Este documento explica como usar a gestão de identidade e de acesso (IAM) para gerir o controlo de acesso para recursos do Dataplex Universal Catalog. A IAM controla o acesso aos recursos do Dataplex Universal Catalog ao Google Cloud nível do recurso. Permite-lhe controlar que responsáveis podem gerir recursos específicos, como grupos de entradas e entradas, através da Google Cloud consola, da Google Cloud CLI, das bibliotecas de cliente ou das APIs.
Para mais informações sobre a IAM, consulte a documentação da IAM.
Vista geral da IAM
Quando cria um novo Google Cloud projeto, o criador do projeto original recebe a função de proprietário. Podem existir ou ser criadas outras contas de serviço geridas pela Google quando ativa uma API para realizar tarefas específicas. No entanto, nenhum outro utilizador individual tem acesso ao projeto e aos respetivos recursos, incluindo os recursos do Dataplex Universal Catalog. Concede este acesso apenas quando adiciona explicitamente utilizadores como membros do projeto ou lhes atribui funções em recursos específicos.
O IAM permite-lhe conceder acesso detalhado a Google Cloud recursos específicos e impede o acesso indesejado a outros recursos. O IAM permite-lhe adotar o princípio de segurança do menor privilégio, concedendo apenas o acesso necessário aos seus recursos.
A IAM permite-lhe controlar quem (diretores) tem que acesso (funções) a que recursos.
Principal
Um principal pode ser uma Conta Google (para utilizadores finais), uma conta de serviço (para apps e máquinas virtuais), um grupo Google ou um domínio do Google Workspace ou Cloud ID. Estes principais podem aceder a um recurso. Quando atribui funções, identifica o principal através de um identificador, conforme descrito na referência de associação de políticas.
Para mais informações, consulte o artigo Vista geral da IAM: responsáveis.
O agente de serviço do Dataplex Universal Catalog
O Dataplex Universal Catalog usa uma Google Cloud conta de serviço gerida, um agente de serviço, para aceder aos seus recursos. Os agentes de serviço são contas de serviço geridas pela Google que permitem que os serviços acedam a recursos no seu projeto. Google Cloud Isto é diferente das contas de serviço geridas pelo utilizador, que cria e usa para representar as suas aplicações ou cargas de trabalho.
O agente de serviço do Dataplex Universal Catalog é criado quando ativa a API Dataplex. Pode identificar o agente de serviço pelo respetivo email:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
Aqui, CUSTOMER_PROJECT_NUMBER é o número do projeto onde ativou a API Dataplex.
O agente de serviço do Dataplex Universal Catalog requer a função Agente de serviço do Dataplex (roles/dataplex.serviceAgent) no projeto para gerir os recursos do Dataplex Universal Catalog. Quando ativa a API, o sistema concede automaticamente esta função. Se revogar esta função, o catálogo universal do Dataplex
pode não funcionar corretamente.
Se o catálogo universal do Dataplex precisar de aceder a recursos noutros projetos (por exemplo, contentores do Cloud Storage ou conjuntos de dados do BigQuery que quer anexar como recursos ou analisar para perfis de dados), tem de conceder a este agente de serviço as autorizações necessárias nos projetos que contêm esses recursos.
Para mais informações sobre a concessão de autorizações ao agente de serviço para anexar recursos, consulte o artigo Faça a gestão de recursos de dados.
Para mais informações sobre a concessão de autorizações ao agente de serviço para a criação de perfis de dados, consulte o artigo Crie e use análises de perfis de dados.
Recurso
Os recursos aos quais pode conceder acesso no Dataplex Universal Catalog incluem projetos, grupos de entradas, entradas, tipos de aspetos e tipos de entradas.
Alguns métodos da API requerem autorizações para vários recursos. Por exemplo, anexar um aspeto a uma entrada requer autorizações na entrada e no tipo de aspeto.
Função
Uma função é uma coleção de autorizações que determinam que operações um principal pode realizar num recurso. Quando atribui uma função a um principal, atribui todas as autorizações que a função contém.
Pode conceder uma ou mais funções a um principal.
Semelhante a outros Google Cloud produtos, o Dataplex Universal Catalog suporta três tipos de funções:
Funções básicas: funções altamente permissivas (proprietário, editor, leitor) que existiam antes da introdução do IAM. Para mais informações sobre as funções básicas, consulte o artigo Funções básicas.
Funções predefinidas: oferecem acesso detalhado a recursos Google Cloud específicos. Para mais informações sobre as funções predefinidas, consulte o artigo Funções predefinidas. A documentação das funções de IAM do Dataplex Universal Catalog detalha as funções predefinidas do Dataplex Universal Catalog.
Funções personalizadas: ajudam a aplicar o princípio do menor privilégio ao conceder apenas as autorizações específicas necessárias. Para mais informações sobre as funções personalizadas, consulte o artigo Funções personalizadas.
Por exemplo, a função predefinida Dataplex Viewer (roles/dataplex.viewer) fornece acesso só de leitura aos recursos do Dataplex Universal Catalog. Um principal com esta função pode ver grupos de entradas, entradas, tipos de aspetos e tipos de entradas, mas não pode criá-los, atualizá-los nem eliminá-los. Por outro lado, o administrador do Dataplex Universal Catalog (roles/dataplex.admin) concede acesso amplo para gerir
recursos do Dataplex Universal Catalog.
Para mais informações sobre a atribuição de funções, consulte o artigo Conceder, alterar e revogar o acesso.
Para determinar as autorizações de que precisa para uma tarefa específica, consulte as páginas de referência das funções do catálogo universal do Dataplex e das autorizações do catálogo universal do Dataplex.
Por exemplo, para um recurso de projeto, pode atribuir a função roles/dataplex.admin a uma Conta Google. Essa conta pode então gerir os recursos do catálogo universal do Dataplex no projeto, mas não pode gerir outros recursos. Também pode usar o IAM para gerir as funções básicas concedidas aos membros da equipa do projeto.
Políticas IAM para recursos
Uma política de IAM permite-lhe gerir funções de IAM em recursos, em vez de, ou além de, gerir funções ao nível do projeto. Isto oferece flexibilidade para aplicar o princípio do menor privilégio, concedendo acesso apenas aos recursos específicos de que os colaboradores precisam para o seu trabalho.
Os recursos herdam as políticas dos respetivos recursos principais. Se definir uma política ao nível do projeto, todos os respetivos recursos secundários herdam-na. A política em vigor para um recurso é a união da política definida nesse recurso e da política herdada de um nível superior na hierarquia. Para mais informações, consulte a hierarquia da política de IAM.
Pode obter e definir políticas de IAM através da Google Cloud consola, da API Identity and Access Management ou da CLI gcloud.
- Para a Google Cloud consola, consulte o artigo Controlo de acesso através da Google Cloud consola.
- Para a API, consulte o artigo Controlo de acesso através da API.
- Para a CLI gcloud, consulte o artigo Controlo de acesso através da CLI gcloud .
O que se segue?
- Saiba mais acerca das funções do IAM.
- Saiba mais sobre as autorizações do IAM.
- Saiba mais sobre a segurança do Dataplex Universal Catalog