En este documento se explica cómo usar Gestión de Identidades y Accesos (IAM) para gestionar el control de acceso a los recursos de Universal Catalog de Dataplex. Gestión de identidades y accesos controla el acceso a los recursos de tu catálogo universal de Dataplex a nivel de Google Cloud recurso. Te permite controlar qué principales pueden gestionar recursos específicos, como grupos y entradas, mediante la consola de Google Cloud , la CLI de Google Cloud, las bibliotecas de cliente o las APIs.
Para obtener más información sobre IAM, consulta la documentación de IAM.
Información general sobre IAM
Cuando creas un Google Cloud proyecto, se asigna el rol de propietario al creador original del proyecto. Es posible que existan o se creen otras cuentas de servicio gestionadas por Google cuando habilites una API para realizar tareas específicas. Sin embargo, ningún otro usuario individual tiene acceso al proyecto ni a sus recursos, incluidos los recursos de Dataplex Universal Catalog. Solo se concede este acceso cuando añades explícitamente a usuarios como miembros del proyecto o les asignas roles en recursos específicos.
IAM te permite conceder acceso granular a recursos Google Cloud específicos e impide el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de mínimos accesos, ya que solo concede el acceso necesario a tus recursos.
La gestión de identidades y accesos te permite controlar quién (entidades principales) tiene qué acceso (roles) a qué recursos.
Principal
Una entidad principal puede ser una cuenta de Google (para usuarios finales), una cuenta de servicio (para aplicaciones y máquinas virtuales), un grupo de Google o un dominio de Google Workspace o Cloud Identity. Estas entidades pueden acceder a un recurso. Cuando asignas roles, identificas al principal mediante un identificador, tal como se describe en la referencia de vinculación de políticas.
Para obtener más información, consulta Información general sobre la gestión de identidades y accesos: principales.
Agente de servicio de Dataplex Universal Catalog
Dataplex Universal Catalog usa una Google Cloud cuenta de servicio gestionada, un agente de servicio, para acceder a tus recursos. Los agentes de servicio son cuentas de servicio gestionadas por Google que permiten a los servicios acceder a los recursos de tu proyecto. Google Cloud Es diferente de las cuentas de servicio gestionadas por el usuario, que se crean y se usan para representar aplicaciones o cargas de trabajo.
El agente de servicio de Dataplex Universal Catalog se crea cuando habilitas la API de Dataplex. Puedes identificar al agente del servicio por su correo:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
En este caso, CUSTOMER_PROJECT_NUMBER es el número del proyecto en el que has habilitado la API Dataplex.
El agente de servicio de Dataplex Universal Catalog requiere el rol Agente de servicio de Dataplex (roles/dataplex.serviceAgent) en el proyecto para gestionar los recursos de Dataplex Universal Catalog. Cuando habilitas la API, el sistema asigna automáticamente este rol. Si revocas este rol, es posible que Dataplex Universal Catalog no funcione correctamente.
Si Dataplex Universal Catalog necesita acceder a recursos de otros proyectos (por ejemplo, a los contenedores de Cloud Storage o a los conjuntos de datos de BigQuery que quieras adjuntar como recursos o analizar para obtener perfiles de datos), debes conceder a este agente de servicio los permisos necesarios en los proyectos que contengan esos recursos.
Para obtener más información sobre cómo conceder permisos al agente de servicio para adjuntar recursos, consulta Gestionar recursos de datos.
Para obtener más información sobre cómo conceder permisos al agente de servicio para crear perfiles de datos, consulta el artículo Crear y usar análisis de perfil de datos.
Recurso
Entre los recursos a los que puede conceder acceso en Dataplex Universal Catalog se incluyen proyectos, grupos de entradas, entradas, tipos de aspectos y tipos de entradas.
Algunos métodos de la API requieren permisos para varios recursos. Por ejemplo, para adjuntar un aspecto a una entrada, se necesitan permisos tanto en la entrada como en el tipo de aspecto.
Rol
Un rol es un conjunto de permisos que determinan qué operaciones puede realizar una entidad principal en un recurso. Cuando asignas un rol a una entidad principal, le concedes todos los permisos que contiene el rol.
Puedes conceder uno o varios roles a un principal.
Al igual que otros Google Cloud productos, Dataplex Universal Catalog admite tres tipos de roles:
Roles básicos: roles muy permisivos (Propietario, Editor y Lector) que existían antes de que se introdujera IAM. Para obtener más información sobre los roles básicos, consulta Roles básicos.
Roles predefinidos: proporcionan acceso granular a recursos Google Cloud específicos. Para obtener más información sobre los roles predefinidos, consulta el artículo Roles predefinidos. En la documentación sobre los roles de gestión de identidades y accesos de Dataplex Universal Catalog se describen los roles predefinidos de Dataplex Universal Catalog.
Roles personalizados: te ayudan a aplicar el principio de mínimos accesos, ya que solo conceden los permisos específicos necesarios. Para obtener más información sobre los roles personalizados, consulta el artículo Roles personalizados.
Por ejemplo, el rol predefinido Visor de Dataplex (roles/dataplex.viewer) proporciona acceso de solo lectura a los recursos de Dataplex Universal Catalog. Una entidad con este rol puede ver grupos de entradas, entradas, tipos de aspectos y tipos de entradas, pero no puede crearlos, actualizarlos ni eliminarlos. Por el contrario, el rol Administrador de Dataplex Universal Catalog (roles/dataplex.admin) concede un acceso amplio para gestionar recursos de Dataplex Universal Catalog.
Para obtener más información sobre cómo asignar roles, consulta Conceder, cambiar y revocar el acceso.
Para determinar qué permisos necesitas para una tarea específica, consulta las páginas de referencia de los roles de Dataplex Universal Catalog y los permisos de Dataplex Universal Catalog.
Por ejemplo, en el caso de un recurso de proyecto, puedes asignar el rol roles/dataplex.admin a una cuenta de Google. Esa cuenta puede gestionar los recursos del catálogo universal de Dataplex del proyecto, pero no otros recursos. También puedes usar la gestión de identidades y accesos para gestionar los roles básicos concedidos a los miembros del equipo del proyecto.
Políticas de gestión de identidades y accesos de recursos
Una política de gestión de identidades y accesos te permite gestionar roles de gestión de identidades y accesos en recursos en lugar de gestionar roles a nivel de proyecto, o además de hacerlo. De esta forma, se puede aplicar el principio de mínimos accesos, ya que se concede acceso solo a los recursos específicos que los colaboradores necesitan para hacer su trabajo.
Los recursos heredan las políticas de sus recursos superiores. Si defines una política a nivel de proyecto, todos sus recursos secundarios la heredarán. La política efectiva de un recurso es la unión de la política definida en ese recurso y la política heredada de un nivel superior de la jerarquía. Para obtener más información, consulta la jerarquía de políticas de gestión de identidades y accesos.
Puede obtener y definir políticas de gestión de identidades y accesos mediante la Google Cloud consola, la API de gestión de identidades y accesos o la CLI de gcloud.
- Para la consola Google Cloud , consulta Control de acceso con la consolaGoogle Cloud .
- Para obtener información sobre la API, consulta Control de acceso mediante la API.
- Para obtener información sobre gcloud CLI, consulta Control de acceso con gcloud CLI .
Siguientes pasos
- Consulta más información sobre los roles de gestión de identidades y accesos.
- Más información sobre los permisos de gestión de identidades y accesos
- Más información sobre la seguridad de Dataplex Universal Catalog