalog-Ressourcen durchzuführen. Mit der Berechtigung dataplex.datascans.create kann ein Nutzer beispielsweise Dataplex Universal Catalog-Datenscans in Ihrem Projekt erstellen.

Berechtigungen und Rollen

Sie erteilen Nutzern nicht direkt Berechtigungen. Stattdessen weisen Sie ihnen Rollen zu, die eine oder mehrere Berechtigungen umfassen. Dieser Ansatz entspricht dem Prinzip der geringsten Berechtigung, das Sie dazu anregt, einem Nutzer oder Dienstkonto nur den Zugriff zu gewähren, der für die Ausführung seiner Aufgaben erforderlich ist.

IAM bietet vordefinierte Rollen für häufige Anwendungsfälle. Wenn diese vordefinierten Rollen nicht Ihren spezifischen Anforderungen entsprechen, können Sie eigene benutzerdefinierte Rollen erstellen, die nur die erforderlichen Berechtigungen enthalten.

Weitere Informationen zu vordefinierten Dataplex Universal Catalog-Rollen und den darin enthaltenen Berechtigungen finden Sie unter IAM-Rollen für Dataplex Universal Catalog.

Eine ausführliche Beschreibung von IAM und den entsprechenden Funktionen finden Sie in der IAM-Dokumentation.

Berechtigungen zum Festlegen und Abrufen von IAM-Richtlinien

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die zum Abrufen und Festlegen von IAM-Berechtigungen erforderlich sind:

Ressource	API-Methode	IAM-Berechtigung
Aspekttypen	GetIamPolicy	dataplex.aspectTypes.getIamPolicy
Aspekttypen	SetIamPolicy	dataplex.aspectTypes.setIamPolicy
Eintragsgruppen	GetIamPolicy	dataplex.entryGroups.getIamPolicy
Eintragsgruppen	SetIamPolicy	dataplex.entryGroups.setIamPolicy
Eintragstypen	GetIamPolicy	dataplex.entryTypes.getIamPolicy
Eintragstypen	SetIamPolicy	dataplex.entryTypes.setIamPolicy
Lakes	GetIamPolicy	dataplex.lakes.getIamPolicy
Lakes	SetIamPolicy	dataplex.lakes.setIamPolicy

Berechtigungen für die Metadatenverwaltung

Die Berechtigungen, die zum Ausführen von Vorgängen für Eintragstypen, Aspekttypen, Eintragsgruppen und Einträge erforderlich sind, hängen davon ab, ob es sich um Systemressourcen oder benutzerdefinierte Ressourcen handelt. Systemressourcen werden von Dataplex Universal Catalog definiert und benutzerdefinierte Ressourcen von Ihnen oder Ihrer Organisation.

Für Vorgänge, die sich auf mehrere Ressourcen beziehen (z. B. das Erstellen eines Eintrags eines bestimmten Eintrags oder das Hinzufügen eines Aspekts eines bestimmten Aspekttyps zu einem Eintrag), benötigen Sie möglicherweise mehrere Berechtigungen, die den Ressourcen zugeordnet sind.

Eintragstypen

Zum Erstellen und Verwalten von Eintragstypen benötigen Sie mindestens die Standardberechtigungen create, get, list, update und delete.

Wenn Sie einen Eintragstyp erstellen, müssen Sie die Berechtigung haben, jeden Aspekttyp zu verwenden, den Sie für diesen Eintragstyp als erforderlich kennzeichnen möchten.

Wenn Sie einen Eintragstyp verwenden möchten (z. B. zum Erstellen von Einträgen eines Eintragstyps), muss Ihnen die Berechtigung use für den Eintragstyp gewährt werden.

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für den Umgang mit Eintragstypen erforderlich sind:

