Lakehouse pour Apache Iceberg est compatible avec le contrôle des accès au niveau du catalogue, de l'espace de noms et de la table pour les tables Apache Iceberg dans Cloud Storage qui utilisent le catalogue d'exécution Lakehouse.
Le catalogue d'exécution Lakehouse gère les métadonnées, tandis que les stratégies de Identity and Access Management (IAM) définissent les autorisations. Vous pouvez utiliser la
Google Cloud console ou la gcloud CLI pour obtenir et définir ces stratégies IAM.
Avant de commencer
-
Vérifiez que la facturation est activée pour votre Google Cloud projet.
-
Activez l'API BigLake.
Rôles requis pour activer les API
Pour activer les API, vous avez besoin du rôle IAM Administrateur d'utilisation du service (
roles/serviceusage.serviceUsageAdmin), qui contient l'autorisationserviceusage.services.enable. Découvrez comment attribuer des rôles. - Installez et initialisez le Google Cloud SDK.
- Vérifiez que vous disposez d'un point de terminaison et d'un espace de noms de catalogue REST Apache Iceberg existants.
- Vérifiez que vous disposez d'une table Lakehouse Iceberg existante dans le catalogue et l'espace de noms spécifiés.
Rôles requis
Pour obtenir les autorisations nécessaires pour gérer les listes de contrôle d'accès (LCA) pour les catalogues, les espaces de noms et les tables Iceberg, demandez à votre administrateur de vous accorder les rôles IAM suivants :
-
Tous :
Administrateur BigLake (
roles/biglake.admin) sur pour le projet
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Fonctionnement
Les stratégies IAM définissent les comptes principaux qui disposent de rôles et d'autorisations spécifiques pour une ressource. Vous pouvez gérer l'accès à vos ressources en obtenant et en définissant ces stratégies.
Champ d'application des rôles IAM
Vous pouvez accorder des rôles IAM à différents niveaux de la hiérarchie des ressources :
- Niveau du projet : accorde l'accès à toutes les ressources Lakehouse du projet.
- Niveau du catalogue : accorde l'accès aux ressources appartenant au catalogue spécifié.
- Niveau de l'espace de noms : accorde l'accès aux ressources appartenant à l'espace de noms spécifié.
- Niveau de la table : accorde l'accès uniquement à la table spécifiée.
Rôles IAM pertinents
La liste suivante présente certains des rôles IAM courants que vous pouvez appliquer aux ressources Lakehouse. Pour obtenir la liste complète des rôles disponibles et des autorisations associées, consultez Rôles IAM Lakehouse.
roles/biglake.admin: fournit un contrôle total sur les ressources Lakehouse.roles/biglake.user: permet aux comptes principaux d'utiliser les ressources Lakehouse, y compris de lire et d'écrire des données de table.roles/biglake.viewer: permet aux comptes principaux d'afficher les ressources Lakehouse et de lire les données de table.
Bonnes pratiques
- Moindre privilège : n'accordez que les autorisations nécessaires aux utilisateurs et aux comptes de service.
- Utiliser des ETag : incluez toujours l'
etagd'un appelget-iam-policyrécent dans votre fichier de stratégie lorsque vous utilisezset-iam-policypour éviter les remplacements involontaires. - Audit Logging : assurez-vous que Cloud Audit Logs est activé pour suivre les modifications apportées aux stratégies IAM.
- Gestion des versions : stockez vos fichiers de stratégie dans un système de contrôle des versions.
Appliquer des rôles de LCA aux catalogues
La section suivante explique comment appliquer des LCA aux catalogues.
gcloud
Obtenir la stratégie IAM
Pour afficher la stratégie IAM actuelle sur un catalogue Lakehouse
Iceberg, utilisez la gcloud alpha biglake iceberg catalogs
get-iam-policy
commande.
Pour obtenir la stratégie IAM, exécutez la commande suivante :
gcloud alpha biglake iceberg catalogs get-iam-policy CATALOG_NAME \ --project=PROJECT_IDRemplacez les éléments suivants :
CATALOG_NAME: nom du point de terminaison du catalogue REST Apache Iceberg.PROJECT_ID: ID de votre Google Cloud projet.
La commande génère la stratégie IAM au format YAML, qui affiche les liaisons et les membres de rôle actuels.
