在数据洞察中,用户拥有自己创建或已转移给自己的资源(报告、数据源和探索)。为了在数据洞察资源的所有者离开组织后仍能正常使用这些资源,管理员必须将这些资源转移给其他用户。否则,这些资源可能会被删除,并且离职用户的数据凭证将被撤销,从而导致该用户的报告和数据源无法正常运行。
另一方面,数据洞察 Pro 资源是按层次结构进行整理的,Cloud Identity 或 Google Workspace 组织是最终所有者。组织所有权可确保即使个别所有者离职,数据洞察资源也能继续正常运行。
具体来说,组织所有权具有以下优势:
- 用户创建的所有数据洞察资源都存储在您控制和管理的 Google Cloud 项目中。
- 如果创建者离开贵组织,数据洞察 Pro 资源将受到保护,不会被删除。
- 您可以使用 IAM 分配项目级权限,这些权限适用于组织中的所有数据洞察 Pro 资源。
- 其他 Cloud 服务(例如 Dataplex 中的沿袭)可以使用数据洞察 Pro 资产。
在组织中使用数据洞察 Pro
如需在组织中使用 Data Studio Pro,您需要将 Data Studio Pro 关联到 Google Cloud 项目。您可以选择在项目中添加主账号,以管理数据洞察资源。
关联到 Google Cloud 项目
若要完成此步骤,您需要提供一个 Google Cloud 项目,用于管理数据洞察资产。此项目还将用于向贵组织收取数据洞察 Pro 订阅费用。
- 前往 Google Cloud 控制台账号管理页面。
找到要用于数据洞察资源管理和结算的项目,并记下其项目 ID。
登录 数据洞察。
在左侧导航栏中,点击企业管理。
在随即显示的设置对话框中,点击左侧的项目所有权。
在项目 ID 字段中,输入您的 Google Cloud 项目 ID。
可选:将主账号添加到项目中
无需将各个数据洞察用户添加到项目中。不过,如果您想允许组织中的其他成员管理数据洞察项目,可以使用 Google Cloud 控制台中的 IAM 资源管理器向该项目添加正文。如需获取建议,请参阅“最佳实践”部分。
您可以向正文授予以下 IAM 角色。
注意:
- 目前,这些角色使用“数据洞察”名称。
- 数据洞察不支持自定义角色。
- 如需查看每个角色包含的各个 IAM 权限,请参阅 IAM 权限参考文档。
|
角色 |
说明 |
|---|---|
|
Data Studio Admin ( |
包括对报告和数据源的所有权限。 |
|
Data Studio Asset Viewer ( |
包括对报告和数据源的查看权限。 |
|
Data Studio Asset Editor ( |
包括对报告和数据源的修改权限。不包括删除权限。 |
最佳做法
我们建议您在设置数据洞察 Pro 项目时遵循以下最佳实践:
为数据洞察 Pro 资源单独创建一个 Google Cloud 项目
最好创建一个专用项目来管理数据洞察 Pro 资源。将此项目与其他项目分开有助于明确该项目的用途,并防止意外删除您的资源。
限制项目中的主账号数量
尽量减少添加到项目中的人数。请注意,您无需拥有项目访问权限即可使用数据洞察。相反,您可以将数据洞察项目访问权限视为将管理功能委托给少数特定个人的方式。
遵循最小权限原则
如果您向项目添加了人员,请根据组织的政策向其授予管理数据洞察资源所需的最低角色。
使用特定于数据洞察的角色。请勿使用 IAM 基本角色。基本角色具有针对所有 Google Cloud 服务的数千项权限。在生产环境中,除非没有替代角色,否则请勿授予基本角色。应授予满足您的需求的最受限的预定义角色。
详细了解如何安全地使用 IAM。
组织变更
如果您已将数据洞察专业版关联到某个组织中的项目,但后来想将该项目转移到其他组织,请执行以下操作:
- 在 Google Cloud 控制台中完成新组织的设置。
- 将原始项目、用户和资源从旧组织迁移到新组织。详细了解如何迁移项目。
- 登录 数据洞察。
- 在左侧导航栏中,点击企业管理。
- 在随即显示的设置对话框中,点击左侧的项目所有权。
- 在项目 ID 字段中,输入您的 Google Cloud 项目 ID。
- 点击关联项目。
对于其他转移方案,请与 Cloud Customer Care 联系以获取帮助。
Google Cloud 关联的限制
- 您只能将数据洞察关联到一个项目。
- 将数据洞察与项目相关联后,您便无法再将其与另一个项目相关联。
- 由于数据洞察 Pro 项目设置了 Google Cloud 安全锁,因此您的资源不会被意外删除。不过,如果您手动删除项目,该项目中的所有资源都将被永久删除。请务必小心!