Datenprodukte verwenden

Dieses Dokument richtet sich an Nutzer von Knowledge Catalog-Datenprodukten (früher Dataplex Universal Catalog), die Datenprodukte für ihre Anwendungsfälle finden und verwenden möchten.

Weitere Informationen zur Architektur und zu den wichtigsten Konzepten von Datenprodukten finden Sie unter Datenprodukte.

Hinweis

  1. Aktivieren Sie die Dataplex- und BigQuery-APIs.

    Rollen, die zum Aktivieren von APIs erforderlich sind

    Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen

    APIs aktivieren

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Datenprodukt oder das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Suchen, Aufrufen und Verwenden von Datenprodukten benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Als Nutzer eines Datenprodukts benötigen Sie die Berechtigung viewer, um auf das entsprechende Asset im Quellsystem zugreifen zu können, damit Sie die Metadaten eines Assets aufrufen können. Wenn Sie beispielsweise nach Metadaten für ein Dataset oder eine Tabelle in einem Datenprodukt suchen möchten, benötigen Sie die Rolle „BigQuery-Metadatenbetrachter“ (roles/bigquery.metadataViewer). Weitere Informationen finden Sie unter Erforderliche Rollen für den Zugriff auf Suchergebnisse.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Suchen im Knowledge Catalog auf.

    Zur Suche

  2. Suchen Sie mithilfe von Keywords oder natürlicher Sprache. Weitere Informationen finden Sie unter Nach Ressourcen suchen.

  3. Klicken Sie in den Suchergebnissen auf das Datenprodukt, dessen Details Sie sich ansehen möchten. Sie können die Beschreibung, Assets, den Vertrag, Aspekte, Kontaktdaten und andere mit dem Datenprodukt verknüpfte Dokumente ansehen.

REST

Verwenden Sie die Methode searchEntries, um nach einem Datenprodukt zu suchen.

Senden Sie beispielsweise die folgende POST-Anfrage:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d \
  '{
  "query": "ADDITIONAL_KEYWORDS (type=(DATA_PRODUCT))",
  "pageSize": 10
  }' \
"https://dataplex.googleapis.com/v1/projects/PROJECT_ID/locations/global:searchEntries"

Ersetzen Sie Folgendes:

  • ADDITIONAL_KEYWORDS (optional): zusätzliche Keywords oder Suchkriterien, um die Ergebnisse einzugrenzen (z. B. displayName:'My Data Product' oder description:'sales')
  • PROJECT_ID: die ID Ihres Google Cloud-Projekts, in dem das Datenprodukt erstellt wird

Zugriff auf Datenprodukte anfordern

Wenn Sie als Nutzer eines Datenprodukts keine IAM-Berechtigungen für den Zugriff auf ein Datenprodukt haben, können Sie über die integrierten Genehmigungsworkflows für den Zugriff Zugriff anfordern.

Zugriffsanfrage senden

Console

  1. Rufen Sie in der Google Cloud Console die Seite Datenprodukte im Knowledge Catalog auf.

    Zu „Datenprodukte“

  2. Klicken Sie auf das Datenprodukt, auf das Sie zugreifen möchten.

  3. Klicken Sie auf Zugriffsanfrage.

  4. Geben Sie im Bereich Anfragedetails die folgenden Parameter an:

    • Zugriffsgruppen: Wählen Sie die funktionale Zugriffsgruppe aus, der Sie beitreten möchten.

    • Selbst oder Dienstkonto: Wählen Sie den Prinzipaltyp aus:

      • Wenn Sie Zugriff für sich selbst anfordern, wählen Sie Self (Selbst) aus.

      • Wenn Sie Zugriff für die programmatische Identität anfordern, wählen Sie Dienstkonto aus. Diese Option ist nur verfügbar, wenn das Datenprodukt Dienstkonten unterstützt.

    • Begründung: Geben Sie eine geschäftliche Begründung für Ihren Antrag ein.

  5. Klicken Sie auf Senden.

Für den Eigentümer des Datenprodukts wird eine neue Änderungsanfrage generiert, die er prüfen kann. Sie erhalten eine E‑Mail-Benachrichtigung mit dem endgültigen Status, sobald die Anfrage genehmigt oder abgelehnt wurde.

