Questo documento spiega come utilizzare Identity and Access Management (IAM) per gestire controllo dell'accesso per le risorse Dataplex Universal Catalog. IAM controlla l'accesso alle risorse di Dataplex Universal Catalog a livello di risorsa Google Cloud . Consente di controllare quali principal possono gestire risorse specifiche, come gruppi di voci e voci, utilizzando la console Google Cloud , Google Cloud CLI, le librerie client o le API.
Per saperne di più su IAM, consulta la documentazione di IAM.
Panoramica di IAM
Quando crei un nuovo progetto Google Cloud , al creatore del progetto originale viene concesso il ruolo Proprietario. Potrebbero esistere o essere creati altri account di servizio gestiti da Google quando abiliti un'API per eseguire attività specifiche. Tuttavia, nessun altro utente individuale ha accesso al progetto e alle relative risorse, incluse quelle di Dataplex Universal Catalog. Concedi questo accesso solo quando aggiungi esplicitamente gli utenti come membri del progetto o concedi loro ruoli su risorse specifiche.
IAM ti consente di concedere un accesso granulare a risorse Google Cloudspecifiche e impedisce l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo concedendo solo l'accesso necessario alle tue risorse.
IAM ti consente di controllare chi (soggetti) ha quale accesso (ruoli) a quali risorse.
Entità
Un'entità può essere un Account Google (per gli utenti finali), un account di servizio (per app e macchine virtuali), un gruppo Google o un dominio Google Workspace o Cloud Identity. Queste entità possono accedere a una risorsa. Quando concedi ruoli, identifichi l'entità utilizzando un identificatore, come descritto in Riferimento all'associazione di policy.
Per saperne di più, consulta Panoramica di IAM: entità.
Service Agent Dataplex Universal Catalog
Dataplex Universal Catalog utilizza un account di servizio gestito, un service agent, per accedere alle tue risorse. Google Cloud I service agent sono service account gestiti da Google che consentono ai servizi Google Cloud di accedere alle risorse nel tuo progetto. Questi sono diversi dai service account gestiti dall'utente, che crei e utilizzi per rappresentare le tue applicazioni o i tuoi carichi di lavoro.
Il service agent Dataplex Universal Catalog viene creato quando abiliti l'API Dataplex. Puoi identificare l'agente di servizio tramite la sua email:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
In questo caso, CUSTOMER_PROJECT_NUMBER è il numero di progetto del progetto in cui hai abilitato l'API Dataplex.
Il service agent Dataplex Universal Catalog richiede il ruolo
Service Agent Dataplex (roles/dataplex.serviceAgent) nel progetto
per gestire le risorse Dataplex Universal Catalog. Quando abiliti l'API, il sistema
concede automaticamente questo ruolo. Se revochi questo ruolo, Dataplex Universal Catalog
potrebbe non funzionare correttamente.
Se Dataplex Universal Catalog deve accedere a risorse in altri progetti (ad esempio, bucket Cloud Storage o set di dati BigQuery che vuoi collegare come asset o analizzare per i profili dei dati), devi concedere a questo agente di servizio le autorizzazioni richieste nei progetti che contengono queste risorse.
Per saperne di più sulla concessione delle autorizzazioni al service agent per allegare asset, consulta Gestire gli asset di dati.
Per ulteriori informazioni sulla concessione delle autorizzazioni al service agent per la profilazione dei dati, consulta Creare e utilizzare le scansioni di profilazione dei dati.
Risorsa
Le risorse a cui puoi concedere l'accesso in Dataplex Universal Catalog includono progetti, gruppi di voci, voci, tipi di aspetto e tipi di voci.
Alcuni metodi API richiedono autorizzazioni per più risorse. Ad esempio, collegare un aspetto a una voce richiede autorizzazioni sia per la voce sia per il tipo di aspetto.
Ruolo
Un ruolo è un insieme di autorizzazioni che determinano quali operazioni può eseguire un'entità su una risorsa. Se concedi un ruolo a un'entità, concedi tutte le autorizzazioni incluse nel ruolo.
Puoi concedere uno o più ruoli a un'entità.
Analogamente ad altri prodotti Google Cloud , Dataplex Universal Catalog supporta tre tipi di ruoli:
Ruoli di base:ruoli molto permissivi (Proprietario, Editor, Visualizzatore) che esistevano prima dell'introduzione di IAM. Per ulteriori informazioni sui ruoli di base, consulta la sezione Ruoli di base.
Ruoli predefiniti:forniscono un accesso granulare a risorse Google Cloudspecifiche. Per saperne di più sui ruoli predefiniti, consulta Ruoli predefiniti. La documentazione sui ruoli IAM per Dataplex Universal Catalog descrive in dettaglio i ruoli predefiniti di Dataplex Universal Catalog.
Ruoli personalizzati:ti aiutano ad applicare il principio del privilegio minimo concedendo solo le autorizzazioni specifiche necessarie. Per ulteriori informazioni sui ruoli personalizzati, consulta la sezione Ruoli personalizzati.
Ad esempio, il ruolo predefinito Visualizzatore Dataplex (roles/dataplex.viewer)
fornisce l'accesso di sola lettura alle risorse Dataplex Universal Catalog. Un principal
con questo ruolo può visualizzare gruppi di voci, voci, tipi di aspetto e tipi di voce,
ma non può crearli, aggiornarli o eliminarli. Al contrario, l'amministratore di Dataplex Universal Catalog (roles/dataplex.admin) concede un ampio accesso per gestire le risorse Dataplex Universal Catalog.
Per saperne di più sull'assegnazione dei ruoli, consulta Concessione, modifica e revoca dell'accesso.
Per determinare le autorizzazioni necessarie per un'attività specifica, consulta le pagine di riferimento per i ruoli Dataplex Universal Catalog e le autorizzazioni Dataplex Universal Catalog.
Ad esempio, per una risorsa di progetto, puoi assegnare il ruolo
roles/dataplex.admin a un Account Google. Questo account può quindi gestire
le risorse Dataplex Universal Catalog nel progetto, ma non può gestire altre
risorse. Puoi anche utilizzare IAM per gestire i ruoli di base concessi ai membri del team di progetto.
Policy IAM per le risorse
Una policy IAM ti consente di gestire i ruoli IAM sulle risorse anziché, o in aggiunta a, gestire i ruoli a livello di progetto. In questo modo, hai la flessibilità di applicare il principio del privilegio minimo concedendo l'accesso solo alle risorse specifiche di cui i collaboratori hanno bisogno per svolgere il proprio lavoro.
Le risorse ereditano i criteri delle risorse padre. Se imposti una policy a livello di progetto, tutte le risorse figlio la ereditano. La policy applicata a una risorsa è data dall'unione della policy impostata per quella risorsa più la policy ereditata dal livello superiore della gerarchia. Per saperne di più, consulta la gerarchia delle policy IAM.
Puoi ottenere e impostare le policy IAM utilizzando la console Google Cloud , l'API Identity and Access Management o gcloud CLI.
- Per la console Google Cloud , consulta Controllo dell'accesso tramite la consoleGoogle Cloud .
- Per l'API, vedi Controllo dell'accesso tramite l'API.
- Per gcloud CLI, vedi Controllo dell'accesso tramite gcloud CLI .
Passaggi successivi
- Scopri di più sui ruoli IAM.
- Scopri di più sulle autorizzazioni IAM.
- Scopri di più sulla sicurezza di Dataplex Universal Catalog