O Looker (Google Cloud Core) usa o Identity and Access Management (IAM) para provisionar o acesso de usuários e administradores usando um conjunto de papéis do IAM. Para uma descrição detalhada do Google Cloud IAM, consulte a documentação do IAM.
O que é Identity and Access Management (IAM)
O IAM permite controlar quem tem acesso aos recursos do Google Cloud projeto. Com o IAM, é possível adotar o princípio de privilégio mínimo, para conceder apenas o acesso necessário aos recursos.
Os Principais são o "quem" do IAM. Eles podem ser usuários individuais, grupos ou domínios do Workspace. Os Principais recebem papéis que permitem executar ações com o Looker (Google Cloud Core) e de maneira mais geral. Google Cloud Cada papel se baseia em um conjunto de uma ou mais permissões. As permissões são as unidades básicas do IAM: cada uma permite que um principal execute uma determinada ação.
Por exemplo, a permissão looker.instances.login permite que um principal faça login em instâncias do Looker (Google Cloud Core). Essa permissão está incluída em vários papéis predefinidos, incluindo o papel de administrador do Looker (roles/looker.admin) e o papel de usuário da instância do Looker (roles/looker.instanceUser).
Papel necessário
Para receber as permissões necessárias para atribuir papéis do IAM do Looker (Google Cloud Core), peça ao administrador para conceder a você o papel de administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) no projeto em que a instância foi criada.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.
Papéis do IAM x papéis do Looker
Dois tipos diferentes de papéis concedem permissões para o Looker (Google Cloud Core): papéis do IAM e papéis do Looker.
Papéis do IAM do Looker:esses tipos de papéis regem as seguintes habilidades:
- Recursos dos usuários no Google Cloud console em relação ao Looker (Google Cloud Core)
Quando usados com o OAuth, eles também regem as seguintes habilidades:
- Capacidade dos usuários de fazer login em uma instância do Looker (Google Cloud Core)
- Se os usuários recebem ou não automaticamente o papel do Looker Admin via IAM depois de fazer login em uma instância do Looker (Google Cloud Core). Para mais informações, consulte a documentação Autenticação e autorização com OAuth e IAM.
Consulte a documentação do IAM para saber como conceder papéis do IAM.
Papéis do Looker:esses tipos de papéis regem o que os usuários podem fazer depois de fazer login em uma instância do Looker (Google Cloud Core). Consulte as páginas de documentação Papéis e Grupos para saber como conceder papéis do Looker.
Os papéis do Looker são atribuídos ou revogados em uma instância do Looker (Google Cloud Core), com exceção do papel do Looker Admin via IAM, que só pode ser atribuído ou revogado pelo IAM. Os papéis do IAM só podem ser atribuídos ou revogados no Google Cloud console.
Papéis do IAM do Looker (Google Cloud Core)
Três papéis predefinidos para usuários do Looker (Google Cloud Core) estão disponíveis. Esses papéis são concedidos no nível do Google Cloud projeto e controlam o acesso de maneira uniforme para todas as instâncias do Looker (Google Cloud Core) em um Google Cloud projeto. Se um usuário estiver se autenticando com OAuth, o papel do IAM atribuído a cada principal também afetará quais papéis do Looker serão atribuídos ao fazer login na instância.
| Nome do papel | Permissões |
|---|---|
Leitor do Looker
Acesso somente leitura a todos os recursos do Looker (Google Cloud Core) no Google Cloud console. |
looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Usuário da instância do Looker
Acesso para fazer login em uma instância do Looker (Google Cloud Core). |
looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list |
Leitor de esquemas do Looker
Acesso aos dados de esquema do Looker (Google Cloud Core) no Knowledge Catalog. |
looker.schemas.view |
Administrador do Looker
Acesso total a todos os recursos do Looker (Google Cloud Core). |
looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list looker.schemas.view resourcemanager.projects.get resourcemanager.projects.list |
Pelo menos um principal precisa ter o papel do IAM de administrador do Looker (roles/looker.admin).
Se os papéis predefinidos não fornecerem o conjunto de permissões desejado, você também poderá criar seus próprios papéis personalizados.
A seguir
- Usar o Google OAuth para autenticação de usuários do Looker (Google Cloud Core)
- Gerenciar usuários no Looker (Google Cloud Core)
- Configurar uma instância do Looker (Google Cloud Core)
- Configurações de administrador do Looker (Google Cloud Core)
- Administrar uma instância do Looker (Google Cloud Core) no console do Google Cloud