Questo documento spiega come utilizzare Identity and Access Management (IAM) per gestire il controllo dell'accesso#39;accesso per le risorse di Knowledge Catalog (in precedenza Dataplex Universal Catalog). IAM controlla l'accesso alle risorse di Knowledge Catalog a livello di risorsa. Google Cloud Consente di controllare quali principal possono gestire risorse specifiche, come gruppi e voci, utilizzando la console Google Cloud , Google Cloud CLI, le librerie client o le API.
Per saperne di più su IAM, consulta la documentazione di IAM.
Panoramica di IAM
Quando crei un nuovo progetto, al creatore del progetto originale viene concesso il ruolo di proprietario. Google Cloud Potrebbero esistere o essere creati altri account di servizio gestiti da Google quando abiliti un'API per eseguire attività specifiche. Tuttavia, nessun altro utente individuale ha accesso al progetto e alle relative risorse, incluse quelle di Knowledge Catalog. Concedi questo accesso solo quando aggiungi esplicitamente gli utenti come membri del progetto o concedi loro ruoli su risorse specifiche.
IAM ti consente di concedere un accesso granulare a risorse Google Cloudspecifiche e impedisce l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo concedendo solo l'accesso necessario alle tue risorse.
IAM ti consente di controllare chi (entità) ha quale accesso (ruoli) a quali risorse.
Entità
Un'entità può essere un Account Google (per gli utenti finali), un account di servizio (per app e macchine virtuali), un gruppo Google o un dominio Google Workspace o Cloud Identity. Queste entità possono accedere a una risorsa. Quando concedi ruoli, identifichi l'entità utilizzando un identificatore, come descritto in Riferimento all'associazione di policy.
Per saperne di più, consulta Panoramica di IAM: entità.
Service agent
Knowledge Catalog utilizza un account di servizio gestito, un service agent, per accedere alle tue risorse. Google Cloud I service agent sono service account gestiti da Google che consentono ai servizi Google Cloud di accedere alle risorse nel tuo progetto. Questi sono diversi dai service account gestiti dall'utente, che crei e utilizzi per rappresentare le tue applicazioni o i tuoi carichi di lavoro.
Il service agent viene creato quando abiliti l'API Dataplex. Puoi identificare l'agente di servizio in base al suo ID email:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
In questo caso, CUSTOMER_PROJECT_NUMBER è il numero di progetto del progetto in cui hai abilitato l'API Dataplex.
Il service agent richiede il ruolo
Service Agent Dataplex (roles/dataplex.serviceAgent) nel progetto
per gestire le risorse di Knowledge Catalog. Quando abiliti l'API, il sistema
concede automaticamente questo ruolo. Se revochi questo ruolo, Knowledge Catalog
potrebbe non funzionare correttamente.
Se Knowledge Catalog deve accedere a risorse in altri progetti (ad esempio, bucket Cloud Storage o set di dati BigQuery che vuoi collegare come asset o analizzare per i profili di dati), devi concedere a questo agente di servizio le autorizzazioni richieste nei progetti che contengono queste risorse.
Per saperne di più sulla concessione delle autorizzazioni al service agent per allegare asset, consulta Gestire gli asset di dati.
Per ulteriori informazioni sulla concessione delle autorizzazioni al service agent per la profilazione dei dati, consulta Creare e utilizzare le scansioni di profilazione dei dati.
Identità di esecuzione per le scansioni dei dati
Per impostazione predefinita, Knowledge Catalog utilizza l'agente di servizio per eseguire le scansioni della qualità dei dati e della profilazione dei dati. Tuttavia, puoi scegliere di ignorare questo comportamento ed eseguire scansioni utilizzando un account di servizio personalizzato o le tue credenziali utente finale (EUC).
Se specifichi un account di servizio personalizzato per l'identità di esecuzione della scansione, l'agente di servizio richiede il ruolo Creatore token service account (roles/iam.serviceAccountTokenCreator) (o l'autorizzazione iam.serviceAccounts.getAccessToken) sul service account di destinazione per rappresentarlo ed eseguire il job. Per maggiori dettagli, consulta la documentazione sull'identità di esecuzione per la qualità dei dati e la profilazione dei dati.
