Questo documento spiega come utilizzare Identity and Access Management (IAM) per gestire il controllo dell'accesso alle risorse di Knowledge Catalog (in precedenza Dataplex Universal Catalog). IAM controlla l'accesso alle risorse di Knowledge Catalog a livello di Google Cloud risorsa. Ti consente di controllare quali entità possono gestire risorse specifiche, come gruppi di voci e voci, utilizzando la Google Cloud console, Google Cloud CLI, le librerie client o le API.
Per saperne di più su IAM, consulta la documentazione di IAM.
Panoramica di IAM
Quando crei un nuovo Google Cloud progetto, al creatore del progetto originale viene concesso il ruolo di Proprietario. Potrebbero esistere o essere creati altri account di servizio gestiti da Google quando abiliti un'API per eseguire attività specifiche. Tuttavia, nessun altro utente individuale ha accesso al progetto e alle relative risorse, incluse le risorse di Knowledge Catalog. Concedi questo accesso solo quando aggiungi esplicitamente gli utenti come membri del progetto o concedi loro ruoli su risorse specifiche.
IAM ti consente di concedere un accesso granulare a risorse specifiche Google Cloud e impedisce l'accesso indesiderato ad altre risorse. Con IAM puoi adottare il principio di sicurezza del privilegio minimo concedendo solo l'accesso necessario alle tue risorse.
IAM ti consente di controllare chi (entità) ha quale accesso (ruoli) a quali risorse.
Entità
Un'entità può essere un Account Google (per gli utenti finali), un account di servizio (per app e macchine virtuali), un gruppo Google o un dominio Google Workspace o Cloud Identity. Queste entità possono accedere a una risorsa. Quando concedi i ruoli, identifichi l'entità utilizzando un identificatore, come descritto in Riferimento all'associazione di policy .
Per saperne di più, consulta Panoramica di IAM: entità.
L'agente di servizio
Knowledge Catalog utilizza un Google Cloud account di servizio gestito, un agente di servizio, per accedere alle tue risorse. Gli agenti di servizio sono account di servizio gestiti da Google che consentono ai Google Cloud servizi di accedere alle risorse del tuo progetto. Questo è diverso dagli account di servizio gestiti dall'utente, che crei e utilizzi per rappresentare le tue applicazioni o i tuoi carichi di lavoro.
L'agente di servizio viene creato quando abiliti l'API Dataplex. Puoi identificare l'agente di servizio in base al suo ID email:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
Qui, CUSTOMER_PROJECT_NUMBER è il numero del progetto in cui hai abilitato l'API Dataplex.
L'agente di servizio richiede il ruolo Agente di servizio Dataplex (roles/dataplex.serviceAgent) nel progetto per gestire le risorse di Knowledge Catalog. Quando abiliti l'API, il sistema concede automaticamente questo ruolo. Se revochi questo ruolo, Knowledge Catalog potrebbe non funzionare correttamente.
Se Knowledge Catalog deve accedere alle risorse di altri progetti (ad esempio, bucket Cloud Storage o set di dati BigQuery che vuoi collegare come asset o scansionare per i profili di dati), devi concedere a questo agente di servizio le autorizzazioni richieste nei progetti che contengono queste risorse.
Per saperne di più sulla concessione delle autorizzazioni al service agent per il collegamento degli asset, consulta Gestire gli asset di dati.
Per saperne di più sulla concessione delle autorizzazioni al service agent per la profilazione dei dati, consulta Creare e utilizzare le scansioni di profilazione dei dati.
Identità di esecuzione per le scansioni dei dati
Per impostazione predefinita, Knowledge Catalog utilizza il service agent per eseguire le scansioni della qualità dei dati e di profilazione dei dati. Tuttavia, puoi scegliere di ignorare questo comportamento ed eseguire le scansioni utilizzando un account di servizio personalizzato o le tue credenziali utente finale (EUC).
Se specifichi un account di servizio personalizzato per l'identità di esecuzione della scansione, l'agente di servizio richiede il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator) (o l'autorizzazione iam.serviceAccounts.getAccessToken) nell'account di servizio di destinazione per rappresentarlo ed eseguire il job. Per maggiori dettagli, consulta la documentazione sull'identità di esecuzione
per la qualità dei dati e la profilazione dei dati.
