在数据洞察中,个人用户拥有他们创建或已转移给他们的资源(报告、数据源和探索)。如需在资源所有者离开组织后让数据洞察资源继续正常运行,管理员必须将这些资源转移给其他用户。否则,这些资源可能会被删除,并且离职用户的数据凭证将被撤销,从而导致该用户的报告和数据源无法正常运行。
另一方面,数据洞察 Pro 资源按层次结构进行组织,您的 Cloud Identity 或 Google Workspace 组织是最终所有者。组织所有权可确保您的数据洞察资源在个人所有者离开组织后仍能继续正常运行。
具体来说,组织所有权具有以下优势:
- 用户创建的所有数据洞察资源都存储在您控制和管理的 Google Cloud 项目中。
- 如果数据洞察 Pro 资源的创建者离开您的组织,这些资源将受到保护,不会被删除。
- 您可以使用 IAM 分配项目级权限,这些权限适用于组织中的所有数据洞察 Pro 资源。
- 数据洞察 Pro 资源可供其他 Cloud 服务使用(例如 Dataplex 中的沿袭)。
在组织中使用数据洞察 Pro
如需在组织中使用数据洞察 Pro,您需要将数据洞察 Pro 关联到 Google Cloud 项目。您也可以选择在项目中添加主账号,以管理数据洞察资源。
关联到 Google Cloud 项目
如需完成此步骤,您需要提供一个 Google Cloud 项目,用于管理数据洞察资源。此项目还将用于向您的组织收取数据洞察 Pro 订阅费用。
- 前往 Google Cloud 控制台账号管理页面。
找到要用于数据洞察资源管理和结算的项目,并记下其项目 ID。
登录数据洞察。
在左侧导航栏中,点击企业管理员 。
在随即显示的设置对话框中,点击左侧的项目所有权 。
在项目 ID 字段中,输入您的 Google Cloud 项目 ID。
可选:向项目中添加主账号
您无需将个人数据洞察用户添加到项目中。不过,如果您想允许组织中的其他成员管理数据洞察项目,可以使用 Google Cloud 控制台中的 IAM 资源管理器 向该项目添加主账号。如需相关建议,请参阅最佳实践部分。
您可以向主账号授予以下 IAM 角色。
注意:
- 目前,这些角色使用数据洞察名称。
- 数据洞察不支持自定义角色。
- 如需查看每个角色包含的各个 IAM 权限,请访问 IAM 权限参考文档。
|
角色 |
说明 |
|---|---|
|
Data Studio Admin ( |
包含对报告和数据源的所有权限。 |
|
Data Studio Asset Viewer ( |
包含对报告和数据源的查看权限。 |
|
Data Studio Asset Editor ( |
包含对报告和数据源的修改权限。但不包含删除权限。 |
最佳实践
我们建议您在设置数据洞察 Pro 项目时遵循以下最佳实践:
为数据洞察 Pro 资源创建单独的 Google Cloud 项目
最好创建一个专用项目来管理数据洞察 Pro 资源。将此项目与其他项目分开,有助于明确项目的用途,并防止意外删除资源。
限制项目中的主账号数量
尽量减少添加到项目中的人数。请注意,使用数据洞察不需要拥有项目的访问权限。相反,您可以将数据洞察项目访问权限视为将管理职能委托给少数特定人员的一种方式。
遵循最小权限原则
如果您向项目中添加人员,请根据组织政策向其授予管理数据洞察资源所需的最低角色。
使用特定于数据洞察的角色。请勿使用 IAM 基本角色。基本角色具有针对所有 Google Cloud 服务的数千项权限。在生产环境中,除非没有替代角色,否则请勿授予基本角色。应授予满足您的需求的最受限的预定义角色。
详细了解如何安全地使用 IAM。
组织变更
如果您已将数据洞察 Pro 关联到某个组织中的项目,但后来想将该项目转移到其他组织,请执行以下操作:
- 在 Google Cloud 控制台中完成新组织的设置。
- 将原始项目、用户和资源从旧组织迁移到新组织。详细了解如何迁移项目。
- 登录数据洞察。
- 在左侧导航栏中,点击企业管理员 。
- 在随即显示的设置对话框中,点击左侧的项目所有权 。
- 在项目 ID 字段中,输入您的 Google Cloud 项目 ID。
- 点击关联项目。
对于其他转移场景,请与 Cloud Customer Care 联系以获取帮助。
Google Cloud 关联的限制
- 您只能将数据洞察关联到一个项目。
- 将数据洞察关联到项目后,您无法将其关联到其他项目。
- 由于数据洞察 Pro 项目已添加 Google Cloud 安全锁,因此您的资源受到保护,不会被意外删除。但是,如果您手动删除项目,该项目中的所有 资源都将被永久删除 。请务必小心!