准备工作
- 实验会创建一个 Google Cloud 项目和一些资源,供您使用限定的一段时间
- 实验有时间限制,并且没有暂停功能。如果您中途结束实验,则必须重新开始。
- 在屏幕左上角,点击开始实验即可开始
检查点
Create a lake, zone, and asset in Dataplex
/ 25
Grant Dataplex Data Reader role on a Dataplex asset to another user
/ 25
Grant Dataplex Data Writer role on a Dataplex asset to another user
/ 25
Upload file to Cloud Storage bucket as a Dataplex Data Writer
/ 25
访问 700 多个实验和课程
在 Dataplex 中实现安全性
实验说明和任务
访问 700 多个实验和课程
GSP1157
概览
Dataplex 是一种智能数据结构脉络,使组织能够跨数据湖、数据仓库和数据集市集中发现、管理、监控和治理其数据,从而实现大规模分析。
Dataplex 提供了一种灵活的安全模型,让您能够控制哪些人员可以访问 Dataplex 资源以及对这些资源执行各种操作。具体来说,Dataplex 安全性是使用不同的 Dataplex IAM 角色实现的。利用这些角色,用户可以管理 Dataplex 数据湖,也可以通过附加的资产(例如,Cloud Storage 存储桶或 BigQuery 数据集)访问数据湖中的数据,还可以访问连接到数据湖的数据的相关元数据。
在本实验中,您将学习如何在 Dataplex 中实现安全性。具体操作包括以 Dataplex Administrator 身份登录 Google Cloud 项目,新建 Dataplex 资源,然后将 Dataplex IAM 角色分配给其他用户并进行测试。在以用户身份(该用户已被授予适当的 IAM 角色来修改特定 Dataplex 资产)成功地将新文件上传到 Cloud Storage 存储桶后,您便完成了本实验。
您将执行的操作
- 在 Dataplex 中创建数据湖、区域和资产
- 将 Dataplex IAM 角色分配给其他用户
- 以拥有不同 Dataplex IAM 角色的不同用户身份测试对 Dataplex 资产的访问权限
- 将新文件上传到作为 Dataplex 资产管理的 Cloud Storage 存储桶
设置和要求
在您开始本实验之后,请以用户 1 (
点击“开始实验”按钮前的注意事项
请阅读以下说明。实验是计时的,并且您无法暂停实验。计时器在您点击开始实验后即开始计时,显示 Google Cloud 资源可供您使用多长时间。
此实操实验可让您在真实的云环境中开展实验活动,免受模拟或演示环境的局限。为此,我们会向您提供新的临时凭据,您可以在该实验的规定时间内通过此凭据登录和访问 Google Cloud。
为完成此实验,您需要:
- 能够使用标准的互联网浏览器(建议使用 Chrome 浏览器)。
- 完成实验的时间 - 请注意,实验开始后无法暂停。
如何开始实验并登录 Google Cloud 控制台
-
点击开始实验按钮。如果该实验需要付费,系统会打开一个对话框供您选择支付方式。左侧是“实验详细信息”窗格,其中包含以下各项:
- “打开 Google Cloud 控制台”按钮
- 剩余时间
- 进行该实验时必须使用的临时凭据
- 帮助您逐步完成本实验所需的其他信息(如果需要)
-
点击打开 Google Cloud 控制台(如果您使用的是 Chrome 浏览器,请右键点击并选择在无痕式窗口中打开链接)。
该实验会启动资源并打开另一个标签页,显示“登录”页面。
提示:将这些标签页安排在不同的窗口中,并排显示。
注意:如果您看见选择账号对话框,请点击使用其他账号。 -
如有必要,请复制下方的用户名,然后将其粘贴到登录对话框中。
{{{user_0.username | "<用户名>"}}} 您也可以在“实验详细信息”窗格中找到“用户名”。
-
点击下一步。
-
复制下面的密码,然后将其粘贴到欢迎对话框中。
{{{user_0.password | "<密码>"}}} 您也可以在“实验详细信息”窗格中找到“密码”。
-
点击下一步。
重要提示:您必须使用实验提供的凭据。请勿使用您的 Google Cloud 账号凭据。 注意:在本实验中使用您自己的 Google Cloud 账号可能会产生额外费用。 -
继续在后续页面中点击以完成相应操作:
