检查点
Create a lake, zone, and asset in Dataplex
/ 25
Grant Dataplex Data Reader role on a Dataplex asset to another user
/ 25
Grant Dataplex Data Writer role on a Dataplex asset to another user
/ 25
Upload file to Cloud Storage bucket as a Dataplex Data Writer
/ 25
實作 Dataplex 的安全機制
GSP1157
總覽
Dataplex 是智慧型資料架構,可讓機構集中瀏覽、控管、監控及管理資料湖泊、資料倉儲和資料市集中的資料,以便大規模進行分析。
Dataplex 提供富有彈性的安全性模型,可讓您管理哪些使用者有權存取 Dataplex 資源並執行相關動作。具體來說,Dataplex 的安全機制採用不同的 Dataplex IAM 角色,讓使用者管理 Dataplex 湖泊、透過連結的資產 (例如 Cloud Storage 值區或 BigQuery 資料集) 存取湖泊中的資料,或是存取與湖泊所連結資料有關的中繼資料。
在本研究室中,您將瞭解如何實作 Dataplex 的安全機制,包括以 Dataplex 管理員身分登入 Google Cloud 專案,建立新的 Dataplex 資源,以及將 Dataplex IAM 角色指派給其他使用者並進行測試。在本研究室的最後,您要為某個使用者授予適當的 IAM 角色,使其能夠修改 Dataplex 資產,並以該使用者的身分將新檔案上傳至 Cloud Storage 值區。
學習目標
- 在 Dataplex 中建立湖泊、可用區和資產
- 將 Dataplex IAM 角色指派給其他使用者
- 為不同使用者授予各種 Dataplex IAM 角色,並以這些使用者的身分測試 Dataplex 資產的存取權
- 將新檔案上傳至做為 Dataplex 資產管理的 Cloud Storage 值區
設定和需求
開始本研究室後,請以使用者 1 (
點選「Start Lab」按鈕前的須知事項
請詳閱以下操作說明。研究室活動會計時,而且中途無法暫停。點選「Start Lab」 後就會開始計時,讓您瞭解有多少時間可以使用 Google Cloud 資源。
您將在真正的雲端環境中完成實作研究室活動,而不是在模擬或示範環境。為達此目的,我們會提供新的暫時憑證,讓您用來在研究室活動期間登入及存取 Google Cloud。
如要完成這個研究室活動,請先確認:
- 您可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。
- 是時候完成研究室活動了!別忘了,活動一開始將無法暫停。
如何開始研究室及登入 Google Cloud 控制台
-
按一下「Start Lab」(開始研究室) 按鈕。如果研究室會產生費用,畫面中會出現選擇付款方式的彈出式視窗。左側的「Lab Details」(研究室詳細資料) 面板會顯示下列項目:
- 「Open Google Console」(開啟 Google 控制台) 按鈕
- 剩餘時間
- 必須在這個研究室中使用的暫時憑證
- 完成這個研究室所需的其他資訊 (如有)
-
按一下「Open Google Console」(開啟 Google 控制台)。接著,研究室會啟動相關資源並開啟另一個分頁,當中會顯示「Sign in」(登入) 頁面。
提示:您可以在不同的視窗中並排開啟分頁。
注意事項:如果頁面中顯示了「Choose an account」(選擇帳戶) 對話方塊,請按一下「Use Another Account」(使用其他帳戶)。 -
如有必要,請複製「Lab Details」(研究室詳細資料) 面板中的使用者名稱,然後貼到「Sign in」(登入) 對話方塊。按一下「Next」(下一步)。
-
複製「Lab Details」(研究室詳細資料) 面板中的密碼,然後貼到「Welcome」(歡迎使用) 對話方塊。按一下「Next」(下一步)。
重要注意事項:請務必使用左側面板中的憑證,而非 Google Cloud 技能重點加強的憑證。 注意事項:如果使用自己的 Google Cloud 帳戶來進行這個研究室,可能會產生額外費用。 -
按過後續的所有頁面:
- 接受條款及細則。
