Ce document explique comment utiliser Google Cloud Identity and Access Management (IAM) pour le contrôle des accès dans Dataplex Universal Catalog.
IAM contrôle l'accès à vos ressources Dataplex Universal Catalog au niveau de la ressource Google Cloud . Il détermine qui peut gérer les ressources Dataplex Universal Catalog, par exemple les groupes d'entrées et les entrées. Vous pouvez gérer ces ressources à l'aide des API et d'outils tels que la consoleGoogle Cloud , Google Cloud CLI ou les bibliothèques clientes. Google Cloud
Pour en savoir plus sur IAM, consultez la documentation IAM.
Présentation d'IAM
Par défaut, lorsque vous créez un projet Google Cloud , le rôle Propriétaire est attribué au créateur du projet d'origine. D'autres comptes de service gérés par Google peuvent exister par défaut ou être créés lorsque vous activez une API pour effectuer des tâches spécifiques. Toutefois, aucun autre utilisateur individuel n'a accès au projet ni à ses ressources, y compris aux ressources Dataplex Universal Catalog. Cet accès n'est accordé que lorsque vous ajoutez explicitement des utilisateurs en tant que membres du projet ou que vous leur attribuez des rôles sur des ressources spécifiques.
IAM vous permet d'accorder un accès précis à des ressources Google Cloudspécifiques et empêche tout accès non souhaité à d'autres ressources. IAM vous permet d'adopter le principe de sécurité du moindre privilège en n'accordant que l'accès nécessaire à vos ressources.
IAM vous permet de contrôler qui (principaux) a accès (rôles) à quelles ressources.
Compte principal
Un compte principal peut être un compte Google (pour les utilisateurs finaux), un compte de service (pour les applications et les machines virtuelles), un groupe Google, ou un domaine Google Workspace ou Cloud Identity. Ces comptes principaux peuvent accéder à une ressource. Lorsque vous accordez des rôles, vous identifiez le compte principal à l'aide d'un identifiant, comme décrit dans la documentation de référence sur les liaisons de stratégies.
Pour en savoir plus, consultez Présentation d'IAM : comptes principaux.
Agent de service Dataplex Universal Catalog
Dataplex Universal Catalog utilise un compte de service géré Google Cloud , appelé agent de service, pour accéder à vos ressources. L'agent de service est créé lorsque vous activez l'API Dataplex. L'agent de service peut être identifié à l'aide de l'adresse e-mail :
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
Ici, CUSTOMER_PROJECT_NUMBER correspond au numéro du projet dans lequel vous avez activé l'API Dataplex.
L'agent de service Dataplex Universal Catalog nécessite le rôle Agent de service Dataplex (roles/dataplex.serviceAgent) sur le projet pour gérer les ressources Dataplex Universal Catalog. Ce rôle est accordé automatiquement lorsque vous activez l'API. Si vous révoquez ce rôle, il est possible que Dataplex Universal Catalog ne fonctionne pas correctement.
Ressource
Les ressources auxquelles vous pouvez accorder l'accès dans Dataplex Universal Catalog incluent les projets, les groupes d'entrées, les entrées, les types d'aspects et les types d'entrées.
Certaines méthodes d'API nécessitent des autorisations pour plusieurs ressources. Par exemple, pour associer un aspect à une entrée, vous devez disposer des autorisations nécessaires pour l'entrée et le type d'aspect.
Rôle
Un rôle est un ensemble d'autorisations. Les autorisations déterminent les opérations autorisées sur une ressource. Lorsque vous attribuez un rôle à un compte principal, vous lui accordez toutes les autorisations contenues dans ce rôle.
Vous pouvez attribuer un ou plusieurs rôles à un compte principal.
Comme d'autres produits Google Cloud , Dataplex Universal Catalog est compatible avec trois types de rôles :
Rôles de base : rôles très permissifs (propriétaire, éditeur, lecteur) qui existaient avant l'introduction d'IAM. Pour en savoir plus sur les rôles de base, consultez Rôles de base.
Les rôles prédéfinis fournissent un accès précis à des ressources Google Cloudspécifiques. Pour en savoir plus sur les rôles prédéfinis, consultez Rôles prédéfinis. La documentation sur les rôles IAM Dataplex Universal Catalog décrit les rôles prédéfinis de Dataplex Universal Catalog.
Les rôles personnalisés vous aident à appliquer le principe du moindre privilège en n'accordant que les autorisations spécifiques nécessaires. Pour en savoir plus sur les rôles personnalisés, consultez Rôles personnalisés.
Par exemple, le rôle prédéfini Lecteur Dataplex (roles/dataplex.viewer) permet d'accéder en lecture seule aux ressources Dataplex Universal Catalog. Un compte principal doté de ce rôle peut afficher les groupes d'entrées, les entrées, les types d'aspects et les types d'entrées, mais ne peut pas les créer, les modifier ni les supprimer. À l'inverse, le rôle Administrateur Dataplex Universal Catalog (roles/dataplex.admin) accorde un accès étendu à la gestion des ressources Dataplex Universal Catalog.
Pour en savoir plus sur l'attribution de rôles, consultez Accorder, modifier et révoquer les accès.
Pour déterminer les autorisations dont vous avez besoin pour une tâche spécifique, consultez les pages de référence sur les rôles Dataplex Universal Catalog et les autorisations Dataplex Universal Catalog.
Par exemple, pour une ressource de projet, vous pouvez attribuer le rôle roles/dataplex.admin à un compte Google. Ce compte peut ensuite gérer les ressources Dataplex Universal Catalog dans le projet, mais pas les autres ressources. IAM permet également de gérer les rôles de base accordés aux membres de l'équipe de projet.
Stratégies IAM pour les ressources
Une stratégie IAM vous permet de gérer des rôles IAM sur des ressources au lieu ou en complément des rôles que vous gérez au niveau du projet. Vous pouvez ainsi appliquer le principe du moindre privilège en n'accordant l'accès qu'aux ressources spécifiques dont les collaborateurs ont besoin pour effectuer leur travail.
Les ressources héritent des stratégies de leurs ressources parentes. Si vous définissez une stratégie au niveau du projet, elle est héritée par toutes les ressources enfants. La stratégie applicable à une ressource combine la stratégie définie pour celle-ci et la stratégie héritée des niveaux supérieurs de la hiérarchie. Pour en savoir plus, consultez la hiérarchie des stratégies IAM.
Vous pouvez obtenir et définir des stratégies IAM à l'aide de la console Google Cloud , de l'API Identity and Access Management ou de la CLI gcloud.
- Pour la console Google Cloud , consultez Contrôle des accès à l'aide de la consoleGoogle Cloud .
- Pour l'API, consultez Contrôle des accès à l'aide de l'API.
- Pour la gcloud CLI, consultez Contrôle des accès à l'aide de la gcloud CLI .
Étape suivante
- Obtenez plus d'informations sur les rôles IAM.
- En savoir plus sur les autorisations IAM
- En savoir plus sur la sécurité de Dataplex Universal Catalog