Mengelola kontrol akses untuk Lakehouse for Apache Iceberg memerlukan penambahan pengguna ke Google Cloud project dan penetapan peran yang sesuai. Secara default, project hanya memberikan akses kepada pembuat asli. Pengguna tambahan tidak dapat mengakses resource hingga ditambahkan sebagai anggota project atau terikat ke resource tertentu.
Apa itu IAM?
Google Cloud menawarkan Identity and Access Management (IAM), yang memungkinkan Anda memberikan akses secara lebih terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM memungkinkan Anda menerapkan prinsip hak istimewa terendah untuk keamanan, jadi Anda hanya memberikan akses yang diperlukan ke resource Anda dalam * Lakehouse*.
Dengan IAM, Anda juga dapat mengontrol siapa (identitas) yang memiliki izin apa (peran) untuk resource mana dengan menetapkan kebijakan IAM.
Kebijakan IAM memberikan peran tertentu kepada anggota project, sehingga identitas tersebut memiliki izin tertentu. Misalnya, untuk resource tertentu, seperti project, Anda dapat menetapkan peran roles/biglake.admin ke Akun Google dan akun tersebut dapat mengontrol resource Lakehouse dalam project, tetapi tidak dapat mengelola resource lain. Anda juga dapat menggunakan IAM untuk mengelola peran dasar yang diberikan kepada anggota tim project.
Opsi kontrol akses untuk pengguna
Agar pengguna dapat membuat dan mengelola resource Lakehouse, Anda dapat menambahkan mereka sebagai anggota tim ke project Anda atau ke resource tertentu dan memberi mereka izin menggunakan peran IAM.
Anggota tim dapat berupa pengguna perorangan dengan Akun Google yang valid, Google Grup, akun layanan, atau domain Google Workspace. Saat menambahkan anggota tim ke project atau ke resource, Anda menentukan peran yang akan diberikan kepada mereka. IAM menyediakan tiga jenis peran: peran standar, peran dasar, dan peran khusus.
Untuk melihat daftar kemampuan setiap peran Lakehouse dan metode API yang memberikan izin peran tertentu, lihat Peran IAM Lakehouse.
Untuk jenis anggota lainnya, seperti akun layanan dan grup, lihat Referensi binding kebijakan.
Akun layanan
Saat Anda memanggil Lakehouse API untuk melakukan tindakan dalam project
tempat layanan Anda berada, Lakehouse akan melakukan tindakan ini
atas nama Anda dengan menggunakan akun layanan
Agen Layanan per katalog.
Akun layanan ini digunakan oleh katalog runtime Lakehouse dan diberi peran roles/biglake.serviceAgent di project Anda.
Kebijakan IAM untuk resource
Anda dapat memberikan akses ke resource Lakehouse dengan melampirkan kebijakan IAM langsung ke resource tersebut, seperti layanan Lakehouse. Dengan kebijakan IAM, Anda dapat mengelola peran IAM pada resource tersebut, bukan mengelola peran di level project. Hal ini memberi Anda fleksibilitas untuk menerapkan prinsip hak istimewa terendah, yaitu memberikan akses hanya ke resource tertentu yang diperlukan kolaborator untuk melakukan pekerjaannya.
Resource juga mewarisi kebijakan resource induknya. Jika Anda menetapkan kebijakan di level project, kebijakan tersebut akan diwarisi oleh semua resource turunannya. Kebijakan yang efektif untuk suatu resource adalah gabungan kebijakan yang ditetapkan pada resource tersebut dan kebijakan yang diwariskan dari posisi yang lebih tinggi dalam hierarki. Untuk mengetahui informasi selengkapnya, lihat hierarki kebijakan IAM.
Anda dapat memperoleh dan menetapkan kebijakan IAM menggunakan Google Cloud konsol, Identity and Access Management API, atau Google Cloud CLI.
- Untukkonsol, lihat Kontrol akses dengan Google Cloud konsol. Google Cloud
- Untuk API, lihat Kontrol akses melalui API.
- Untuk Google Cloud CLI, lihat Kontrol akses dengan Google Cloud CLI.
Langkah berikutnya
- Pelajari lebih lanjut peran IAM Lakehouse.
- Pelajari cara menetapkan kebijakan di level project.