Vorgang	IAM-Berechtigung
Eintragstypen erstellen	`dataplex.entryTypes.create` `dataplex.aspectTypes.use` (für jeden erforderlichen Aspekttyp im Eintragstyp) `dataplex.entryGroups.useASPECT_TYPE` (für jeden erforderlichen Systemaspekttyp im Eintragstyp). Berechtigungen für Systemaspekttypen
Eintragstypen löschen	`dataplex.entryTypes.delete` `dataplex.aspectTypes.use` (für erforderliche Aspekttypen in den Eintragstypen) `dataplex.entryGroups.useASPECT_TYPE` (für jeden erforderlichen Systemaspekttyp im Eintragstyp). Berechtigungen für Systemaspekttypen
Eintragstypen abrufen	`dataplex.entryTypes.get`
Listeneintragstypen	`dataplex.entryTypes.list`
Eintragstypen aktualisieren	`dataplex.entryTypes.update` `dataplex.aspectTypes.use` (für jeden erforderlichen Aspekttyp im Eintragstyp) `dataplex.entryGroups.useASPECT_TYPE` (für jeden erforderlichen Systemaspekttyp im Eintragstyp). Berechtigungen für Systemaspekttypen
Eintragstypen verwenden (beim Erstellen von Einträgen, Aktualisieren von Feldern auf oberster Ebene und erforderlichen Aspekttypwerten)	`dataplex.entryTypes.use` `dataplex.entries.create` oder `dataplex.entries.update` `dataplex.aspectTypes.use` (für jeden erstellten oder aktualisierten Aspekt)

Aspekttypen

Zum Erstellen und Verwalten von Aspekttypen benötigen Sie die Standardberechtigungen create, get, list, update und delete.

Wenn Sie einen Aspekttyp verwenden möchten, z. B. um ihn als optionalen Aspekt an einen Eintrag anzuhängen, benötigen Sie die Berechtigung use für den Aspekttyp.

Aspekttypen werden in Systemaspekttypen und benutzerdefinierte Aspekttypen unterteilt. Systemaspekttypen werden von Dataplex Universal Catalog erstellt, benutzerdefinierte Aspekttypen von Ihnen oder Ihrer Organisation. Systemaspekttypen werden weiter in nutzbare und schreibgeschützte unterteilt. Weitere Informationen finden Sie unter Kategorien von Aspekttypen.

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für den Umgang mit benutzerdefinierten und Systemaspekttypen erforderlich sind:

Vorgang	Erforderliche Berechtigungen für benutzerdefinierte Aspekttypen	Für verwendbare Systemaspekttypen erforderliche Berechtigungen	Für schreibgeschützte Systemaspekttypen erforderliche Berechtigungen
Aspekttypen erstellen	`dataplex.aspectTypes.create`	–	–
Aspekttypen löschen	`dataplex.aspectTypes.delete`	–	–
Aspekttypen abrufen	`dataplex.aspectTypes.get`	Gewährt an `allUsers`	Gewährt an `allUsers`
Aspekttypen auflisten	`dataplex.aspectTypes.list`	Nicht zutreffend (–)	–
Optionale Werte für den Aspekttyp beim Erstellen oder Aktualisieren von Einträgen festlegen	`dataplex.aspectTypes.use` `dataplex.entries.create` oder `dataplex.entries.update`	`dataplex.entryGroups.useASPECT_TYPE`. Weitere Informationen finden Sie unter Berechtigungen für Systemaspekttypen. `dataplex.entries.create` oder `dataplex.entries.update`	–
Erforderliche Werte für den Aspekttyp beim Erstellen oder Aktualisieren von Einträgen festlegen	`dataplex.aspectTypes.use` `dataplex.entryTypes.use` `dataplex.entries.create` oder `dataplex.entries.update`	`dataplex.entryGroups.useASPECT_TYPE`. Weitere Informationen finden Sie unter Berechtigungen für Systemaspekttypen. `dataplex.entryTypes.use` `dataplex.entries.create` oder `dataplex.entries.update`	–
Aspekttypen aktualisieren	`dataplex.aspectTypes.update`	–	–

Eintragsgruppen

Zum Erstellen und Verwalten von Eintragsgruppen benötigen Sie die Standardberechtigungen create, get, list, update und delete.

Eintragsgruppen werden in Systemeintragsgruppen, die von Dataplex Universal Catalog erstellt werden, und benutzerdefinierte Eintragsgruppen, die von Ihnen oder Ihrer Organisation erstellt werden, unterteilt. Weitere Informationen finden Sie unter Kategorien von Eintragsgruppen.

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für den Umgang mit Eintragssammlungen erforderlich sind:

Vorgang	Erforderliche Berechtigungen für benutzerdefinierte Eintragsgruppen	Erforderliche Berechtigungen für Systemeingabegruppen (beginnend mit @)
Eintragsgruppen erstellen	`dataplex.entryGroups.create`	–
Eintragsgruppen löschen	`dataplex.entryGroups.delete`	–
Eintragsgruppen abrufen	`dataplex.entryGroups.get`	`dataplex.entryGroups.get`
Eintragsgruppen auflisten	`dataplex.entryGroups.list`	`dataplex.entryGroups.list`
Eintragsgruppen aktualisieren	`dataplex.entryGroups.update`	–

Einträge

Zum Erstellen und Verwalten von Einträgen benötigen Sie die Standardberechtigungen create, get, list, update und delete.

