Für die Verwaltung der Zugriffssteuerung für Lakehouse for Apache Iceberg müssen Nutzer einem Google Cloud -Projekt hinzugefügt und entsprechende Rollen zugewiesen werden. Standardmäßig gewähren Projekte nur dem ursprünglichen Ersteller Zugriff. Zusätzliche Nutzer können erst dann auf Ressourcen zugreifen, wenn sie als Projektmitglieder hinzugefügt oder an bestimmte Ressourcen gebunden werden.
Was ist IAM?
Google Cloud bietet Identity and Access Management (IAM), mit dem sich der Zugriff auf einzelne Ressourcen von Google Cloud präzise steuern und unerwünschter Zugriff auf andere Ressourcen verhindern lässt. Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen in *Lakehouse* zu gewähren.
Durch das Festlegen von IAM-Richtlinien können Sie steuern, wer (Identität) welche Berechtigungen (Rollen) für welche Ressourcen hat.
Anhand von IAM-Richtlinien werden einem Projektmitglied bestimmte Rollen zugewiesen, mit denen wiederum bestimmte Berechtigungen verknüpft sind. Für eine bestimmte Ressource, z. B. ein Projekt, können Sie einem Google-Konto die Rolle roles/biglake.admin zuweisen. Dieses Konto kann dann Lakehouse-Ressourcen im Projekt steuern, jedoch keine anderen Ressourcen verwalten. Mit IAM können Sie außerdem die grundlegenden Rollen von Projektteammitgliedern verwalten.
Zugriffssteuerungsoptionen für Nutzer
Damit Nutzer Ihre Lakehouse-Ressourcen erstellen und verwalten können, können Sie sie Ihrem Projekt oder bestimmten Ressourcen als Teammitglieder hinzufügen und ihnen Berechtigungen mithilfe von IAM-Rollen erteilen.
Teammitglieder können einzelne Nutzer mit gültigem Google-Konto sowie Google-Gruppen, Dienstkonten oder Google Workspace-Domains sein. Wenn Sie einem Projekt oder einer Ressource ein Teammitglied hinzufügen, geben Sie an, welche Rollen Sie dem Mitglied zuweisen möchten. IAM bietet drei Arten von Rollen: vordefinierte Rollen, einfache Rollen und benutzerdefinierte Rollen.
Eine Liste der Funktionen jeder Lakehouse-Rolle und der API-Methoden, für die eine bestimmte Rolle Berechtigungen gewährt, finden Sie unter Lakehouse-IAM-Rollen.
Informationen zu anderen Mitgliedstypen wie Dienstkonten und Gruppen finden Sie in der Referenz für Richtlinienbindungen.
Dienstkonten
Wenn Sie Lakehouse APIs aufrufen, um Aktionen in einem Projekt auszuführen, in dem sich Ihr Dienst befindet, führt Lakehouse diese Aktionen für Sie aus. Dazu wird ein Dienstkonto des Service Agents pro Katalog verwendet.
Diese Dienstkonten werden vom Lakehouse-Laufzeitkatalog verwendet und haben die Rolle roles/biglake.serviceAgent für Ihr Projekt.
IAM-Richtlinien für Ressourcen
Sie können den Zugriff auf Lakehouse-Ressourcen gewähren, indem Sie IAM-Richtlinien direkt an diese Ressourcen anhängen, z. B. an einen Lakehouse-Dienst. Mit einer IAM-Richtlinie können Sie IAM-Rollen auf diesen Ressourcen anstatt oder zusätzlich zur Rollenverwaltung auf Projektebene verwalten. So können Sie das Prinzip der geringsten Berechtigung flexibel anwenden. Hierbei gewähren Sie Zugriff nur auf bestimmte Ressourcen, die Mitbearbeiter für ihre Arbeit benötigen.
Ressourcen erben auch die Richtlinien der ihnen übergeordneten Ressourcen. Wenn Sie auf Projektebene eine Richtlinie festlegen, wird sie von allen untergeordneten Ressourcen übernommen. Die geltende Richtlinie für eine Ressource ist die Kombination aus der für diese Ressource festgelegten Richtlinie und der Richtlinie, die von weiter oben in der Hierarchie übernommen wird. Weitere Informationen finden Sie unter IAM-Richtlinienhierarchie.
Sie können IAM-Richtlinien mithilfe der Google Cloud -Console, der Identity and Access Management API oder der Google Cloud CLI abrufen und festlegen.
- Informationen zur Google Cloud Konsole finden Sie unter Zugriffssteuerung mit derGoogle Cloud Konsole.
- Für die API siehe Zugriffssteuerung über die API
- Informationen zur Google Cloud CLI finden Sie unter Zugriffssteuerung mit der Google Cloud CLI.