- 接受条款及条件。
- 由于这是临时账号,请勿添加账号恢复选项或双重验证。
- 请勿注册免费试用。
片刻之后,系统会在此标签页中打开 Google Cloud 控制台。
启用 Dataplex API
-
在 Google Cloud 控制台顶部的搜索栏中,输入 Cloud Dataplex API。
-
点击 Marketplace 下面的 Cloud Dataplex API 搜索结果。
-
点击启用。
任务 1. 在 Dataplex 中创建数据湖、区域和资产
如需应用并测试对 Dataplex 资源的用户访问权限,您需要先创建一些 Dataplex 资源。
在本任务中,您需要使用 Google Cloud 控制台新建 Dataplex 数据湖来存储客户信息,向该数据湖中添加原始区域,然后将预先创建的 Cloud Storage 存储桶作为新资产附加到该区域中。
为了完成本任务,请确保以用户 1 (
创建数据湖
- 在 Google Cloud 控制台的导航菜单 (
) 中,点击分析 > Dataplex。
如果系统提示欢迎体验新版 Dataplex,请点击关闭。
-
点击管理数据湖下的管理。
-
点击创建数据湖。
-
输入所需信息以新建数据湖:
| 属性 | 值 |
|---|---|
| 显示名称 | Customer Info Lake |
| ID | 保留默认值。 |
| 区域 (Region) |
保留其他默认值。
- 点击创建。
数据湖创建过程最长可能需要 3 分钟。
向数据湖中添加区域
-
在管理标签页上,点击数据湖的名称。
-
点击添加区域。
-
输入所需信息以新建区域:
| 属性 | 值 |
|---|---|
| 显示名称 | Customer Raw Zone |
| ID | 保留默认值。 |
| 类型 | 原始区域 |
| 数据位置 | 区域级 (Regional) |
保留其他默认值。
例如,默认情况下,发现设置下的启用元数据发现选项处于选中状态,允许获得授权的用户发现区域中的数据。
- 点击创建。
区域创建过程最长可能需要 2 分钟。
将资产附加到区域
-
在区域标签页上,点击区域的名称。
-
在资产标签页上,点击添加资产。
-
点击添加资产。
-
输入所需信息以附加新资产:
| 属性 | 值 |
|---|---|
| 类型 | 存储桶 |
| 显示名称 | Customer Online Sessions |
| ID | 保留默认值。 |
| 存储桶名称 |
|
保留其他默认值。
虽然此 Cloud Storage 存储桶不包含任何文件,但您现在可以将其附加到该区域,并且新添加的文件将自动合并到该区域。
-
点击完成。
-
点击继续。
-
在发现设置中,选择继承以继承区域级别的发现设置,然后点击继续。
-
点击提交。
点击“检查我的进度”,验证已完成以下目标:
任务 2. 将 Dataplex Data Reader 角色分配给另一个用户
Dataplex Administrator 可以按照 Google 的最小权限建议,在项目、数据湖、区域和具体资产(例如,Cloud Storage 存储桶)级别向用户授予 Dataplex IAM 角色。
在本任务中,您需要使用 Google Cloud 控制台将 Dataplex Data Reader 角色分配给另一个用户,以便其可以读取作为 Dataplex 资源管理的 Cloud Storage 存储桶。
为了完成本任务,您仍然需要以用户 1 (
-
在 Google Cloud 控制台的导航菜单 (
-
在 Dataplex 资源菜单中,展开项目 ID (
) 旁边的箭头。 -
展开您的数据湖名称旁边的箭头。
-
展开您的区域名称旁边的箭头。
-
点击资产名称 (Customer Online Sessions)。
-
点击授予访问权限。
-
在新的主账号中,输入用户 2 的电子邮件地址:
-
在选择角色中,选择 Cloud Dataplex 下的 Dataplex Data Reader。
-
点击保存。
点击“检查我的进度”,验证已完成以下目标:
以用户 1 的身份退出项目
以用户 1 的身份退出项目。在下一项任务中,您将以用户 2 的身份登录项目。
-
点击 Google Cloud 控制台右上方的个人资料图标。
-
点击退出。
如果系统要求您确认,请点击退出。
任务 3. 以 Dataplex Data Reader 角色测试对 Dataplex 资源的访问权限