Wichtige Hinweise:

Für die Methoden „Suchen“ (LookupEntry) und „Abrufen“ (SearchEntries) ist die Berechtigung des ursprünglichen Quellsystems für den Eintrag erforderlich. Wenn die Quelle beispielsweise eine BigQuery-Tabelle ist, benötigen Sie die Berechtigung bigquery.tables.get, um Metadaten anzusehen, und bigquery.tables.getData, um Datenaspekte anzusehen.
Wenn keine Berechtigung zum Aufrufen von Datenaspekten vorhanden ist, sind Einträge weiterhin sichtbar, der Inhalt von Datenaspekten wird jedoch ausgeblendet.
Wenn Sie einen Eintrag erstellen oder die Felder der obersten Ebene eines Eintrags aktualisieren, benötigen Sie die Berechtigung use für den Eintragstyp.
Wenn Sie ein erforderliches Attribut erstellen, aktualisieren oder löschen, benötigen Sie die Berechtigung use für den Eintragstyp eines Eintrags sowie für den zugrunde liegenden Attributtyp. Das liegt daran, dass die erforderlichen Aspekte durch den Eintragstyp erzwungen werden.
Wenn Sie ein optionales Attribut erstellen, aktualisieren oder löschen, benötigen Sie die Berechtigung use für den Attributtyp des Attributs.
Wenn Sie einen Eintrag einfügen oder aktualisieren (UpdateEntry mit allow_missing = True), benötigen Sie die Berechtigung create.

Weitere Informationen zu den Eintragstypen, auf denen Einträge basieren, finden Sie unter Kategorien von Eintragstypen.

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für den Umgang mit Einträgen erforderlich sind:

Vorgang	Eintrag auf Grundlage eines benutzerdefinierten Eintragstyps	Eintrag basierend auf dem verwendbaren Systemeintragstyp	Eintrag basierend auf schreibgeschütztem Systemeintragstyp
Einträge erstellen	`dataplex.entries.create` `dataplex.entryTypes.use` `dataplex.aspectTypes.use` (für jeden erstellten Aspekt) `dataplex.entryGroups.useASPECT_TYPE` (für jeden Aspekt eines erstellten Aspekttyps für ein nutzbares System). Berechtigungen für Systemaspekttypen	`dataplex.entries.create` `dataplex.entryGroups.useENTRY_TYPE`. Weitere Informationen finden Sie unter Berechtigungen für System-Eintragstypen. `dataplex.entryGroups.useASPECT_TYPE` (für jeden erstellten Systemaspekt). Berechtigungen für Systemaspekttypen `dataplex.aspectTypes.use` (für jeden benutzerdefinierten Aspekt)	–
Einträge abrufen	`dataplex.entries.get` Datenaspekte können nur mit `dataplex.entries.getData` aufgerufen werden.	`dataplex.entries.get` Datenaspekte können nur mit `dataplex.entries.getData` aufgerufen werden.	`dataplex.entries.get` Datenaspekte können nur mit `dataplex.entries.getData` aufgerufen werden.
Listeneinträge	`dataplex.entries.list`	`dataplex.entries.list`	`dataplex.entries.list`
Lookup-Einträge	Erfordert die Berechtigung zum Lesen von Metadaten des Quellsystems. Zum Aufrufen von Datenaspekten ist die Berechtigung zum Lesen von Daten aus dem Quellsystem erforderlich. Bei benutzerdefinierten Einträgen, bei denen Dataplex Universal Catalog als Quellsystem behandelt wird, sind diese Berechtigungen `dataplex.entries.get` bzw. `dataplex.entries.getData`.	Erfordert die Berechtigung zum Lesen von Metadaten des Quellsystems. Zum Aufrufen von Datenaspekten ist die Berechtigung zum Lesen von Daten aus dem Quellsystem erforderlich. Bei benutzerdefinierten Einträgen, bei denen Dataplex Universal Catalog als Quellsystem behandelt wird, sind diese Berechtigungen `dataplex.entries.get` bzw. `dataplex.entries.getData`.	Erfordert die Berechtigung zum Lesen von Metadaten des Quellsystems. Zum Aufrufen von Datenaspekten ist die Berechtigung zum Lesen von Daten aus dem Quellsystem erforderlich. Bei benutzerdefinierten Einträgen, bei denen Dataplex Universal Catalog als Quellsystem behandelt wird, sind diese Berechtigungen `dataplex.entries.get` bzw. `dataplex.entries.getData`.
Einträge durchsuchen	Leseberechtigung für das ursprüngliche Quellsystem. Bei benutzerdefinierten Einträgen ist dies `dataplex.entries.get`, da Dataplex Universal Catalog als ursprüngliches Quellsystem behandelt wird.	Leseberechtigung für das ursprüngliche Quellsystem. Bei benutzerdefinierten Einträgen ist dies `dataplex.entries.get`, da Dataplex Universal Catalog als ursprüngliches Quellsystem behandelt wird.	Leseberechtigung für das ursprüngliche Quellsystem. Bei benutzerdefinierten Einträgen ist dies `dataplex.entries.get`, da Dataplex Universal Catalog als ursprüngliches Quellsystem behandelt wird.
Einträge aktualisieren	`dataplex.entries.update` `dataplex.entryTypes.use` (zum Aktualisieren von Feldern der obersten Ebene oder erforderlichen Aspekten) `dataplex.aspectTypes.use` (für jeden aktualisierten Aspekt) `dataplex.entryGroups.useASPECT_TYPE` (für jeden aktualisierten Systemaspekt). Berechtigungen für Systemaspekttypen `dataplex.entries.create` (wenn `allow_missing` den Wert `True` hat)	`dataplex.entries.update` `dataplex.entryGroups.useENTRY_TYPE` (zum Aktualisieren von Feldern der obersten Ebene oder erforderlichen Aspekten). Berechtigungen für Systemeingabetypen `dataplex.aspectTypes.use` (für jeden aktualisierten benutzerdefinierten Aspekt) `dataplex.entryGroups.useASPECT_TYPE` (für jeden Aspekt, der zu Systemaspekttypen gehört). Berechtigungen für Systemaspekttypen `dataplex.entries.create` (wenn `allow_missing` den Wert `True` hat)	`dataplex.entries.update` `dataplex.aspectTypes.use` (für jeden aktualisierten benutzerdefinierten Aspekt) `dataplex.entryGroups.useASPECT_TYPE` (für jeden Aspekt eines aktualisierten nutzbaren Systemaspekttyps). Berechtigungen für Systemaspekttypen Felder der obersten Ebene und erforderliche Aspekte können nicht bearbeitet werden.

Berechtigungen für Metadatenjobs

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für die Arbeit mit Metadaten-Importjobs und Metadaten-Exportjobs erforderlich sind.

Vorgang	IAM-Berechtigung
Auf die exportierten Ergebnisse von Metadaten-Exportjobs zugreifen	`storage.objects.get`
Metadaten-Jobs abbrechen	`dataplex.metadataJobs.cancel`
Metadaten-Exportjobs erstellen	`dataplex.metadataJobs.create` `dataplex.entryGroups.export` `dataplex.entryGroups.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
Metadaten-Importjobs erstellen	`dataplex.metadataJobs.create` `dataplex.entryTypes.use` (für benutzerdefinierte Eintragstypen im Umfang des Jobs) `dataplex.entryTypes.useENTRY_TYPE` (für jeden System-Eintragstyp im Bereich des Jobs). Berechtigungen für Systemeingabetypen Diese Berechtigung ist jedoch nicht erforderlich, um optionale Aspekte zu ändern, wenn Sie einen Metadatenimportjob nur für Aspekte ausführen. `dataplex.aspectTypes.use` (für benutzerdefinierte Aspekttypen im Bereich des Jobs) `dataplex.aspectTypes.useASPECT_TYPE` (für jeden Systemaspekttyp im Umfang des Jobs). Berechtigungen für Systemaspekttypen `dataplex.entryGroups.import` (für Eintragsgruppen im Umfang des Jobs)
Metadaten-Jobs abrufen	`dataplex.metadataJobs.get`
Metadaten-Jobs auflisten	`dataplex.metadataJobs.list`

Systemaspekttypen und Eintragstypen

Jeder vom System definierte Aspekttyp und jeder vom System definierte Eintragstyp hat eigene IAM-Berechtigungen. Diese Berechtigungen haben ein Format wie dataplex.entryGroups.useASPECT_TYPE oder dataplex.entryGroups.useENTRY_TYPE. Die Berechtigung für den Systemaspekttyp overview ist beispielsweise dataplex.entryGroups.useOverviewAspect.

