As of April 20th, 2026, BigLake is now called Lakehouse for Apache Iceberg. BigLake metastore is now called the Lakehouse runtime catalog. Lakehouse APIs, client libraries, CLI commands, and IAM names remain unchanged and still reference BigLake.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Lakehouse for Apache Iceberg: בקרת גישה באמצעות IAM

כדי לנהל את בקרת הגישה ל-Lakehouse for Apache Iceberg, צריך להוסיף משתמשים ל Google Cloud פרויקט ולהקצות להם תפקידים מתאימים. כברירת מחדל, בפרויקטים ניתנת גישה רק ליוצר המקורי. משתמשים נוספים לא יכולים לגשת למשאבים עד שמוסיפים אותם כחברים בפרויקט או עד שמקשרים אותם למשאבים ספציפיים.

מה זה IAM?

‫Google Cloud כולל את הממשק לניהול הזהויות והרשאות הגישה (IAM), שבאמצעותו אתם יכולים לתת גישה פרטנית יותר למשאבים ספציפיים ב- Google Cloud ולמנוע גישה לא רצויה למשאבים אחרים. בעזרת IAM תוכלו לשמור על עקרון האבטחה של הרשאות מינימליות, וכך לתת רק למי שצריך את רמת הגישה שצריך למשאבים השונים ב-Lakehouse.

בנוסף, באמצעות כללי המדיניות ב-IAM תוכלו לקבוע למי (זהות) יש אילו הרשאות (תפקידים) לאילו משאבים. כללי המדיניות ב-IAM מקצים תפקידים ספציפיים לחברי פרויקט, וכך נותנים לזהות הרשאות מסוימות. לדוגמה, תוכלו לתת לחשבון Google מסוים את התפקיד roles/biglake.admin בפרויקט ספציפי. כך, המשתמש באותו חשבון יוכל לשלוט במשאבי Lakehouse בפרויקט אבל לא לנהל משאבים אחרים. אפשר גם להשתמש ב-IAM כדי לנהל את התפקידים הבסיסיים שניתנו לחברי צוות הפרויקט.

אפשרויות בקרת גישה למשתמשים

כדי לאפשר למשתמשים ליצור ולנהל את המשאבים שלכם ב-Lakehouse, אתם יכולים להוסיף אותם כחברי צוות לפרויקט או למשאבים ספציפיים ולהעניק להם הרשאות באמצעות תפקידים ב-IAM.

חבר צוות יכול להיות משתמש פרטי עם חשבון Google תקף, קבוצת Google, חשבון שירות או דומיין Google Workspace. כשמוסיפים חבר צוות לפרויקט או למשאב, מציינים אילו תפקידים להקצות לו. ב-IAM יש שלושה סוגים של תפקידים: תפקידים מוגדרים מראש, תפקידים בסיסיים ותפקידים בהתאמה אישית.

כדי לראות רשימה של היכולות של כל תפקיד ב-Lakehouse ושל שיטות ה-API שהרשאה ספציפית מאפשרת, אפשר לעיין במאמר תפקידי IAM ב-Lakehouse.

למידע על סוגים אחרים של חברים, כמו חשבונות שירות וקבוצות, אפשר לעיין בהפניה לקישור מדיניות.

חשבונות שירות

כשקוראים לממשקי Lakehouse API כדי לבצע פעולות בפרויקט שבו נמצא השירות שלכם, Lakehouse מבצע את הפעולות האלה בשמכם באמצעות חשבון שירות של סוכן שירות לכל קטלוג. חשבונות השירות האלה משמשים את הקטלוג של זמן הריצה של Lakehouse, ומוקצה להם התפקיד roles/biglake.serviceAgent בפרויקט.

מדיניות IAM למשאבים

אפשר להעניק גישה למשאבי Lakehouse על ידי צירוף מדיניות IAM ישירות למשאבים האלה, כמו שירות Lakehouse. מדיניות IAM מאפשרת לכם לנהל תפקידי IAM במשאבים האלה במקום לנהל תפקידים ברמת הפרויקט, או בנוסף לכך. כך תוכלו ליישם את העיקרון של הרשאות מינימליות, כלומר להעניק גישה רק למשאבים הספציפיים שמשתפי הפעולה צריכים כדי לבצע את העבודה שלהם.

המשאבים יורשים גם את המדיניות של משאבי ההורה שלהם. אם תגדירו מדיניות ברמת הפרויקט, היא תעבור בירושה לכל המשאבים הצאצאים. המדיניות בפועל של משאב היא האיחוד של המדיניות שהוגדרה למשאב הזה והמדיניות שהוא יורש מרמות גבוהות יותר בהיררכיה. מידע נוסף זמין במאמר היררכיית מדיניות IAM.

אפשר לקבל ולהגדיר מדיניות IAM באמצעות Google Cloud המסוף, ה-API לניהול זהויות והרשאות גישה או Google Cloud CLI.

לגבי מסוף Google Cloud , אפשר לקרוא את המאמר בקרת גישה באמצעות מסוףGoogle Cloud .
למידע על ה-API, ראו בקרת גישה באמצעות ה-API.
ל-Google Cloud CLI, אפשר לעיין במאמר בנושא בקרת גישה באמצעות Google Cloud CLI.

Lakehouse for Apache Iceberg: בקרת גישה באמצעות IAM קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

מה זה IAM?

אפשרויות בקרת גישה למשתמשים

חשבונות שירות

מדיניות IAM למשאבים

המאמרים הבאים

Lakehouse for Apache Iceberg: בקרת גישה באמצעות IAM