Gerenciar o acesso com o IAM

Este documento explica como usar o Identity and Access Management (IAM) para gerenciar o controle de acesso aos recursos do catálogo universal do Dataplex. O IAM controla o acesso aos recursos do Dataplex Universal Catalog no nível do recurso Google Cloud . Ele permite controlar quais principais podem gerenciar recursos específicos, como grupos e entradas, usando o console Google Cloud , a Google Cloud CLI, bibliotecas de cliente ou APIs.

Para mais informações sobre o IAM, consulte a documentação do IAM.

Visão geral do IAM

Quando você cria um novo projeto Google Cloud , o criador original recebe o papel de proprietário. Outras contas de serviço gerenciado pelo Google podem existir ou ser criadas quando você ativa uma API para realizar tarefas específicas. No entanto, nenhum outro usuário individual tem acesso ao projeto e aos recursos dele, incluindo os recursos do Dataplex Universal Catalog. Você concede esse acesso somente quando adiciona explicitamente usuários como membros do projeto ou concede a eles papéis em recursos específicos.

O IAM permite conceder acesso granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Com o IAM, é possível adotar o princípio de segurança de privilégio mínimo, concedendo apenas o acesso necessário aos recursos.

Com o IAM, você controla quem (principais) tem qual acesso (papéis) a quais recursos.

Principal

Um principal pode ser uma Conta do Google (para usuários finais), uma conta de serviço (para apps e máquinas virtuais), um Grupo do Google ou um domínio do Google Workspace ou do Cloud Identity. Esses principais podem acessar um recurso. Ao conceder papéis, você identifica o principal usando um identificador, conforme descrito em Referência de vinculação de política.

Para mais informações, consulte Visão geral do IAM: principais.

O agente de serviço do Dataplex Universal Catalog

O Dataplex Universal Catalog usa uma conta de serviço gerenciada, um agente de serviço, para acessar seus recursos. Google Cloud Os agentes de serviço são contas de serviço gerenciadas pelo Google que permitem que os serviços do Google Cloud acessem recursos no seu projeto. Isso é diferente das contas de serviço gerenciado pelo usuário, que você cria e usa para representar seus aplicativos ou cargas de trabalho.

O agente de serviço do Dataplex Universal Catalog é criado quando você ativa a API Dataplex. É possível identificar o agente de serviço pelo e-mail:

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com

Aqui, CUSTOMER_PROJECT_NUMBER é o número do projeto em que você ativou a API Dataplex.

O agente de serviço do Dataplex Universal Catalog exige o papel de Agente de serviço do Dataplex (roles/dataplex.serviceAgent) no projeto para gerenciar recursos do Dataplex Universal Catalog. Quando você ativa a API, o sistema concede automaticamente essa função. Se você revogar essa função, o Dataplex Universal Catalog pode não funcionar corretamente.

Se o Dataplex Universal Catalog precisar acessar recursos em outros projetos (por exemplo, buckets do Cloud Storage ou conjuntos de dados do BigQuery que você quer anexar como recursos ou verificar perfis de dados), conceda ao agente de serviço as permissões necessárias nos projetos que contêm esses recursos.

Para mais informações sobre como conceder permissões ao agente de serviço para anexar recursos, consulte Gerenciar recursos de dados.

Para mais informações sobre como conceder permissões ao agente de serviço para criação de perfil de dados, consulte Criar e usar verificações de perfil de dados.

Recurso

Os recursos a que você pode conceder acesso no Dataplex Universal Catalog incluem projetos, grupos de entrada, entradas, tipos de aspecto e tipos de entrada.

Alguns métodos de API exigem permissões para vários recursos. Por exemplo, para anexar um aspecto a uma entrada, é preciso ter permissões na entrada e no tipo de aspecto.

Papel

Um papel é um conjunto de permissões que determinam quais operações um principal pode realizar em um recurso. Ao conceder um papel a um principal, você concede todas as permissões contidas nele.

É possível conceder um ou mais papéis a um principal.

Assim como outros produtos do Google Cloud , o Dataplex Universal Catalog oferece suporte a três tipos de papéis:

Papéis básicos:papéis altamente permissivos (proprietário, editor, leitor) que existiam antes da introdução do IAM. Para mais informações sobre papéis básicos, consulte Papéis básicos.
Papéis predefinidos:fornecem acesso granular a recursos específicos do Google Cloud. Para mais informações sobre papéis predefinidos, consulte Papéis predefinidos. A documentação sobre papéis do IAM do Dataplex Universal Catalog detalha os papéis predefinidos do Dataplex Universal Catalog.
Papéis personalizados:ajudam a aplicar o princípio de privilégio mínimo, concedendo apenas as permissões específicas necessárias. Para mais informações sobre papéis personalizados, consulte Papéis personalizados.

Por exemplo, a função predefinida Leitor do Dataplex (roles/dataplex.viewer) oferece acesso somente leitura aos recursos do Dataplex Universal Catalog. Um principal com essa função pode ver grupos de entradas, entradas, tipos de aspectos e tipos de entradas, mas não pode criar, atualizar ou excluir. Por outro lado, o papel Administrador do Dataplex Universal Catalog (roles/dataplex.admin) concede acesso amplo para gerenciar recursos do Dataplex Universal Catalog.

Para mais informações sobre como atribuir papéis, consulte Conceder, alterar e revogar acesso.

Para determinar quais permissões são necessárias para uma tarefa específica, consulte as páginas de referência para papéis do Dataplex Universal Catalog e permissões do Dataplex Universal Catalog.

Por exemplo, para um recurso de projeto, é possível atribuir o papel roles/dataplex.admin a uma Conta do Google. Essa conta pode gerenciar recursos do Dataplex Universal Catalog no projeto, mas não pode gerenciar outros recursos. Também é possível usar o IAM para gerenciar os papéis básicos concedidos aos membros da equipe do projeto.

Políticas de IAM para recursos

Uma política do IAM permite gerenciar papéis do IAM em recursos em vez de, ou além de, gerenciar papéis no nível do projeto. Isso oferece flexibilidade para aplicar o princípio de privilégio mínimo, concedendo acesso apenas aos recursos específicos que os colaboradores precisam para o trabalho.

Os recursos herdam as políticas dos recursos pai. Se você definir uma política no nível do projeto, ela será herdada por todos os recursos filhos. A política efetiva para um recurso é a união do conjunto de políticas nesse recurso e a política herdada do recurso mais alto na hierarquia. Para mais informações, consulte a hierarquia de políticas do IAM.

É possível receber e definir políticas do IAM usando o console do Google Cloud , a API Identity and Access Management ou a CLI gcloud.

Para o console do Google Cloud , consulte Controle de acesso usando o console doGoogle Cloud .
Para a API, consulte Controle de acesso usando a API.
Para a CLI gcloud, consulte Controle de acesso usando a CLI gcloud .

A seguir

Saiba mais sobre os papéis do IAM.
Saiba mais sobre as permissões do IAM.
Saiba mais sobre a segurança do Dataplex Universal Catalog.

Gerenciar o acesso com o IAM Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.