- 由於這是臨時帳戶,請勿新增救援選項或雙重驗證機制。
- 請勿申請免費試用。
Cloud 控制台稍後會在這個分頁中開啟。
啟用 Dataplex API
-
在 Google Cloud 控制台頂端的搜尋列中,輸入「Cloud Dataplex API」。
-
在「Marketplace」下方點選「Cloud Dataplex API」的搜尋結果。
-
按一下「啟用」。
工作 1:在 Dataplex 中建立湖泊、可用區和資產
如要套用及測試 Dataplex 資源的使用者存取權,您必須先建立 Dataplex 資源。
在這項工作中,您將使用 Google Cloud 控制台建立新的 Dataplex 湖泊來儲存客戶資訊,在湖泊中新增原始可用區,然後再連結預先建立的 Cloud Storage 值區,做為可用區中的新資產。
如要完成這項工作,請務必以使用者 1 (
建立湖泊
- 在 Google Cloud 控制台的「導覽選單」(
) 中,依序前往「數據分析」>「Dataplex」。
如果出現「歡迎使用新版 Dataplex 服務」提示,請點選「關閉」。
-
在「管理湖泊」下方,按一下「管理」。
-
按一下「建立湖泊」。
-
輸入必要資訊來建立新湖泊:
| 屬性 | 值 |
|---|---|
| 顯示名稱 | 客戶資訊湖泊 |
| ID | 請保留預設值。 |
| 區域 |
請保留其他預設值。
- 點選「建立」。
湖泊最多可能需要 3 分鐘才能建立完成。
在湖泊中新增可用區
-
在「管理」分頁中,按一下湖泊名稱。
-
按一下「新增可用區」。
-
輸入必要資訊來建立新的可用區:
| 屬性 | 值 |
|---|---|
| 顯示名稱 | 客戶原始可用區 |
| ID | 請保留預設值。 |
| 類型 | 原始可用區 |
| 資料位置 | 區域性 |
請保留其他預設值。
舉例來說,「探索功能設定」下方的「啟用中繼資料探索功能」選項預設為啟用,可讓獲授權的使用者瀏覽該可用區中的資料。
- 點選「建立」。
可用區最多可能需要 2 分鐘才能建立完成。
將資產連結至可用區
-
在「可用區」分頁中,按一下可用區名稱。
-
在「資產」分頁中,按一下「新增資產」。
-
按一下「新增資產」。
-
輸入必要資訊來連結新資產:
| 屬性 | 值 |
|---|---|
| 類型 | 儲存空間值區 |
| 顯示名稱 | 客戶線上工作階段 |
| ID | 請保留預設值。 |
| 值區名稱 |
|
請保留其他預設值。
雖然 Cloud Storage 值區不含任何檔案,但您現在可以將其連結至可用區,新增的檔案隨即會自動整合至可用區。
-
按一下「完成」。
-
按一下「繼續」。
-
針對「探索功能設定」,選取「繼承」來繼承可用區層級的探索設定,然後點選「繼續」。
-
點選「提交」。
點選「Check my progress」,確認目標已達成。
工作 2:將 Dataplex 資料讀取者角色指派給其他使用者
Dataplex 遵循 Google 的最低權限建議,可讓 Dataplex 管理員在專案、湖泊、可用區和個別資產 (例如 Cloud Storage 值區) 層級為使用者授予 Dataplex IAM 角色。
在這項工作中,您將使用 Google Cloud 控制台為其他使用者指派 Dataplex 資料讀取者角色,讓該使用者讀取做為 Dataplex 資源管理的 Cloud Storage 值區。
如要完成這項工作,請繼續以使用者 1 (
-
在 Google Cloud 控制台的「導覽選單」(
-
在「Dataplex 資源」選單中,展開專案 ID (
) 旁邊的箭頭。 -
展開湖泊名稱旁邊的箭頭。
-
展開可用區名稱旁邊的箭頭。
-
按一下資產名稱 (客戶線上工作階段)。
-
按一下「授予存取權」。
-
針對「新主體」,輸入使用者 2 的電子郵件地址:
-
在「請選擇角色」選單中,選取「Cloud Dataplex」下方的「Dataplex 資料讀取者」。
-
按一下「儲存」。
點選「Check my progress」,確認目標已達成。
將使用者 1 登出專案
請將使用者 1 登出專案。在下一項工作中,您必須以使用者 2 的身分登入專案。
-
按一下 Google Cloud 主控台右上方的個人資料圖示。
-
按一下「登出」。
如果系統要求您確認,請點選「離開」。
工作 3:以 Dataplex 資料讀取者身分測試 Dataplex 資源的存取權
