En este documento, se explica cómo usar Identity and Access Management (IAM) para administrar el control de acceso a los recursos del catálogo universal de Dataplex. IAM controla el acceso a tus recursos de Dataplex Universal Catalog a nivel del Google Cloud recurso. Te permite controlar qué principales pueden administrar recursos específicos, como grupos de entradas y entradas, con la consola de Google Cloud , Google Cloud CLI, las bibliotecas cliente o las APIs.
Para obtener más información sobre IAM, consulta la documentación de IAM.
Descripción general de IAM
Cuando creas un proyecto Google Cloud nuevo, se le otorga el rol de propietario al creador original del proyecto. Es posible que existan o se creen otras cuentas de servicio administradas por Google cuando habilites una API para realizar tareas específicas. Sin embargo, ningún otro usuario individual tiene acceso al proyecto ni a sus recursos, incluidos los recursos de Dataplex Universal Catalog. Solo otorgas este acceso cuando agregas explícitamente a los usuarios como miembros del proyecto o les otorgas roles en recursos específicos.
IAM te permite otorgar acceso detallado a recursos específicos de Google Cloudy evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de privilegio mínimo, ya que solo otorga el acceso necesario a tus recursos.
IAM te permite controlar quién (principales) tiene qué acceso (roles) a qué recursos.
Principal
Un principal puede ser una Cuenta de Google (para usuarios finales), una cuenta de servicio (para apps y máquinas virtuales), un Grupo de Google o un dominio de Google Workspace o Cloud Identity. Estas principales pueden acceder a un recurso. Cuando otorgas roles, identificas al principal con un identificador, como se describe en la Referencia de vinculación de políticas.
Para obtener más información, consulta Descripción general de IAM: principales.
El agente de servicio de Dataplex Universal Catalog
Dataplex Universal Catalog usa una Google Cloud cuenta de servicio administrada, un agente de servicio, para acceder a tus recursos. Los agentes de servicio son cuentas de servicio administradas por Google que permiten que los servicios accedan a los recursos de tu proyecto. Google Cloud Esto es diferente de las cuentas de servicio administradas por el usuario, que creas y usas para representar tus aplicaciones o cargas de trabajo.
El agente de servicio de Dataplex Universal Catalog se crea cuando habilitas la API de Dataplex. Puedes identificar al agente de servicio por su correo electrónico:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
Aquí, CUSTOMER_PROJECT_NUMBER es el número del proyecto en el que habilitaste la API de Dataplex.
El agente de servicio de Dataplex Universal Catalog requiere el rol de Agente de servicio de Dataplex (roles/dataplex.serviceAgent) en el proyecto para administrar los recursos de Dataplex Universal Catalog. Cuando habilitas la API, el sistema otorga este rol automáticamente. Si revocas este rol, es posible que Dataplex Universal Catalog no funcione correctamente.
Si Dataplex Universal Catalog necesita acceder a recursos en otros proyectos (por ejemplo, buckets de Cloud Storage o conjuntos de datos de BigQuery que deseas adjuntar como recursos o analizar para obtener perfiles de datos), debes otorgar a este agente de servicio los permisos necesarios en los proyectos que contienen esos recursos.
Para obtener más información sobre cómo otorgar permisos al agente de servicio para adjuntar recursos, consulta Administra recursos de datos.
Para obtener más información sobre cómo otorgar permisos al agente de servicio para la generación de perfiles de datos, consulta Crea y usa análisis del perfil de datos.
Recurso
Entre los recursos a los que puedes otorgar acceso en Dataplex Universal Catalog, se incluyen proyectos, grupos de entradas, entradas, tipos de aspectos y tipos de entradas.
Algunos métodos de API requieren permisos para varios recursos. Por ejemplo, adjuntar un aspecto a una entrada requiere permisos tanto en la entrada como en el tipo de aspecto.
Rol
Un rol es una colección de permisos que determinan qué operaciones puede realizar una principal en un recurso. Cuando otorgas un rol a un principal, le otorgas todos los permisos que el rol contiene.
Puedes otorgar uno o más roles a un principal.
Al igual que otros productos de Google Cloud , Dataplex Universal Catalog admite tres tipos de roles:
Roles básicos: Roles muy permisivos (propietario, editor y visualizador) que existían antes de la introducción de IAM. Para obtener más información sobre los roles básicos, consulta Roles básicos.
Roles predefinidos: Proporcionan acceso detallado a recursos Google Cloudespecíficos. Para obtener más información sobre los roles predefinidos, consulta Roles predefinidos. En la documentación sobre los roles de IAM de Dataplex Universal Catalog, se detallan los roles predefinidos de Dataplex Universal Catalog.
Roles personalizados: Te ayudan a aplicar el principio de privilegio mínimo, ya que otorgan solo los permisos específicos necesarios. Para obtener más información sobre los roles personalizados, consulta Roles personalizados.
Por ejemplo, el rol predefinido Visualizador de Dataplex (roles/dataplex.viewer) proporciona acceso de solo lectura a los recursos de Dataplex Universal Catalog. Una principal con este rol puede ver grupos de entradas, entradas, tipos de aspectos y tipos de entradas, pero no puede crearlos, actualizarlos ni borrarlos. Por el contrario, el administrador de Dataplex Universal Catalog (roles/dataplex.admin) otorga acceso amplio para administrar los recursos de Dataplex Universal Catalog.
Para obtener más información sobre cómo asignar roles, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos.
Para determinar qué permisos necesitas para una tarea específica, consulta las páginas de referencia de los roles de Dataplex Universal Catalog y los permisos de Dataplex Universal Catalog.
Por ejemplo, para un recurso de proyecto, puedes asignar el rol roles/dataplex.admin a una Cuenta de Google. Luego, esa cuenta puede administrar los recursos de Dataplex Universal Catalog en el proyecto, pero no puede administrar otros recursos. También puedes usar IAM para administrar los roles básicos otorgados a los miembros del equipo del proyecto.
Políticas de IAM para los recursos
Una política de IAM te permite administrar roles de IAM en recursos en lugar de administrar roles a nivel de proyecto, o además de hacerlo. Esto proporciona flexibilidad para aplicar el principio de privilegio mínimo, ya que otorga acceso solo a los recursos específicos que los colaboradores necesitan para su trabajo.
Los recursos heredan las políticas de sus recursos superiores. Si configuras una política a nivel del proyecto, todos sus recursos secundarios la heredan. La política vigente para un recurso es la unión de la política establecida en ese recurso y la política heredada de una jerarquía superior. Para obtener más información, consulta la jerarquía de políticas de IAM.
Puedes obtener y configurar políticas de IAM con la consola de Google Cloud , la API de Identity and Access Management o gcloud CLI.
- Para la consola de Google Cloud , consulta Control de acceso con la consola deGoogle Cloud .
- Para la API, consulta Control de acceso a través de la API.
- Para gcloud CLI, consulta Control de acceso con gcloud CLI .
Próximos pasos
- Obtén más información sobre las funciones de IAM
- Obtén más información sobre los permisos de IAM.
- Más información sobre la seguridad de Dataplex Universal Catalog