REST

Nutzer von Datenprodukten mit der Berechtigung dataplex.dataProducts.get können Zugriff anfordern, indem sie eine ChangeRequest-Ressource erstellen. Senden Sie eine POST-Anfrage an den Endpunkt der Datenproduktressource mit der benutzerdefinierten Methode :requestAccess:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
  "parent": "projects/PROJECT_ID/locations/LOCATION/dataProducts/DATA_PRODUCT_ID",
  "change_request": {
    "justification": "JUSTIFICATION_TEXT",
    "data_product_access_request": {
      "parent": "projects/PROJECT_ID/locations/LOCATION/dataProducts/DATA_PRODUCT_ID",
      "access_group_id": "DATA_PRODUCT_ACCESS_GROUP_ID"
    }
  }
}' \
"https://dataplex.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataProducts/DATA_PRODUCT_ID:requestAccess"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID Ihres Google Cloud -Projekts

  • LOCATION: die Region, in der das Datenprodukt vorhanden ist (z. B. us-central1)

  • DATA_PRODUCT_ID: die eindeutige Kennung des Zieldatenprodukts

  • JUSTIFICATION_TEXT: Der geschäftliche Grund, aus dem der Zugriff erforderlich ist

  • DATA_PRODUCT_ACCESS_GROUP_ID: die ID der spezifischen Zugriffsgruppe, der Sie beitreten möchten

Status von Zugriffsanfragen ansehen

Als Nutzer von Datenprodukten können Sie den Fortschritt und den Lebenszyklus Ihrer eingereichten Zugriffsanfragen verfolgen. Im Knowledge Catalog werden diese Anfragen anhand unterschiedlicher Status verfolgt und angezeigt, je nachdem, ob Sie eine einheitliche Workflow-Liste oder eine Zugriffszusammenfassung für ein bestimmtes Produkt aufrufen.

Einheitliche Liste Ihrer Zugriffsanfragen ansehen

So rufen Sie eine umfassende Liste aller von Ihnen eingereichten Zugriffsanfragen für alle Datenprodukte auf:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Governance-Workflows des Knowledge Catalog auf.

    Governance-Workflows aufrufen

  2. Klicken Sie auf den Tab Meine Anfragen.

  3. Sehen Sie sich die einheitliche Liste mit Ihren bisherigen und ausstehenden Anfragen sowie deren aktuellen Workflow-Status an:

    • Neu: Die Zugriffsanfrage wurde erstellt und muss noch vom Genehmiger überprüft werden.

    • Genehmigt: Die Anfrage wurde genehmigt, aber der Zugriff wird noch von den Backend-Systemen bereitgestellt.

    • Abgelehnt: Die Anfrage wurde abgelehnt. Sehen Sie sich die Kommentare des Genehmigers an, um die Begründung für die Ablehnung zu erfahren.

REST

Senden Sie eine GET-Anfrage mit der benutzerdefinierten Sammlungsmethode :listMine:

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
"https://dataplex.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/changeRequests:listMine"

Zusammenfassung der Zugriffsberechtigungen für ein bestimmtes Datenprodukt ansehen

Zusätzlich zur globalen Workflow-Liste können Sie Ihre Zugriffsposition für ein einzelnes Datenprodukt prüfen. So können Sie prüfen, ob Sie bereits geerbten Zugriff auf eine Asset-Gruppe haben, ohne eine neue Anfrage stellen zu müssen.

So rufen Sie die Zugriffsübersicht für ein Datenprodukt auf:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Datenprodukte im Knowledge Catalog auf.

    Zu „Datenprodukte“

  2. Klicken Sie auf das Datenprodukt, das Sie untersuchen möchten.

  3. Klicken Sie auf den Tab Zusammenfassung des Zugriffs. Prüfen Sie Ihren Status für alle Zugriffsgruppen für dieses Datenprodukt.

    Auf dem Tab Zusammenfassung des Zugriffs werden die folgenden Status verwendet:

    Status Beschreibung
    Kein Zugriff Sie haben keinen Zugriff auf die Zugriffsgruppe und haben noch keinen Zugriff angefordert.
    Wird überprüft Sie haben einen Antrag auf Zugriff gestellt. Dieser muss noch von einem Genehmiger überprüft werden.
    Genehmigt Ihre Zugriffsanfrage wurde genehmigt, aber die Übertragung der Mitgliedschaft an die zugrunde liegende Google-Gruppe wird noch verarbeitet.
    Zugriff gewährt Der Zugriff ist vollständig aktiv. Sie sind Mitglied der Zugriffsgruppe und können mit den Assets des Datenprodukts interagieren.
    Abgelehnt Ihre Zugriffsanfrage für diese Zugriffsgruppe wurde abgelehnt.