如果使用者只獲授予資產的 Dataplex 資料讀取者角色,則能夠查看 Dataplex 資產,但無法進行修改。舉例來說,如果使用者只獲授予 Cloud Storage 值區的 Dataplex 資料讀取者角色,則無法在做為 Dataplex 資產管理的值區中新增檔案。
在這項工作中,您將使用 Google Cloud 控制台,在預先建立的 Cloud Storage 值區中新增檔案,藉此測試使用者 2 對 Dataplex 資源的存取權。
如要完成這項工作,請以使用者 2 (
-
在 Google Cloud 控制台的「導覽選單」(
-
按一下預先建立的值區:
-bucket -
按一下「上傳檔案」。
-
選取要上傳的檔案。
如需範例檔案,可以下載這個測試用 CSV 檔案做為上傳檔案。
- 按一下「開啟」。
您會收到錯誤訊息,且沒有任何檔案會上傳至值區。
使用者 2 只有該 Dataplex 資產的讀取權限,因此無法將新檔案上傳至 Cloud Storage 值區。
將使用者 2 登出專案
請將使用者 2 登出專案。在下一項工作中,您必須以使用者 1 的身分登入專案。
-
按一下 Google Cloud 主控台右上方的個人資料圖示。
-
按一下「登出」。
如果系統要求您確認,請點選「離開」。
工作 4:將 Dataplex 寫入者角色指派給其他使用者
在這項工作中,您將使用 Google Cloud 控制台,為使用者 2 指派值區的 Dataplex 寫入者角色,讓該使用者能夠新增檔案來修改值區。
如要完成這項工作,請以使用者 1 (
-
在 Google Cloud 控制台的「導覽選單」(
-
在「Dataplex 資源」選單中,展開專案 ID (
) 旁邊的箭頭。 -
展開湖泊名稱旁邊的箭頭。
-
展開可用區名稱旁邊的箭頭。
-
按一下資產名稱 (客戶線上工作階段)。
-
按一下使用者 2 電子郵件地址 (
) 旁邊的「編輯主體」(鉛筆圖示)。 -
針對「角色」,選取「Cloud Dataplex」下方的「Dataplex 資料寫入者」。
-
按一下「儲存」。
點選「Check my progress」,確認目標已達成。
將使用者 1 登出專案
請將使用者 1 登出專案。在下一項工作中,您必須以使用者 2 的身分登入專案。
-
按一下 Google Cloud 主控台右上方的個人資料圖示。
-
按一下「登出」。
如果系統要求您確認,請點選「離開」。
工作 5:以 Dataplex 資料寫入者身分將新檔案上傳至 Cloud Storage 值區
使用者獲授予資產的 Dataplex 寫入者角色後,就能修改該資產,包括在做為 Dataplex 資產管理的 Cloud Storage 值區中新增檔案。
在這項工作中,您將使用 Google Cloud 控制台,在預先建立的 Cloud Storage 值區中新增檔案,再次測試使用者 2 對 Dataplex 資源的存取權。
如要完成這項工作,請以使用者 2 (
-
在 Google Cloud 控制台的「導覽選單」(
-
按一下預先建立的值區:
-bucket -
按一下「上傳檔案」。
-
選取要上傳的檔案。
如需範例檔案,可以下載這個測試用 CSV 檔案做為上傳檔案。
- 按一下「開啟」。
使用者 2 是 Dataplex 資料寫入者,因此能夠順利將新檔案上傳至 Cloud Storage 值區。
點選「Check my progress」,確認目標已達成。
恭喜!
您已為其他使用者指派適當的 Dataplex IAM 角色並進行測試,讓該使用者能夠在做為 Dataplex 資產管理的 Cloud Storage 值區中修改檔案。這樣一來,Dataplex 的安全機制就實作完成了。
Google Cloud 教育訓練與認證
協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法,讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程,並有隨選、線上和虛擬課程等選項,方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。
手冊上次更新日期:2023 年 6 月 27 日
研究室上次測試日期:2023 年 6 月 27 日
Copyright 2024 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。