Controle de acesso com o IAM

Este documento descreve como usar o Google Cloud Identity and Access Management (IAM) para controle de acesso no catálogo universal do Dataplex.

O IAM controla o acesso aos recursos do Dataplex Universal Catalog no nível do recurso Google Cloud . Ele determina quem pode gerenciar recursos do Dataplex Universal Catalog, como grupos de entrada e entradas. É possível gerenciar esses recursos usando APIs e ferramentas do Google Cloud , como o consoleGoogle Cloud , a Google Cloud CLI ou as bibliotecas de cliente.

Para mais informações sobre o IAM, consulte a documentação do IAM.

Visão geral do IAM

Por padrão, quando você cria um novo projeto Google Cloud , o criador original recebe o papel de proprietário. Outras contas de serviço gerenciado pelo Google podem existir por padrão ou ser criadas quando você ativa uma API para realizar tarefas específicas. No entanto, nenhum outro usuário individual tem acesso ao projeto e aos recursos dele, incluindo os recursos do Dataplex Universal Catalog. Esse acesso é concedido somente quando você adiciona explicitamente usuários como membros do projeto ou concede a eles papéis em recursos específicos.

O IAM permite conceder acesso granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Com o IAM, é possível adotar o princípio de segurança de privilégio mínimo, concedendo apenas o acesso necessário aos recursos.

Com o IAM, você controla quem (principais) tem qual acesso (papéis) a quais recursos.

Principal

Um principal pode ser uma Conta do Google (para usuários finais), uma conta de serviço (para apps e máquinas virtuais), um Grupo do Google ou um domínio do Google Workspace ou do Cloud Identity. Esses principais podem acessar um recurso. Ao conceder papéis, você identifica o principal usando um identificador, conforme descrito em Referência de vinculação de política.

Para mais informações, consulte Visão geral do IAM: principais.

O agente de serviço do Dataplex Universal Catalog

O Dataplex Universal Catalog usa uma conta de serviço gerenciada Google Cloud , conhecida como agente de serviço, para acessar seus recursos. O agente de serviço é criado quando você ativa a API Dataplex. O agente de serviço é identificável pelo e-mail:

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com

Aqui, CUSTOMER_PROJECT_NUMBER é o número do projeto em que você ativou a API Dataplex.

O agente de serviço do Dataplex Universal Catalog exige o papel de Agente de serviço do Dataplex (roles/dataplex.serviceAgent) no projeto para gerenciar os recursos do Dataplex Universal Catalog. Essa função é concedida automaticamente quando você ativa a API. Se você revogar essa função, o Dataplex Universal Catalog poderá não funcionar corretamente.

Recurso

Os recursos a que você pode conceder acesso no Dataplex Universal Catalog incluem projetos, grupos de entradas, entradas, tipos de aspecto e tipos de entrada.

Alguns métodos de API exigem permissões para vários recursos. Por exemplo, para anexar um aspecto a uma entrada, é preciso ter permissões na entrada e no tipo de aspecto.

Papel

Um papel é um conjunto de permissões. Com as permissões, você determina quais operações são permitidas em um recurso. Ao conceder um papel a um principal, você concede todas as permissões contidas nele.

É possível conceder um ou mais papéis a um principal.

Assim como outros produtos do Google Cloud , o Dataplex Universal Catalog oferece suporte a três tipos de papéis:

  • Papéis básicos:papéis altamente permissivos (proprietário, editor, leitor) que existiam antes da introdução do IAM. Para mais informações sobre papéis básicos, consulte Papéis básicos.

  • Papéis predefinidos:fornecem acesso granular a recursos específicos do Google Cloud. Para mais informações sobre papéis predefinidos, consulte Papéis predefinidos. A documentação sobre papéis do IAM do Dataplex Universal Catalog detalha os papéis predefinidos do Dataplex Universal Catalog.

  • Papéis personalizados:ajudam a aplicar o princípio de privilégio mínimo, concedendo apenas as permissões específicas necessárias. Para mais informações sobre papéis personalizados, consulte Papéis personalizados.

Por exemplo, a função predefinida Visualizador do Dataplex (roles/dataplex.viewer) fornece acesso somente leitura aos recursos do Dataplex Universal Catalog. Um principal com essa função pode ver grupos de entradas, entradas, tipos de aspecto e tipos de entrada, mas não pode criar, atualizar ou excluir. Por outro lado, o papel Administrador do Dataplex Universal Catalog (roles/dataplex.admin) concede acesso amplo para gerenciar recursos do Dataplex Universal Catalog.

Para mais informações sobre como atribuir papéis, consulte Conceder, alterar e revogar acesso.

Para determinar quais permissões são necessárias para uma tarefa específica, consulte as páginas de referência para papéis do Dataplex Universal Catalog e permissões do Dataplex Universal Catalog.

Por exemplo, para um recurso de projeto, é possível atribuir o papel roles/dataplex.admin a uma Conta do Google. Essa conta pode gerenciar recursos do Dataplex Universal Catalog no projeto, mas não outros recursos. Também é possível usar o IAM para gerenciar os papéis básicos concedidos aos membros da equipe do projeto.

Políticas de IAM para recursos

Uma política do IAM permite gerenciar papéis do IAM em recursos em vez de, ou além de, gerenciar papéis no nível do projeto. Isso oferece flexibilidade para aplicar o princípio de privilégio mínimo, concedendo acesso apenas aos recursos específicos que os colaboradores precisam para o trabalho.

Os recursos herdam as políticas dos recursos pai. Se você definir uma política no nível do projeto, ela será herdada por todos os recursos filhos. A política efetiva para um recurso é a união do conjunto de políticas nesse recurso e a política herdada do recurso mais alto na hierarquia. Para mais informações, consulte a hierarquia de políticas do IAM.

É possível receber e definir políticas do IAM usando o console do Google Cloud , a API Identity and Access Management ou a CLI gcloud.

A seguir