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für systemdefinierte Aspekttypen und Eintragstypen gelten.

Ressource	IAM-Berechtigung
`contacts` (Systemaspekttyp)	`dataplex.entryGroups.useContactsAspect`
`data-profile` (Systemaspekttyp)	`dataplex.entryGroups.useDataProfileAspect`
`data-quality-scorecard` (Systemaspekttyp)	`dataplex.entryGroups.useDataQualityScorecardAspect`
`generic` (Systemaspekttyp)	`dataplex.entryGroups.useGenericAspect`
`generic` (Systemeintragstyp)	`dataplex.entryGroups.useGenericEntry`
`overview` (Systemaspekttyp)	`dataplex.entryGroups.useOverviewAspect`
`schema` (Systemaspekttyp)	`dataplex.entryGroups.useSchemaAspect`

Berechtigungen für Lakes, Zonen und Assets

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für den Umgang mit Data Lakes, Zonen und Assets erforderlich sind:

API-Methode	IAM-Berechtigung
CreateAsset	dataplex.assets.create
CreateLake	dataplex.lakes.create
CreateZone	dataplex.zones.create
DeleteAsset	dataplex.assets.delete
DeleteLake	dataplex.lakes.delete
DeleteZone	dataplex.zones.delete
GetAsset	dataplex.assets.get
GetLake	dataplex.lakes.get
GetZone	dataplex.zones.get
ListAssetActions	dataplex.assetActions.list
ListAssets	dataplex.assets.list
ListLakeActions	dataplex.lakeActions.list
ListLakes	dataplex.lakes.list
ListZoneActions	dataplex.zoneActions.list
ListZones	dataplex.zones.list
UpdateAsset	dataplex.assets.update
UpdateLake	dataplex.lakes.update
UpdateZone	dataplex.zones.update

Berechtigungen für Aufgaben

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für die Bearbeitung von Aufgaben erforderlich sind:

API-Methode	IAM-Berechtigung
CancelJob	dataplex.tasks.cancel
CreateTask	dataplex.tasks.create
DeleteTask	dataplex.tasks.delete
GetJob	dataplex.tasks.get
GetTask	dataplex.tasks.get
ListJobs	dataplex.tasks.get
ListTasks	dataplex.tasks.list
UpdateTask	dataplex.tasks.update

Umgebungsberechtigungen

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für die Arbeit mit Umgebungen erforderlich sind:

API-Methode	IAM-Berechtigung
CreateContent	dataplex.content.create
CreateEnvironment	dataplex.environments.create
DeleteContent	dataplex.content.delete
DeleteEnvironment	dataplex.environments.delete
GetContent	dataplex.content.get
GetEnvironment	dataplex.environments.get
ListContent	dataplex.content.list
ListEnvironments	dataplex.environments.list
ListSessions	dataplex.environments.get
UpdateContent	dataplex.content.update
UpdateEnvironment	dataplex.environments.update

Berechtigungen für Metadaten

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für den Umgang mit Einheiten und Partitionen erforderlich sind:

API-Methode	IAM-Berechtigung
CreateEntity	dataplex.entities.create
CreatePartition	dataplex.partitions.create
DeleteEntity	dataplex.entities.delete
DeletePartition	dataplex.partitions.delete
GetEntity	dataplex.entities.get
GetPartition	dataplex.partitions.get
ListEntities	dataplex.entities.list
ListPartitions	dataplex.partitions.list

Berechtigungen für Datenscans

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für den Umgang mit Datenscans erforderlich sind:

API-Methode	IAM-Berechtigung
CreateDataScan	dataplex.datascans.create
DeleteDataScan	dataplex.datascans.delete
GetDataScan (einfache Ansicht)	dataplex.datascans.get
GetDataScan (full view)	dataplex.datascans.getData
GetDataScanJob (Basisansicht)	dataplex.datascans.get
GetDataScanJob (vollständige Ansicht)	dataplex.datascans.getData
ListDataScanJobs	dataplex.datascans.get
ListDataScans	dataplex.datascans.list
RunDataScan	dataplex.datascans.run
UpdateDataScan	dataplex.datascans.update