Per impostazione predefinita, tutti i Google Cloud progetti includono un unico utente: il Project Creator originale. Nessun altro utente ha accesso al progetto e quindi alle risorse Lakehouse finché un utente non viene aggiunto come membro del progetto o associato a una risorsa specifica.
Questa pagina spiega come aggiungere nuovi utenti al tuo progetto e impostare il controllo dell'accesso per le risorse Google Cloud Lakehouse.
Che cos'è IAM?
Google Cloud offre Identity and Access Management (IAM), che ti consente di concedere un accesso più granulare a determinate Google Cloud risorse e impedisce l'accesso indesiderato ad altre risorse. Con IAM puoi adottare il principio di sicurezza del privilegio minimo e quindi concedere solo l'accesso necessario alle tue risorse all'interno di * Lakehouse*.
IAM ti consente anche di controllare chi (un'identità) ha quali autorizzazioni (ruoli) per quali risorse impostando le policy IAM.
Le policy IAM assegnano ruoli specifici a un membro del progetto, concedendo all'identità determinate autorizzazioni. Ad esempio, per una determinata risorsa, come un progetto, puoi assegnare il ruolo roles/biglake.admin a un Account Google e questo account può controllare le risorse Lakehouse nel progetto, ma non può gestire altre risorse. Puoi anche utilizzare IAM per gestire i ruoli di base concessi ai membri del team di progetto.
Opzioni di controllo dell'accesso per gli utenti
Per consentire agli utenti di creare e gestire le risorse Lakehouse, puoi aggiungerli come membri del team al progetto o a risorse specifiche e concedere loro le autorizzazioni utilizzando i ruoli IAM.
Un membro del team può essere un singolo utente con un Account Google valido, un gruppo Google, un account di servizio o un dominio Google Workspace. Quando aggiungi un membro del team a un progetto o a una risorsa, devi specificare i ruoli da concedere. IAM fornisce tre tipi di ruoli: ruoli predefiniti, ruoli di base e ruoli personalizzati.
Per visualizzare un elenco delle funzionalità di ogni ruolo Lakehouse e dei metodi API a cui un ruolo specifico concede l'autorizzazione, consulta Ruoli IAM di Lakehouse.
Per altri tipi di membri, come service account e gruppi, consulta il riferimento all'associazione di policy .
Service account
Quando chiami le API Lakehouse per eseguire azioni in un progetto
in cui si trova il tuo servizio, Lakehouse esegue queste azioni
per tuo conto utilizzando un service account Service Agent per catalogo service
account.
Questi service account vengono utilizzati dal catalogo di runtime di Lakehouse e viene concesso il ruolo roles/biglake.serviceAgent nel tuo progetto.
Policy IAM per le risorse
Puoi concedere l'accesso alle risorse Lakehouse collegando le policy IAM direttamente a queste risorse, ad esempio un servizio Lakehouse. Una policy IAM ti consente di gestire i ruoli IAM su queste risorse anziché, o in aggiunta, gestire i ruoli a livello di progetto. In questo modo puoi applicare il principio del privilegio minimo, ovvero concedere l'accesso solo alle risorse specifiche di cui i collaboratori hanno bisogno per svolgere il proprio lavoro.
Le risorse ereditano anche le policy delle risorse padre. Se imposti una policy a livello di progetto, questa viene ereditata da tutte le risorse figlio. La policy applicata a una risorsa è data dall'unione della policy impostata per quella risorsa più la policy ereditata dal livello superiore della gerarchia. Per ulteriori informazioni, consulta la gerarchia delle policy IAM.
Puoi recuperare e impostare le policy IAM utilizzando la Google Cloud console, l'API Identity and Access Management o Google Cloud CLI.
- Per la Google Cloud console, consulta Controllo dell'accesso con la Google Cloud console.
- Per l'API, consulta Controllo dell'accesso tramite l'API.
- Per Google Cloud CLI, consulta Controllo dell'accesso con Google Cloud CLI.
Passaggi successivi
- Scopri di più sui ruoli Lakehouse IAM.
- Scopri come impostare le policy a livello di progetto.