En este documento se explica cómo usar Gestión de Identidades y Accesos (IAM) para gestionar el control de acceso a los recursos de Dataplex Universal Catalog. Gestión de identidades y accesos controla el acceso a los recursos de tu catálogo universal de Dataplex a nivel de Google Cloud recurso. Te permite controlar qué principales pueden gestionar recursos específicos, como grupos y entradas, mediante la consola de Google Cloud , la CLI de Google Cloud, las bibliotecas de cliente o las APIs.
Para obtener más información sobre IAM, consulta la documentación de IAM.
Información general sobre IAM
De forma predeterminada, cuando creas un Google Cloud proyecto, se asigna el rol de propietario al creador original del proyecto. Es posible que otras cuentas de servicio gestionadas por Google existan de forma predeterminada o se creen cuando habilites una API para realizar tareas específicas. Sin embargo, ningún otro usuario individual tiene acceso al proyecto ni a sus recursos, incluidos los recursos de Dataplex Universal Catalog. Este acceso solo se concede cuando añades explícitamente a usuarios como miembros del proyecto o les asignas roles en recursos específicos.
IAM te permite conceder acceso granular a recursos Google Cloud específicos e impide el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de mínimos accesos, ya que solo concede el acceso necesario a tus recursos.
La gestión de identidades y accesos te permite controlar quién (entidades principales) tiene qué acceso (roles) a qué recursos.
Principal
Una entidad principal puede ser una cuenta de Google (para usuarios finales), una cuenta de servicio (para aplicaciones y máquinas virtuales), un grupo de Google o un dominio de Google Workspace o Cloud Identity. Estas principales pueden acceder a un recurso. Cuando asignas roles, identificas la entidad de seguridad mediante un identificador, tal como se describe en la referencia de vinculación de políticas.
Para obtener más información, consulta Información general sobre la gestión de identidades y accesos: principales.
Agente de servicio de Dataplex Universal Catalog
Dataplex Universal Catalog usa una Google Cloud cuenta de servicio gestionada conocida como agente de servicio para acceder a sus recursos. El agente de servicio se crea cuando habilitas la API Dataplex. El agente del servicio se identifica por su correo:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
En este caso, CUSTOMER_PROJECT_NUMBER es el número del proyecto en el que has habilitado la API Dataplex.
El agente de servicio de Dataplex Universal Catalog requiere el rol Agente de servicio de Dataplex (roles/dataplex.serviceAgent) en el proyecto para gestionar los recursos de Dataplex Universal Catalog. Este rol se asigna automáticamente al habilitar la API. Si revoca este rol, es posible que Dataplex Universal Catalog no funcione correctamente.
Recurso
Entre los recursos a los que puede conceder acceso en Dataplex Universal Catalog se incluyen proyectos, grupos de entradas, entradas, tipos de aspectos y tipos de entradas.
Algunos métodos de la API requieren permisos para varios recursos. Por ejemplo, para adjuntar un aspecto a una entrada, se necesitan permisos tanto en la entrada como en el tipo de aspecto.
Rol
Un rol es un conjunto de permisos. Los permisos determinan qué operaciones se pueden realizar en un recurso. Cuando asignas un rol a una entidad, le das todos los permisos que contiene.
Puedes conceder uno o varios roles a un principal.
Al igual que otros Google Cloud productos, Dataplex Universal Catalog admite tres tipos de roles:
Roles básicos: roles muy permisivos (Propietario, Editor y Lector) que existían antes de que se introdujera IAM. Para obtener más información sobre los roles básicos, consulta Roles básicos.
Roles predefinidos: proporcionan acceso específico a recursos concretos. Google Cloud Para obtener más información sobre los roles predefinidos, consulta el artículo Roles predefinidos. En la documentación sobre los roles de gestión de identidades y accesos de Dataplex Universal Catalog se describen los roles predefinidos de Dataplex Universal Catalog.
Roles personalizados: te ayudan a aplicar el principio de mínimos accesos, ya que solo conceden los permisos específicos necesarios. Para obtener más información sobre los roles personalizados, consulta el artículo Roles personalizados.
Por ejemplo, el rol predefinido Visor de Dataplex (roles/dataplex.viewer) proporciona acceso de solo lectura a los recursos de Dataplex Universal Catalog. Una entidad de seguridad con este rol puede ver grupos de entradas, entradas, tipos de aspectos y tipos de entradas, pero no puede crearlos, actualizarlos ni eliminarlos. Por el contrario, el rol Administrador de Dataplex Universal Catalog (roles/dataplex.admin) concede un acceso amplio para gestionar recursos de Dataplex Universal Catalog.
Para obtener más información sobre cómo asignar roles, consulta Conceder, cambiar y revocar el acceso.
Para determinar qué permisos necesitas para una tarea específica, consulta las páginas de referencia de los roles de Dataplex Universal Catalog y los permisos de Dataplex Universal Catalog.
Por ejemplo, en el caso de un recurso de proyecto, puedes asignar el rol roles/dataplex.admin a una cuenta de Google. Esa cuenta puede gestionar los recursos de Dataplex Universal Catalog del proyecto, pero no otros recursos. También puedes usar la gestión de identidades y accesos para gestionar los roles básicos concedidos a los miembros del equipo del proyecto.
Políticas de gestión de identidades y accesos de recursos
Una política de gestión de identidades y accesos te permite gestionar roles de gestión de identidades y accesos en recursos en lugar de gestionar roles a nivel de proyecto, o además de hacerlo. De esta forma, se puede aplicar el principio de mínimos accesos, ya que se concede acceso solo a los recursos específicos que los colaboradores necesitan para hacer su trabajo.
Los recursos heredan las políticas de sus recursos superiores. Si defines una política a nivel de proyecto, todos sus recursos secundarios la heredarán. La política efectiva de un recurso es la unión de la política definida en ese recurso y la política heredada de un nivel superior de la jerarquía. Para obtener más información, consulta la jerarquía de políticas de gestión de identidades y accesos.
Puede obtener y definir políticas de gestión de identidades y accesos mediante la Google Cloud consola, la API de gestión de identidades y accesos o la CLI de gcloud.
- Para la consola Google Cloud , consulta Control de acceso con la consolaGoogle Cloud .
- Para obtener información sobre la API, consulta Control de acceso mediante la API.
- Para obtener información sobre gcloud CLI, consulta Control de acceso con gcloud CLI .
Siguientes pasos
- Consulta más información sobre los roles de gestión de identidades y accesos.
- Más información sobre los permisos de gestión de identidades y accesos
- Más información sobre la seguridad de Dataplex Universal Catalog