如果用户仅被授予对某项资产的 Dataplex Data Reader 角色,则他们拥有查看该 Dataplex 资产的权限,但无法对其进行修改。例如,如果用户对 Cloud Storage 存储桶仅拥有 Dataplex Data Reader 角色,则无法向作为 Dataplex 资产管理的该存储桶中添加新文件。
在本任务中,您需要尝试使用 Google Cloud 控制台向预先创建的 Cloud Storage 存储桶中添加新文件,以测试用户 2 对 Dataplex 资源的访问权限。
为了完成本任务,请以用户 2 (
-
在 Google Cloud 控制台的导航菜单 (
-
点击已预先为您创建的存储桶:
-bucket -
点击上传文件。
-
您可以选择任何文件。
如果需要示例文件,您可以下载测试 CSV 文件,然后将其用作上传文件。
- 点击打开。
请注意,您会收到错误消息,并且任何文件都不会上传到该存储桶。
系统已拒绝用户 2 将新文件上传到 Cloud Storage 存储桶,因为该用户仅被授予了对 Dataplex 资产的读取权限。
以用户 2 的身份退出项目
以用户 2 的身份退出项目。在下一项任务中,您将以用户 1 的身份登录项目。
-
点击 Google Cloud 控制台右上方的个人资料图标。
-
点击退出。
如果系统要求您确认,请点击退出。
任务 4. 将 Dataplex Writer 角色分配给另一个用户
在本任务中,您需要使用 Google Cloud 控制台将对存储桶的 Dataplex Writer 角色分配给用户 2,以便其可以通过添加新文件来修改存储桶。
为了完成本任务,请以用户 1 (
-
在 Google Cloud 控制台的导航菜单 (
-
在 Dataplex 资源菜单中,展开项目 ID (
) 旁边的箭头。 -
展开您的数据湖名称旁边的箭头。
-
展开您的区域名称旁边的箭头。
-
点击资产名称 (Customer Online Sessions)。
-
点击用户 2 的电子邮件地址旁边的修改主账号(铅笔图标):
-
在角色中,选择 Cloud Dataplex 下的 Dataplex Data Writer。
-
点击保存。
点击“检查我的进度”,验证已完成以下目标:
以用户 1 的身份退出项目
以用户 1 的身份退出项目。在下一项任务中,您将以用户 2 的身份登录项目。
-
点击 Google Cloud 控制台右上方的个人资料图标。
-
点击退出。
如果系统要求您确认,请点击退出。
任务 5. 以 Dataplex Data Writer 角色将新文件上传到 Cloud Storage 存储桶
如果用户被授予对某项资产的 Dataplex Data Writer 角色,则他们拥有修改该资产的权限,包括能够向作为 Dataplex 资产管理的 Cloud Storage 存储桶中添加新文件。
在本任务中,您需要确定是否能够使用 Google Cloud 控制台成功地向预先创建的 Cloud Storage 存储桶中添加新文件,从而再次测试用户 2 对 Dataplex 资源的访问权限。
为了完成本任务,请以用户 2 (
-
在 Google Cloud 控制台的导航菜单 (
-
点击已预先为您创建的存储桶:
-bucket -
点击上传文件。
-
您可以选择任何文件。
如果需要示例文件,您可以下载测试 CSV 文件,然后将其用作上传文件。
- 点击打开。
用户 2 能够成功地以 Dataplex Data Writer 角色将新文件上传到 Cloud Storage 存储桶。
点击“检查我的进度”,验证已完成以下目标:
恭喜!
您将适当的 Dataplex IAM 角色分配给另一个用户并进行了测试,让其能够成功地修改作为 Dataplex 资产管理的 Cloud Storage 存储桶中的文件。您已通过上述操作在 Dataplex 中实现了安全性。
Google Cloud 培训和认证
…可帮助您充分利用 Google Cloud 技术。我们的课程会讲解各项技能与最佳实践,可帮助您迅速上手使用并继续学习更深入的知识。我们提供从基础到高级的全方位培训,并有点播、直播和虚拟三种方式选择,让您可以按照自己的日程安排学习时间。各项认证可以帮助您核实并证明您在 Google Cloud 技术方面的技能与专业知识。
上次更新手册的时间:2023 年 6 月 27 日
上次测试实验的时间:2023 年 6 月 27 日
版权所有 2025 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名和产品名可能是其各自相关公司的商标。
