En este documento se describe cómo usar Google Cloud Gestión de Identidades y Accesos (IAM) para controlar el acceso en Dataplex Universal Catalog.
Gestión de identidades y accesos controla el acceso a tus recursos de catálogo universal de Dataplex a nivel de Google Cloud recurso. Determina quién puede gestionar los recursos de Dataplex Universal Catalog, como los grupos de entradas y las entradas. Puedes gestionar estos recursos con Google Cloud APIs y herramientas como laGoogle Cloud consola, la CLI de Google Cloud o las bibliotecas de cliente.
Para obtener más información sobre IAM, consulta la documentación de IAM.
Información general sobre IAM
De forma predeterminada, cuando creas un nuevo Google Cloud proyecto, se asigna el rol de propietario al creador original del proyecto. Es posible que existan otras cuentas de servicio gestionadas por Google de forma predeterminada o que se creen cuando habilites una API para realizar tareas específicas. Sin embargo, ningún otro usuario individual tiene acceso al proyecto ni a sus recursos, incluidos los recursos de Dataplex Universal Catalog. Este acceso solo se concede cuando añades explícitamente a usuarios como miembros del proyecto o les asignas roles en recursos específicos.
IAM te permite conceder acceso granular a recursos Google Cloud específicos e impide el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de mínimos accesos, ya que solo concede el acceso necesario a tus recursos.
La gestión de identidades y accesos te permite controlar quién (entidades principales) tiene qué acceso (roles) a qué recursos.
Principal
Una entidad principal puede ser una cuenta de Google (para usuarios finales), una cuenta de servicio (para aplicaciones y máquinas virtuales), un grupo de Google o un dominio de Google Workspace o Cloud Identity. Estas principales pueden acceder a un recurso. Cuando asignas roles, identificas al principal mediante un identificador, tal como se describe en la referencia de vinculación de políticas.
Para obtener más información, consulta Información general sobre la gestión de identidades y accesos: principales.
Agente de servicio de Dataplex Universal Catalog
Dataplex Universal Catalog usa una Google Cloud cuenta de servicio gestionada conocida como agente de servicio para acceder a sus recursos. El agente de servicio se crea cuando habilitas la API Dataplex. El agente del servicio se identifica por su correo:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
En este caso, CUSTOMER_PROJECT_NUMBER es el número del proyecto en el que has habilitado la API Dataplex.
El agente de servicio de Dataplex Universal Catalog requiere el rol Agente de servicio de Dataplex (roles/dataplex.serviceAgent) en el proyecto para gestionar los recursos de Dataplex Universal Catalog. Este rol se asigna automáticamente cuando habilitas la API. Si revoca este rol, es posible que Dataplex Universal Catalog no funcione correctamente.
Recurso
Entre los recursos a los que puede conceder acceso en Dataplex Universal Catalog se incluyen proyectos, grupos de entradas, entradas, tipos de aspectos y tipos de entradas.
Algunos métodos de la API requieren permisos para varios recursos. Por ejemplo, para adjuntar un aspecto a una entrada, se necesitan permisos tanto en la entrada como en el tipo de aspecto.
Rol
Un rol es un conjunto de permisos. Los permisos determinan qué operaciones se pueden realizar en un recurso. Cuando asignas un rol a una entidad, le das todos los permisos que contiene.
Puedes conceder uno o varios roles a un principal.
Al igual que otros Google Cloud productos, Dataplex Universal Catalog admite tres tipos de roles:
Roles básicos: roles muy permisivos (Propietario, Editor y Lector) que existían antes de que se introdujera IAM. Para obtener más información sobre los roles básicos, consulta Roles básicos.
Roles predefinidos: proporcionan acceso específico a recursos concretos. Google Cloud Para obtener más información sobre los roles predefinidos, consulta el artículo Roles predefinidos. En la documentación sobre los roles de gestión de identidades y accesos de Dataplex Universal Catalog se describen los roles predefinidos de Dataplex Universal Catalog.
Roles personalizados: te ayudan a aplicar el principio de mínimos accesos, ya que solo conceden los permisos específicos necesarios. Para obtener más información sobre los roles personalizados, consulta el artículo Roles personalizados.
Por ejemplo, el rol predefinido Visor de Dataplex (roles/dataplex.viewer) proporciona acceso de solo lectura a los recursos de Dataplex Universal Catalog. Una entidad de seguridad con este rol puede ver grupos de entradas, entradas, tipos de aspectos y tipos de entradas, pero no puede crearlos, actualizarlos ni eliminarlos. Por el contrario, el rol Administrador de Dataplex Universal Catalog (roles/dataplex.admin) concede un acceso amplio para gestionar los recursos de Dataplex Universal Catalog.
Para obtener más información sobre cómo asignar roles, consulta Conceder, cambiar y revocar el acceso.
Para determinar qué permisos necesitas para una tarea específica, consulta las páginas de referencia de los roles de Dataplex Universal Catalog y los permisos de Dataplex Universal Catalog.
Por ejemplo, en el caso de un recurso de proyecto, puedes asignar el rol roles/dataplex.admin a una cuenta de Google. Esa cuenta podrá gestionar los recursos de Universal Catalog de Dataplex en el proyecto, pero no otros recursos. También puedes usar la gestión de identidades y accesos para gestionar los roles básicos concedidos a los miembros del equipo del proyecto.
Políticas de gestión de identidades y accesos de recursos
Una política de gestión de identidades y accesos te permite gestionar roles de gestión de identidades y accesos en recursos en lugar de hacerlo a nivel de proyecto, o además de hacerlo a nivel de proyecto. De esta forma, se puede aplicar el principio de mínimos accesos, ya que solo se concede acceso a los recursos específicos que los colaboradores necesitan para hacer su trabajo.
Los recursos heredan las políticas de sus recursos superiores. Si defines una política a nivel de proyecto, todos sus recursos secundarios la heredarán. La política efectiva de un recurso es la unión de la política definida en ese recurso y la política heredada de un nivel superior de la jerarquía. Para obtener más información, consulta la jerarquía de políticas de gestión de identidades y accesos.
Puede obtener y definir políticas de gestión de identidades y accesos mediante la Google Cloud consola, la API de gestión de identidades y accesos o la CLI de gcloud.
- Para la consola de Google Cloud , consulta Control de acceso con la consola deGoogle Cloud .
- Para obtener información sobre la API, consulta Control de acceso mediante la API.
- Para obtener información sobre gcloud CLI, consulta Control de acceso con gcloud CLI .
Siguientes pasos
- Consulta más información sobre los roles de gestión de identidades y accesos.
- Más información sobre los permisos de gestión de identidades y accesos
- Más información sobre la seguridad de Dataplex Universal Catalog