Définir la stratégie IAM
Pour mettre à jour la stratégie IAM sur un catalogue Lakehouse Iceberg, utilisez la gcloud alpha biglake iceberg catalogs set-iam-policy commande.
Cette commande utilise un fichier JSON ou YAML local contenant la stratégie que vous souhaitez appliquer.
Créez un fichier de stratégie local au format JSON ou YAML. Le fichier de stratégie doit contenir les liaisons et un
etag. La valeuretagfournit un contrôle d'accès concurrentiel optimiste pour éviter d'écraser les modifications. Pour obtenir l'etagactuel, exécutez d'abord la commandeget-iam-policy.L'exemple suivant montre un fichier de stratégie nommé
policy.json:{ "bindings": [ { "role": "roles/biglake.viewer", "members": [ "user:test-user@example.com" ] }, { "role": "roles/biglake.user", "members": [ "user:someone@example.com" ] } ], "etag": "BwYXa9UuR8w=", "version": 3 }Pour définir la stratégie IAM, exécutez la commande suivante :
gcloud alpha biglake iceberg catalogs set-iam-policy CATALOG_NAME POLICY_FILE \ --project=PROJECT_IDRemplacez les éléments suivants :
CATALOG_NAME: nom du point de terminaison du catalogue REST Apache Iceberg.POLICY_FILE: chemin d'accès à votre fichier de stratégie local.PROJECT_ID: ID de votre projet. Google Cloud
Appliquer des rôles de LCA aux espaces de noms
La section suivante explique comment appliquer des LCA aux espaces de noms.
La Google Cloud console n'affiche ni ne gère les stratégies IAM héritées.
Console
Dans la Google Cloud console, ouvrez la page Lakehouse.
Sélectionnez un catalogue existant ou créez-en un si vous n'en avez pas.
Dans le tableau Détails de l'espace de noms, sélectionnez un espace de noms et développez les options du menu ().
Cliquez sur Gérer les autorisations.
La boîte de dialogue Partager les autorisations s'affiche.
Cliquez sur Ajouter un compte principal.
Dans le champ Nouveaux comptes principaux, saisissez le compte principal auquel vous souhaitez attribuer des rôles.
Dans Sélectionner un rôle, choisissez un rôle à attribuer au compte principal.
Cliquez sur Enregistrer.
Cliquez sur Fermer.
gcloud
Obtenir la stratégie IAM
Pour afficher la stratégie IAM actuelle sur un espace de noms Lakehouse
Iceberg, utilisez la gcloud alpha biglake iceberg namespaces
get-iam-policy
commande.
Pour obtenir la stratégie IAM, exécutez la commande suivante :
gcloud alpha biglake iceberg namespaces get-iam-policy NAMESPACE_NAME \ --catalog=CATALOG_NAME \ --project=PROJECT_IDRemplacez les éléments suivants :
NAMESPACE_NAME: nom de l'espace de noms cible dans le catalogue.CATALOG_NAME: nom du point de terminaison du catalogue REST Apache Iceberg.PROJECT_ID: ID de votre Google Cloud projet.
La commande génère la stratégie IAM au format YAML, qui affiche les liaisons et les membres de rôle actuels.
Définir la stratégie IAM
Pour mettre à jour la stratégie IAM sur un espace de noms Lakehouse Iceberg, utilisez la commande gcloud alpha biglake iceberg namespaces set-iam-policy.
Cette commande utilise un fichier JSON ou YAML local contenant la stratégie que vous souhaitez appliquer.
Créez un fichier de stratégie local au format JSON ou YAML. Le fichier de stratégie doit contenir les liaisons et un
etag. La valeuretagfournit un contrôle d'accès concurrentiel optimiste pour éviter d'écraser les modifications. Pour obtenir l'etagactuel, exécutez d'abord la commandeget-iam-policy.L'exemple suivant montre un fichier de stratégie nommé
policy.json:{ "bindings": [ { "role": "roles/biglake.viewer", "members": [ "user:test-user@example.com" ] }, { "role": "roles/biglake.user", "members": [ "user:someone@example.com" ] } ], "etag": "BwYXa9UuR8w=", "version": 3 }Pour définir la stratégie IAM, exécutez la commande suivante :
gcloud alpha biglake iceberg namespaces set-iam-policy NAMESPACE_NAME POLICY_FILE \ --catalog=CATALOG_NAME \ --project=PROJECT_IDRemplacez les éléments suivants :
NAMESPACE_NAME: nom de l'espace de noms cible dans le catalogue.POLICY_FILE: chemin d'accès à votre fichier de stratégie local.CATALOG_NAME: nom du point de terminaison du catalogue REST Apache Iceberg.PROJECT_ID: ID de votre projet. Google Cloud
Appliquer des rôles de LCA aux tables
La section suivante explique comment appliquer des LCA aux tables.
