En este documento, se describe cómo usar Google Cloud Identity and Access Management (IAM) para el control de acceso en el catálogo universal de Dataplex.
IAM controla el acceso a tus recursos de Dataplex Universal Catalog a nivel del Google Cloud recurso. Determina quién puede administrar los recursos de Dataplex Universal Catalog, por ejemplo, los grupos de entradas y las entradas. Puedes administrar estos recursos con las APIs y las herramientas de Google Cloud , como la consola deGoogle Cloud , Google Cloud CLI o las bibliotecas cliente.
Para obtener más información sobre IAM, consulta la documentación de IAM.
Descripción general de IAM
De forma predeterminada, cuando creas un proyecto Google Cloud nuevo, se le otorga el rol de propietario al creador original del proyecto. Es posible que existan otras cuentas de servicio administradas por Google de forma predeterminada o que se creen cuando habilitas una API para realizar tareas específicas. Sin embargo, ningún otro usuario individual tiene acceso al proyecto ni a sus recursos, incluidos los recursos de Dataplex Universal Catalog. Este acceso se otorga solo cuando agregas usuarios de forma explícita como miembros del proyecto o les otorgas roles en recursos específicos.
IAM te permite otorgar acceso detallado a recursos específicos de Google Cloudy evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de privilegio mínimo, ya que solo otorga el acceso necesario a tus recursos.
IAM te permite controlar quién (entidades) tiene qué acceso (roles) a qué recursos.
Principal
Un principal puede ser una Cuenta de Google (para usuarios finales), una cuenta de servicio (para apps y máquinas virtuales), un Grupo de Google o un dominio de Google Workspace o Cloud Identity. Estas principales pueden acceder a un recurso. Cuando otorgas roles, identificas al principal con un identificador, como se describe en la referencia de vinculación de políticas.
Para obtener más información, consulta Descripción general de IAM: principales.
El agente de servicio de Dataplex Universal Catalog
Dataplex Universal Catalog usa una Google Cloud cuenta de servicio administrada conocida como agente de servicio para acceder a tus recursos. El agente de servicio se crea cuando habilitas la API de Dataplex. El agente de servicio se identifica por su correo electrónico:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
Aquí, CUSTOMER_PROJECT_NUMBER es el número del proyecto en el que habilitaste la API de Dataplex.
El agente de servicio de Dataplex Universal Catalog requiere el rol de Agente de servicio de Dataplex (roles/dataplex.serviceAgent) en el proyecto para administrar los recursos de Dataplex Universal Catalog. Este rol se otorga automáticamente cuando habilitas la API. Si revocas este rol, es posible que Dataplex Universal Catalog no funcione correctamente.
Recurso
Entre los recursos a los que puedes otorgar acceso en Dataplex Universal Catalog, se incluyen proyectos, grupos de entradas, entradas, tipos de aspectos y tipos de entradas.
Algunos métodos de API requieren permisos para varios recursos. Por ejemplo, adjuntar un aspecto a una entrada requiere permisos tanto en la entrada como en el tipo de aspecto.
Rol
Un rol es un conjunto de permisos. Los permisos determinan qué operaciones están permitidas en un recurso. Cuando otorgas un rol a una principal, le otorgas todos los permisos que el rol contiene.
Puedes otorgar uno o más roles a un principal.
Al igual que otros productos de Google Cloud , Dataplex Universal Catalog admite tres tipos de roles:
Roles básicos: Roles muy permisivos (propietario, editor y visualizador) que existían antes de la introducción de IAM. Para obtener más información sobre los roles básicos, consulta Roles básicos.
Roles predefinidos: Proporcionan acceso detallado a recursos Google Cloudespecíficos. Para obtener más información sobre los roles predefinidos, consulta Roles predefinidos. En la documentación sobre los roles de IAM de Dataplex Universal Catalog, se detallan los roles predefinidos de Dataplex Universal Catalog.
Roles personalizados: Te ayudan a aplicar el principio de privilegio mínimo, ya que otorgan solo los permisos específicos necesarios. Para obtener más información sobre las funciones personalizadas, consulta Funciones personalizadas.
Por ejemplo, el rol predefinido Visualizador de Dataplex (roles/dataplex.viewer) proporciona acceso de solo lectura a los recursos de Dataplex Universal Catalog. Una principal con este rol puede ver grupos de entradas, entradas, tipos de aspectos y tipos de entradas, pero no puede crearlos, actualizarlos ni borrarlos. Por el contrario, el administrador de Dataplex Universal Catalog (roles/dataplex.admin) otorga acceso amplio para administrar los recursos de Dataplex Universal Catalog.
Para obtener más información sobre cómo asignar roles, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos.
Para determinar qué permisos necesitas para una tarea específica, consulta las páginas de referencia de los roles de Dataplex Universal Catalog y los permisos de Dataplex Universal Catalog.
Por ejemplo, para un recurso de proyecto, puedes asignar el rol roles/dataplex.admin a una Cuenta de Google. Luego, esa cuenta puede administrar los recursos de Dataplex Universal Catalog en el proyecto, pero no puede administrar otros recursos. También puedes usar IAM para administrar los roles básicos otorgados a los miembros del equipo del proyecto.
Políticas de IAM para los recursos
Una política de IAM te permite administrar roles de IAM en recursos en lugar de administrar roles a nivel de proyecto, o además de hacerlo. Esto proporciona flexibilidad para aplicar el principio de privilegio mínimo, ya que otorga acceso solo a los recursos específicos que los colaboradores necesitan para su trabajo.
Los recursos heredan las políticas de sus recursos superiores. Si estableces una política a nivel de proyecto, todos sus recursos secundarios la heredan. La política vigente para un recurso es la unión de la política establecida en ese recurso y la política heredada de una jerarquía superior. Para obtener más información, consulta la jerarquía de políticas de IAM.
Puedes obtener y configurar políticas de IAM con la consola de Google Cloud , la API de Identity and Access Management o gcloud CLI.
- Para la consola de Google Cloud , consulta Control de acceso con la consola deGoogle Cloud .
- Para la API, consulta Control de acceso a través de la API.
- Para la gcloud CLI, consulta Control de acceso con la gcloud CLI .
Próximos pasos
- Obtén más información sobre las funciones de IAM
- Obtén más información sobre los permisos de IAM.
- Más información sobre la seguridad de Dataplex Universal Catalog