Looker (Google Cloud Core) usa Identity and Access Management (IAM) para aprovisionar el acceso de usuarios y administradores a través de un conjunto de roles de IAM. Para ver una descripción detallada de Google Cloud IAM, consulta la documentación de IAM.
¿Qué es Identity and Access Management (IAM)?
IAM te permite controlar quién tiene acceso a los recursos de tu Google Cloud proyecto. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que puedes otorgar solo el acceso necesario a tus recursos.
Los principales son “quienes” están en IAM. Los principales pueden ser usuarios individuales, grupos o dominios de Workspace. A los principales se les otorgan roles, lo que les permite realizar acciones con Looker (Google Cloud Core) y de manera más general. Google Cloud Cada rol es un grupo de uno o más permisos. Los permisos son las unidades básicas de IAM. Cada uno permite que un principal realice una acción determinada.
Por ejemplo, el permiso looker.instances.login permite que un principal acceda a las instancias de Looker (Google Cloud Core). Este permiso se incluye en varios roles predefinidos, incluidos el rol de administrador de Looker (roles/looker.admin) y el rol de usuario de la instancia de Looker (roles/looker.instanceUser).
Función requerida
Para obtener los permisos que
necesitas para asignar roles de IAM de Looker (Google Cloud Core),
pídele a tu administrador que te otorgue el
rol de administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) en el proyecto en el que se creó la instancia.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Roles de IAM en comparación con roles de Looker
Dos tipos diferentes de roles otorgan permisos para Looker (Google Cloud Core): roles de IAM y roles de Looker.
Roles de IAM de Looker: Estos tipos de roles rigen las siguientes capacidades:
- Capacidades de los usuarios en la Google Cloud consola con respecto a Looker (Google Cloud Core)
Cuando se usan junto con OAuth, también rigen las siguientes capacidades:
- Capacidades de los usuarios para acceder a una instancia de Looker (Google Cloud Core)
- Si a los usuarios se les asigna automáticamente el rol de Looker de Administrador a través de IAM una vez que acceden a una instancia de Looker (Google Cloud Core) Para obtener más información, consulta la documentación de Autenticación y autorización con OAuth y IAM.
Consulta la documentación de IAM para obtener información sobre cómo otorgar roles de IAM.
Roles de Looker: Estos tipos de roles rigen lo que los usuarios pueden hacer una vez que acceden a una instancia de Looker (Google Cloud Core). Consulta las páginas de documentación de Roles y grupos para obtener información sobre cómo otorgar roles de Looker.
Los roles de Looker se asignan o revocan dentro de una instancia de Looker (Google Cloud Core), con la excepción del rol de Looker de Administrador a través de IAM, que solo se puede asignar o revocar a través de IAM. Los roles de IAM solo se pueden asignar o revocar en la Google Cloud consola.
Roles de IAM de Looker (Google Cloud Core)
Hay tres roles predefinidos disponibles para los usuarios de Looker (Google Cloud Core). Estos roles se otorgan a nivel del Google Cloud proyecto y controlarán el acceso de manera uniforme para todas las instancias de Looker (Google Cloud Core) dentro de un Google Cloud proyecto. Si un usuario se autentica con OAuth, el rol de IAM asignado a cada principal también afecta qué roles de Looker se asignan al acceder a la instancia.
| Nombre del rol | Permisos |
|---|---|
Visualizador de Looker
Otorga acceso de solo lectura a todos los recursos de Looker (Google Cloud Core) en la Google Cloud consola. |
looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Usuario de la instancia de Looker
Puede acceder a una instancia de Looker (Google Cloud Core). |
looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list |
Visualizador de esquemas de Looker
Acceso a los datos de esquema de Looker (Google Cloud Core) en Knowledge Catalog. |
looker.schemas.view |
Administrador de Looker
Tiene acceso completo a todos los recursos de Looker (Google Cloud Core). |
looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list looker.schemas.view resourcemanager.projects.get resourcemanager.projects.list |
Al menos un principal debe tener el rol de IAM de administrador de Looker (roles/looker.admin).
Si los roles predefinidos no proporcionan el conjunto de permisos que deseas, también puedes crear tus propios roles personalizados.
¿Qué sigue?
- Usa Google OAuth para la autenticación de usuarios de Looker (Google Cloud Core)
- Administra usuarios en Looker (Google Cloud Core)
- Configura una instancia de Looker (Google Cloud Core)
- Configuración de administrador de Looker (Google Cloud Core)
- Administra una instancia de Looker (Google Cloud Core) desde la consola de Google Cloud