Risorsa
Le risorse a cui puoi concedere l'accesso in Knowledge Catalog includono progetti, gruppi di voci, voci, collegamenti di voci, tipi di aspetto, tipi di voci e tipi di collegamento di voci.
Alcuni metodi API richiedono autorizzazioni per più risorse. Ad esempio, il collegamento di un aspetto a una voce richiede autorizzazioni sia per la voce sia per il tipo di aspetto.
Ruolo
Un ruolo è un insieme di autorizzazioni che determina quali operazioni un'entità può eseguire su una risorsa. Se concedi un ruolo a un'entità, concedi tutte le autorizzazioni incluse nel ruolo.
Puoi concedere uno o più ruoli a un'entità.
Analogamente ad altri Google Cloud prodotti, Knowledge Catalog supporta tre tipi di ruoli:
Ruoli di base: ruoli altamente permissivi (Proprietario, Editor, Visualizzatore) esistenti prima dell'introduzione di IAM. Per saperne di più sui ruoli di base, consulta Ruoli di base.
Ruoli predefiniti: forniscono un accesso granulare a risorse specifiche Google Cloud. Per saperne di più sui ruoli predefiniti, consulta Ruoli predefiniti. La documentazione sui ruoli IAM di Knowledge Catalog descrive in dettaglio i ruoli predefiniti di Knowledge Catalog .
Ruoli personalizzati: ti aiutano ad applicare il principio del privilegio minimo concedendo solo le autorizzazioni specifiche necessarie. Per saperne di più sui ruoli personalizzati, consulta Ruoli personalizzati.
Ad esempio, il ruolo predefinito Visualizzatore Dataplex (roles/dataplex.viewer) fornisce l'accesso in sola lettura alle risorse di Knowledge Catalog. Un'entità con questo ruolo può visualizzare gruppi di voci, voci, collegamenti di voci, tipi di aspetto, tipi di voci e tipi di collegamento di voci, ma non può crearli, aggiornarli o eliminarli.
Al contrario, il ruolo Amministratore Dataplex (roles/dataplex.admin) concede un ampio accesso per gestire le risorse di Knowledge Catalog.
Per saperne di più sull'assegnazione dei ruoli, consulta Concedere, modificare e revocare l'accesso.
Per determinare le autorizzazioni necessarie per un'attività specifica, consulta le pagine di riferimento per i ruoli di Knowledge Catalog e le autorizzazioni di Knowledge Catalog.
Ad esempio, per una risorsa di progetto, puoi assegnare il ruolo roles/dataplex.admin a un Account Google. Questo account può quindi gestire le risorse di Knowledge Catalog nel progetto, ma non può gestire altre risorse. Puoi anche utilizzare IAM per gestire i ruoli di base concessi ai membri del team di progetto.
Policy IAM per le risorse
Una policy IAM ti consente di gestire i ruoli IAM sulle risorse anziché, o in aggiunta, gestire i ruoli a livello di progetto. In questo modo, puoi applicare il principio del privilegio minimo concedendo l'accesso solo alle risorse specifiche di cui i collaboratori hanno bisogno per il loro lavoro.
Le risorse ereditano le policy delle risorse padre. Se imposti una policy a livello di progetto, tutte le relative risorse figlio la ereditano. La policy effettiva per una risorsa è l'unione della policy impostata per quella risorsa e della policy ereditata dai livelli superiori della gerarchia. Per saperne di più, consulta la gerarchia delle policy IAM.
Puoi recuperare e impostare le policy IAM utilizzando la Google Cloud console, l' API Identity and Access Management o gcloud CLI.
- Per la Google Cloud console, consulta Controllo dell'accesso tramite la Google Cloud console.
- Per l'API, consulta Controllo dell'accesso tramite l'API.
- Per gcloud CLI, consulta Controllo dell'accesso tramite gcloud CLI .
Passaggi successivi
- Scopri di più sui ruoli IAM.
- Scopri di più sulle autorizzazioni IAM.
- Scopri di più sulla sicurezza di Knowledge Catalog.