La Google Cloud console n'affiche ni ne gère les stratégies IAM héritées.
Console
Dans la Google Cloud console, ouvrez la page Lakehouse.
Sélectionnez un catalogue existant ou créez-en un si vous n'en avez pas.
Dans le tableau Détails de l'espace de noms, cliquez sur le nom de l'espace de noms contenant votre table.
Sur la page Détails de la table, sélectionnez une table et développez les options du menu ().
Cliquez sur Gérer les autorisations.
La boîte de dialogue Partager les autorisations s'affiche.
Cliquez sur Ajouter un compte principal.
Dans le champ Nouveaux comptes principaux, saisissez le compte principal auquel vous souhaitez attribuer des rôles.
Dans Sélectionner un rôle, choisissez un rôle à attribuer au compte principal.
Cliquez sur Enregistrer.
Cliquez sur Fermer.
gcloud
Obtenir la stratégie IAM
Pour afficher la stratégie IAM actuelle sur une table Lakehouse
Iceberg, utilisez la gcloud biglake iceberg tables
get-iam-policy
commande.
Pour obtenir la stratégie IAM, exécutez la commande suivante :
gcloud biglake iceberg tables get-iam-policy TABLE_NAME \ --catalog=CATALOG_NAME \ --namespace=NAMESPACE_NAME \ --project=PROJECT_IDRemplacez les éléments suivants :
TABLE_NAME: nom de la table Lakehouse Iceberg cible.CATALOG_NAME: nom du point de terminaison du catalogue REST Apache Iceberg.NAMESPACE_NAME: nom de l'espace de noms dans le catalogue.PROJECT_ID: ID de votre Google Cloud projet.
La commande génère la stratégie IAM au format YAML, qui affiche les liaisons et les membres de rôle actuels.
Définir la stratégie IAM
Pour mettre à jour la stratégie IAM sur une table Lakehouse Iceberg, utilisez la commande gcloud biglake iceberg tables set-iam-policy.
Cette commande utilise un fichier JSON ou YAML local contenant la stratégie que vous souhaitez appliquer.
Créez un fichier de stratégie local au format JSON ou YAML. Le fichier de stratégie doit contenir les liaisons et un
etag. La valeuretagfournit un contrôle d'accès concurrentiel optimiste pour éviter d'écraser les modifications. Pour obtenir l'etagactuel, exécutez d'abord la commandeget-iam-policy.L'exemple suivant montre un fichier de stratégie nommé
policy.json:{ "bindings": [ { "role": "roles/biglake.viewer", "members": [ "user:test-user@example.com" ] }, { "role": "roles/biglake.user", "members": [ "user:someone@example.com" ] } ], "etag": "BwYXa9UuR8w=", "version": 3 }Pour définir la stratégie IAM, exécutez la commande suivante :
gcloud biglake iceberg tables set-iam-policy TABLE_NAME POLICY_FILE \ --catalog=CATALOG_NAME \ --namespace=NAMESPACE_NAME \ --project=PROJECT_IDRemplacez les éléments suivants :
TABLE_NAME: nom de la table Lakehouse Iceberg cible.POLICY_FILE: chemin d'accès à votre fichier de stratégie local.CATALOG_NAME: nom du point de terminaison du catalogue REST Apache Iceberg.NAMESPACE_NAME: nom de l'espace de noms dans le catalogue.PROJECT_ID: ID de votre projet. Google Cloud
Étape suivante
- Apprenez-en plus sur IAM.
- Consultez la liste complète des rôles et autorisations IAM Lakehouse.
- Découvrez les concepts Lakehouse.