Questo documento descrive come utilizzare Google Cloud Identity and Access Management (IAM) per controllo dell'accesso in Dataplex Universal Catalog.
IAM controlla l'accesso alle risorse di Dataplex Universal Catalog a livello di risorsa Google Cloud . Determina chi può gestire le risorse di Dataplex Universal Catalog, ad esempio gruppi di voci e voci. Puoi gestire queste risorse utilizzando API e strumenti come la console Google Cloud , Google Cloud CLI o le librerie client.Google Cloud
Per saperne di più su IAM, consulta la documentazione di IAM.
Panoramica di IAM
Per impostazione predefinita, quando crei un nuovo progetto, Google Cloud al Project Creator originale viene concesso il ruolo Proprietario. Per impostazione predefinita potrebbero esistere altri account di servizio gestiti da Google o potrebbero essere creati quando abiliti un'API per eseguire attività specifiche. Tuttavia, nessun altro utente individuale ha accesso al progetto e alle relative risorse, incluse quelle di Dataplex Universal Catalog. Questo accesso viene concesso solo quando aggiungi esplicitamente gli utenti come membri del progetto o concedi loro ruoli su risorse specifiche.
IAM ti consente di concedere un accesso granulare a risorse Google Cloudspecifiche e impedisce l'accesso indesiderato ad altre risorse. IAM consente di adottare il principio di sicurezza del privilegio minimo concedendo solo l'accesso necessario alle tue risorse.
IAM ti consente di controllare chi (entità) ha quale accesso (ruoli) a quali risorse.
Entità
Un'entità può essere un Account Google (per gli utenti finali), un account di servizio (per app e macchine virtuali), un gruppo Google o un dominio Google Workspace o Cloud Identity. Queste entità possono accedere a una risorsa. Quando concedi ruoli, identifichi l'entità utilizzando un identificatore, come descritto in Riferimento all'associazione di policy.
Per saperne di più, consulta Panoramica di IAM: entità.
Service Agent Dataplex Universal Catalog
Dataplex Universal Catalog utilizza un account di servizio gestito noto come service agent per accedere alle tue risorse. Google Cloud Il service agent viene creato quando abiliti l'API Dataplex. L'agente di servizio è identificabile tramite la sua email:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
In questo caso, CUSTOMER_PROJECT_NUMBER è il numero di progetto del progetto in cui hai abilitato l'API Dataplex.
Il service agent Dataplex Universal Catalog richiede il ruolo
Service Agent Dataplex (roles/dataplex.serviceAgent) nel progetto
per gestire le risorse Dataplex Universal Catalog. Questo ruolo viene concesso automaticamente
quando abiliti l'API. Se revochi questo ruolo, Dataplex Universal Catalog potrebbe
non funzionare correttamente.
Risorsa
Le risorse a cui puoi concedere l'accesso in Dataplex Universal Catalog includono progetti, gruppi di voci, voci, tipi di aspetto e tipi di voci.
Alcuni metodi API richiedono autorizzazioni per più risorse. Ad esempio, collegare un aspetto a una voce richiede autorizzazioni sia per la voce sia per il tipo di aspetto.
Ruolo
Un ruolo è una raccolta di autorizzazioni. Le autorizzazioni determinano le operazioni consentite su una risorsa. Se concedi un ruolo a un'entità, concedi tutte le autorizzazioni incluse nel ruolo.
Puoi concedere uno o più ruoli a un'entità.
Analogamente ad altri prodotti Google Cloud , Dataplex Universal Catalog supporta tre tipi di ruoli:
Ruoli di base:ruoli molto permissivi (Proprietario, Editor, Visualizzatore) che esistevano prima dell'introduzione di IAM. Per ulteriori informazioni sui ruoli di base, consulta la sezione Ruoli di base.
Ruoli predefiniti:forniscono un accesso granulare a risorse Google Cloudspecifiche. Per saperne di più sui ruoli predefiniti, consulta Ruoli predefiniti. La documentazione sui ruoli IAM per Dataplex Universal Catalog descrive in dettaglio i ruoli predefiniti di Dataplex Universal Catalog.
Ruoli personalizzati:ti aiutano ad applicare il principio del privilegio minimo concedendo solo le autorizzazioni specifiche necessarie. Per ulteriori informazioni sui ruoli personalizzati, consulta la sezione Ruoli personalizzati.
Ad esempio, il ruolo predefinito Visualizzatore Dataplex (roles/dataplex.viewer)
fornisce l'accesso di sola lettura alle risorse di Dataplex Universal Catalog. Un principal
con questo ruolo può visualizzare gruppi di voci, voci, tipi di aspetti e tipi di voci,
ma non può crearli, aggiornarli o eliminarli. Al contrario, l'amministratore di Dataplex Universal Catalog (roles/dataplex.admin) concede un ampio accesso per gestire le risorse Dataplex Universal Catalog.
Per saperne di più sull'assegnazione dei ruoli, consulta Concessione, modifica e revoca dell'accesso.
Per determinare le autorizzazioni necessarie per un'attività specifica, consulta le pagine di riferimento per i ruoli Dataplex Universal Catalog e le autorizzazioni Dataplex Universal Catalog.
Ad esempio, per una risorsa di progetto, puoi assegnare il ruolo
roles/dataplex.admin a un Account Google. Questo account può quindi gestire le risorse di Dataplex Universal Catalog nel progetto, ma non può gestire altre risorse. Puoi anche utilizzare IAM per gestire i ruoli di base concessi ai membri del team di progetto.
Policy IAM per le risorse
Una policy IAM ti consente di gestire i ruoli IAM sulle risorse anziché, o in aggiunta a, gestire i ruoli a livello di progetto. In questo modo, hai la flessibilità di applicare il principio del privilegio minimo concedendo l'accesso solo alle risorse specifiche di cui i collaboratori hanno bisogno per svolgere il proprio lavoro.
Le risorse ereditano i criteri delle risorse padre. Se imposti una policy a livello di progetto, questa viene ereditata da tutte le risorse figlio. La policy applicata a una risorsa è data dall'unione della policy impostata per quella risorsa più la policy ereditata dal livello superiore della gerarchia. Per saperne di più, consulta la gerarchia delle policy IAM.
Puoi ottenere e impostare le policy IAM utilizzando la console Google Cloud , l'API Identity and Access Management o gcloud CLI.
- Per la console Google Cloud , consulta Controllo dell'accesso tramite la consoleGoogle Cloud .
- Per l'API, consulta Controllo dell'accesso tramite l'API.
- Per gcloud CLI, consulta Controllo dell'accesso tramite gcloud CLI .
Passaggi successivi
- Scopri di più sui ruoli IAM.
- Scopri di più sulle autorizzazioni IAM.
- Scopri di più sulla sicurezza di Dataplex Universal Catalog