REST

Senden Sie eine GET-Anfrage mit der eindeutigen ID, die bei der ursprünglichen Erstellung der Anfrage zurückgegeben wurde:

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
"https://dataplex.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/changeRequests/CHANGE_REQUEST_ID"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID Ihres Google Cloud -Projekts

  • LOCATION: die Region, in der das Datenprodukt vorhanden ist (z. B. us-central1)

  • CHANGE_REQUEST_ID: die eindeutige ID Ihres eingereichten Änderungsantrags

Zugriffsanfrage löschen

  1. Rufen Sie in der Google Cloud Console die Seite Governance-Workflows des Knowledge Catalog auf.

    Governance-Workflows aufrufen

  2. Klicken Sie auf den Tab Meine Anfragen.

  3. Suchen Sie die Zeile mit Ihrer Anfrage für das Zieldatenprodukt. Wenden Sie bei Bedarf einen Filter an, um den Eintrag zu isolieren.

  4. Klicken Sie auf  Aktionen und dann auf Löschen.

Datenprodukte nutzen

Damit Sie ein Datenprodukt verwenden können, müssen Ihnen die erforderlichen Berechtigungen gewährt werden. Weitere Informationen finden Sie unter Zugriff auf Datenprodukte anfordern.

Nachdem der Inhaber des Datenprodukts Ihnen die Berechtigung erteilt hat, können Sie auf das Datenprodukt und seine Assets zugreifen. Wenn Sie beispielsweise Berechtigungen für den Zugriff auf eine BigQuery-Tabelle haben, können Sie sie direkt in BigQuery abfragen, um Statistiken zu generieren.

Mit Nutzeranmeldedaten auf Assets zugreifen

Wenn Ihre Zugriffsanfrage für Ihre Nutzeranmeldedaten genehmigt wurde, gehen Sie so vor, um auf die Assets zuzugreifen:

  1. Nach dem Datenprodukt suchen
  2. Klicken Sie in den Suchergebnissen auf das Datenprodukt, das Sie verwenden möchten.
  3. Klicken Sie auf den Tab Assets.

  4. Klicken Sie auf das Asset, dessen Details Sie aufrufen möchten. Dadurch wird die Detailseite des Eintrags geöffnet.

    Sie können auf Details wie Schema, Statistiken und Herkunft zugreifen. Wenn es sich bei dem Asset um eine BigQuery-Tabelle oder -Ansicht handelt, können Sie auf In BigQuery öffnen klicken, um zu BigQuery Studio zu wechseln und die Ergebnisse abzufragen.

Mit einem Dienstkonto auf Assets zugreifen

Wenn Ihr Antrag auf Zugriff auf ein Dienstkonto genehmigt wurde, erhalten Sie die IAM-Rolle „Ersteller von Dienstkonto-Tokens“ (roles/iam.serviceAccountTokenCreator) für das Dienstkonto des Datenproduzenten. So können Sie eine Identitätswechselkette erstellen, um auf die zugrunde liegenden Assets zuzugreifen.

So greifen Sie mit einem Dienstkonto auf Assets zu:

  1. Die konfigurierten Dienstkonten für das Datenprodukt finden Sie auf dem Tab Data Assets (Daten-Assets) auf der Detailseite des Datenprodukts.

  2. Um die Identität des Dienstkontos des Datenproduzenten zu übernehmen, erstellen Sie mit dem folgenden Google Cloud CLI-Befehl eine Identitätsübernahmekette für Ihr Dienstkonto:

    gcloud config set auth/impersonate_service_account CONSUMER_SERVICE_ACCOUNT,PRODUCER_SERVICE_ACCOUNT

    Ersetzen Sie Folgendes:

    • CONSUMER_SERVICE_ACCOUNT: die vollständig qualifizierte E-Mail-Adresse des Dienstkontos des Data Product-Nutzer

    • PRODUCER_SERVICE_ACCOUNT: die voll qualifizierte E-Mail-Adresse des Dienstkontos, das der Zugriffsgruppe für das Datenprodukt zugeordnet ist.

    Weitere Informationen finden Sie unter Identitätsübernahme des Dienstkontos.

Über einen Remote-MCP-Server auf Datenprodukte zugreifen

Für Clientanwendungen und Entwicklungstools, die außerhalb des Google Cloud Ökosystems mit Ihren Datenprodukten interagieren, können Sie einen Remote-MCP-Server (Model Context Protocol) verwenden. Mit diesem Architekturmuster können externe Entwicklerclients katalogisierte Daten-Assets sicher abfragen und ermitteln, während einheitliche Governance-Grenzen eingehalten werden.

Informationen zum Bereitstellen und Herstellen einer Verbindung zu einem externen Server finden Sie unter Remote-MCP-Server des Knowledge Catalog verwenden.

Nächste Schritte