Risorsa
Le risorse a cui puoi concedere l'accesso in Knowledge Catalog includono progetti, gruppi di voci, voci, collegamenti di voci, tipi di aspetto, tipi di voci e tipi di collegamento di voci.
Alcuni metodi API richiedono autorizzazioni per più risorse. Ad esempio, l'associazione di un aspetto a una voce richiede autorizzazioni sia per la voce sia per il tipo di aspetto.
Ruolo
Un ruolo è un insieme di autorizzazioni che determinano quali operazioni un'entità può eseguire su una risorsa. Se concedi un ruolo a un'entità, concedi tutte le autorizzazioni incluse nel ruolo.
Puoi concedere uno o più ruoli a un'entità.
Analogamente ad altri Google Cloud prodotti, Knowledge Catalog supporta tre tipi di ruoli:
Ruoli di base:ruoli molto permissivi (Proprietario, Editor, Visualizzatore) che esistevano prima dell'introduzione di IAM. Per ulteriori informazioni sui ruoli di base, consulta la sezione Ruoli di base.
Ruoli predefiniti:forniscono un accesso granulare a risorse Google Cloudspecifiche. Per saperne di più sui ruoli predefiniti, consulta Ruoli predefiniti. La documentazione sui ruoli IAM di Knowledge Catalog descrive in dettaglio i ruoli predefiniti di Knowledge Catalog.
Ruoli personalizzati:ti aiutano ad applicare il principio del privilegio minimo concedendo solo le autorizzazioni specifiche necessarie. Per ulteriori informazioni sui ruoli personalizzati, consulta la sezione Ruoli personalizzati.
Ad esempio, il ruolo predefinito Visualizzatore Dataplex (roles/dataplex.viewer)
fornisce l'accesso in sola lettura alle risorse di Knowledge Catalog. Un principal
con questo ruolo può visualizzare gruppi di voci, voci, collegamenti di voci, tipi di aspetto, tipi di voci e tipi di collegamento di voci, ma non può crearli, aggiornarli o eliminarli.
Al contrario, l'amministratore Dataplex (roles/dataplex.admin) concede un ampio
accesso per gestire le risorse di Knowledge Catalog.
Per saperne di più sull'assegnazione dei ruoli, consulta Concessione, modifica e revoca dell'accesso.
Per determinare le autorizzazioni necessarie per un'attività specifica, consulta le pagine di riferimento per i ruoli del catalogo delle conoscenze e le autorizzazioni del catalogo delle conoscenze.
Ad esempio, per una risorsa di progetto, puoi assegnare il ruolo
roles/dataplex.admin a un Account Google. Questo account può quindi gestire le risorse di Knowledge Catalog nel progetto, ma non può gestire altre risorse. Puoi anche utilizzare IAM per gestire i ruoli di base concessi ai membri del team di progetto.
Policy IAM per le risorse
Una policy IAM ti consente di gestire i ruoli IAM sulle risorse anziché, o in aggiunta a, gestire i ruoli a livello di progetto. In questo modo, hai la flessibilità di applicare il principio del privilegio minimo concedendo l'accesso solo alle risorse specifiche di cui i collaboratori hanno bisogno per il proprio lavoro.
Le risorse ereditano i criteri delle risorse padre. Se imposti una policy a livello di progetto, tutte le risorse figlio la ereditano. La policy applicata a una risorsa è data dall'unione della policy impostata per quella risorsa più la policy ereditata dal livello superiore della gerarchia. Per saperne di più, consulta la gerarchia delle policy IAM.
Puoi ottenere e impostare le policy IAM utilizzando la console Google Cloud , l'API Identity and Access Management o gcloud CLI.
- Per la console Google Cloud , consulta Controllo dell'accesso tramite la consoleGoogle Cloud .
- Per l'API, vedi Controllo dell'accesso tramite l'API.
- Per gcloud CLI, consulta Controllo dell'accesso tramite gcloud CLI .
Passaggi successivi
- Scopri di più sui ruoli IAM.
- Scopri di più sulle autorizzazioni IAM.
- Scopri di più sulla sicurezza di Knowledge Catalog