Este documento descreve como usar a Google Cloud gestão de identidade e de acesso (IAM) para o controlo de acesso no Dataplex Universal Catalog.
A IAM controla o acesso aos recursos do catálogo universal do Dataplex ao nível do Google Cloud recurso. Determina quem pode gerir os recursos do Dataplex Universal Catalog, por exemplo, grupos de entradas e entradas. Pode gerir estes recursos através de Google Cloud APIs e ferramentas como aGoogle Cloud consola, a Google Cloud CLI ou as bibliotecas cliente.
Para mais informações sobre o IAM, consulte a documentação do IAM.
Vista geral da IAM
Por predefinição, quando cria um novo Google Cloud projeto, ao criador do projeto original é atribuída a função de proprietário. Podem existir outras contas de serviço geridas pela Google por predefinição ou serem criadas quando ativa uma API para realizar tarefas específicas. No entanto, nenhum outro utilizador individual tem acesso ao projeto e aos respetivos recursos, incluindo os recursos do Dataplex Universal Catalog. Este acesso é concedido apenas quando adiciona explicitamente utilizadores como membros do projeto ou lhes concede funções em recursos específicos.
O IAM permite-lhe conceder acesso detalhado a recursos Google Cloud específicos e impede o acesso indesejado a outros recursos. O IAM permite-lhe adotar o princípio de segurança do menor privilégio, concedendo apenas o acesso necessário aos seus recursos.
O IAM permite-lhe controlar quem (diretores) tem que acesso (funções) a que recursos.
Em dívida
Um principal pode ser uma Conta Google (para utilizadores finais), uma conta de serviço (para apps e máquinas virtuais), um grupo Google ou um domínio do Google Workspace ou Cloud ID. Estes principais podem aceder a um recurso. Quando atribui funções, identifica o principal através de um identificador, conforme descrito na referência de associação de políticas.
Para mais informações, consulte o artigo Vista geral do IAM: responsáveis.
O agente de serviço do Dataplex Universal Catalog
O Dataplex Universal Catalog usa uma Google Cloud conta de serviço gerida conhecida como um agente de serviço para aceder aos seus recursos. O agente de serviço é criado quando ativa a API Dataplex. O agente do serviço é identificável pelo respetivo email:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
Aqui, CUSTOMER_PROJECT_NUMBER é o número do projeto onde ativou a API Dataplex.
O agente de serviço do Dataplex Universal Catalog requer a função
Agente de serviço do Dataplex (roles/dataplex.serviceAgent) no projeto
para gerir recursos do Dataplex Universal Catalog. Esta função é concedida automaticamente
quando ativa a API. Se revogar esta função, o Dataplex Universal Catalog pode não funcionar corretamente.
Recurso
Os recursos aos quais pode conceder acesso no Dataplex Universal Catalog incluem projetos, grupos de entradas, entradas, tipos de aspetos e tipos de entradas.
Alguns métodos da API requerem autorizações para vários recursos. Por exemplo, anexar um aspeto a uma entrada requer autorizações na entrada e no tipo de aspeto.
Função
Uma função é uma coleção de autorizações. As autorizações determinam que operações são permitidas num recurso. Quando atribui uma função a um principal, atribui todas as autorizações que a função contém.
Pode conceder uma ou mais funções a um principal.
Semelhante a outros Google Cloud produtos, o Dataplex Universal Catalog suporta três tipos de funções:
Funções básicas: funções altamente permissivas (proprietário, editor, leitor) que existiam antes da introdução do IAM. Para mais informações sobre as funções básicas, consulte o artigo Funções básicas.
Funções predefinidas: oferecem acesso detalhado a recursos Google Cloud específicos. Para mais informações sobre as funções predefinidas, consulte o artigo Funções predefinidas. A documentação de funções de IAM do Dataplex Universal Catalogdetalha as funções predefinidas do Dataplex Universal Catalog.
Funções personalizadas: ajudam a aplicar o princípio do menor privilégio ao conceder apenas as autorizações específicas necessárias. Para mais informações sobre as funções personalizadas, consulte o artigo Funções personalizadas.
Por exemplo, a função predefinida Dataplex Viewer (roles/dataplex.viewer) fornece acesso só de leitura aos recursos do Dataplex Universal Catalog. Um principal
com esta função pode ver grupos de entradas, entradas, tipos de aspetos e tipos de entradas,
mas não pode criá-los, atualizá-los nem eliminá-los. Por outro lado, o administrador do Dataplex Universal Catalog (roles/dataplex.admin) concede acesso amplo para gerir
recursos do Dataplex Universal Catalog.
Para mais informações sobre a atribuição de funções, consulte o artigo Conceder, alterar e revogar o acesso.
Para determinar as autorizações de que precisa para uma tarefa específica, consulte as páginas de referência para funções do catálogo universal do Dataplex e autorizações do catálogo universal do Dataplex.
Por exemplo, para um recurso de projeto, pode atribuir a função roles/dataplex.admin a uma Conta Google. Essa conta pode, então, gerir os recursos do catálogo universal do Dataplex no projeto, mas não pode gerir outros recursos. Também pode usar o IAM para gerir as funções básicas concedidas aos membros da equipa do projeto.
Políticas IAM para recursos
Uma política de IAM permite-lhe gerir funções de IAM em recursos, em vez de, ou além de, gerir funções ao nível do projeto. Isto oferece flexibilidade para aplicar o princípio do menor privilégio, concedendo acesso apenas aos recursos específicos de que os colaboradores precisam para o seu trabalho.
Os recursos herdam as políticas dos respetivos recursos principais. Se definir uma política ao nível do projeto, esta é herdada por todos os respetivos recursos secundários. A política em vigor para um recurso é a união da política definida nesse recurso e da política herdada de um nível superior na hierarquia. Para mais informações, consulte a hierarquia da política de IAM.
Pode obter e definir políticas de IAM através da Google Cloud consola, da API Identity and Access Management ou da CLI gcloud.
- Para a Google Cloud consola, consulte o artigo Controlo de acesso através da Google Cloud consola.
- Para a API, consulte o artigo Controlo de acesso através da API.
- Para a CLI gcloud, consulte o artigo Controlo de acesso através da CLI gcloud .
O que se segue?
- Saiba mais acerca das funções do IAM.
- Saiba mais sobre as autorizações do IAM.
- Saiba mais sobre a segurança do Dataplex Universal Catalog