Este documento explica como usar o Identity and Access Management (IAM) para gerenciar o controle de acesso aos recursos do Knowledge Catalog (antigo Dataplex Universal Catalog). O IAM controla o acesso aos recursos do Knowledge Catalog no Google Cloud nível do recurso. Ele permite controlar quais principais podem gerenciar recursos específicos, como grupos de entradas e entradas, usando o Google Cloud console, a Google Cloud CLI, as bibliotecas de cliente ou as APIs.
Para mais informações sobre o IAM, consulte a documentação do IAM.
Visão geral do IAM
Quando você cria um novo Google Cloud projeto, o criador original do projeto recebe o papel de proprietário. Outras contas de serviço gerenciado pelo Google podem existir ou ser criadas quando você ativa uma API para realizar tarefas específicas. No entanto, nenhum outro usuário individual tem acesso ao projeto e aos recursos dele, incluindo os recursos do Knowledge Catalog. Você concede esse acesso somente quando adiciona usuários explicitamente como membros do projeto ou concede papéis a eles em recursos específicos.
O IAM permite conceder acesso granular a recursos específicos Google Cloud e impede o acesso indesejado a outros recursos. O IAM permite adotar o princípio de segurança de privilégio mínimo, concedendo apenas o acesso necessário aos recursos.
O IAM permite controlar quem (principais) tem qual acesso (papéis) a quais recursos.
Principal
Um principal pode ser uma Conta do Google (para usuários finais), uma conta de serviço (para apps e máquinas virtuais), um Grupo do Google ou um domínio do Google Workspace ou do Cloud Identity. Esses principais podem acessar um recurso. Ao conceder papéis, você identifica o principal usando um identificador, conforme descrito em Referência de vinculação de políticas .
Para mais informações, consulte Visão geral do IAM: principais.
O agente de serviço
O Knowledge Catalog usa uma Google Cloud conta de serviço gerenciada, um agente de serviço, para acessar seus recursos. Os agentes de serviço são contas de serviço gerenciadas pelo Google que permitem que Google Cloud os serviços acessem recursos no seu projeto. Isso é diferente das contas de serviço gerenciado pelo usuário, que você cria e usa para representar seus aplicativos ou cargas de trabalho.
O agente de serviço é criado quando você ativa a API Dataplex. É possível identificar o agente de serviço pelo ID de e-mail:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
Aqui, CUSTOMER_PROJECT_NUMBER é o número do projeto em que você ativou a API Dataplex.
O agente de serviço exige o papel Agente de serviço do Dataplex (roles/dataplex.serviceAgent) no projeto para gerenciar os recursos do Knowledge Catalog. Quando você ativa a API, o sistema concede esse papel automaticamente. Se você revogar esse papel, o Knowledge Catalog poderá não funcionar corretamente.
Se o Knowledge Catalog precisar acessar recursos em outros projetos (por exemplo, buckets do Cloud Storage ou conjuntos de dados do BigQuery que você quer anexar como ativos ou verificar perfis de dados), conceda a esse agente de serviço as permissões necessárias nos projetos que contêm esses recursos.
Para mais informações sobre como conceder permissões ao agente de serviço para anexar ativos, consulte Gerenciar ativos de dados.
Para mais informações sobre como conceder permissões ao agente de serviço para a criação de perfis dos dados, consulte Criar e usar verificações do perfil de dados.
Identidade de execução para verificações de dados
Por padrão, o Knowledge Catalog usa o agente de serviço para executar verificações de qualidade e perfil de dados. No entanto, é possível substituir esse comportamento e executar verificações usando uma conta de serviço personalizada ou suas próprias credenciais de usuário final (EUC, na sigla em inglês).
Se você especificar uma conta de serviço personalizada para a identidade de execução da verificação, o agente de serviço vai exigir o papel Criador de token da conta de serviço (roles/iam.serviceAccountTokenCreator) (ou a permissão iam.serviceAccounts.getAccessToken) na conta de serviço de destino para representá-la e executar o job. Para mais detalhes, consulte a documentação da identidade de execução para qualidade de dados e criação de perfis de dados.
Recurso
Os recursos a que você pode conceder acesso no Knowledge Catalog incluem projetos, grupos de entradas, entradas, links de entradas, tipos de aspectos, tipos de entradas e tipos de links de entradas.
Alguns métodos de API exigem permissões para vários recursos. Por exemplo, anexar um aspecto a uma entrada exige permissões na entrada e no tipo de aspecto.
Papel
Um papel é um conjunto de permissões que determinam quais operações um principal pode realizar em um recurso. Ao conceder um papel a um principal, são concedidas todas as permissões nele contidas.
É possível conceder um ou mais papéis a um principal.
Semelhante a outros Google Cloud produtos, o Knowledge Catalog oferece suporte a três tipos de papéis:
Papéis básicos:papéis altamente permissivos (proprietário, editor, leitor) que existiam antes da introdução do IAM. Para mais informações sobre papéis básicos, consulte Papéis básicos.
Papéis predefinidos: fornecem acesso granular a recursos específicos Google Cloud. Para mais informações sobre papéis predefinidos, consulte Papéis predefinidos. A documentação de papéis do IAM do Knowledge Catalog detalha os papéis predefinidos do Knowledge Catalog.
Papéis personalizados:ajudam a aplicar o princípio de privilégio mínimo, concedendo apenas as permissões específicas necessárias. Para mais informações sobre papéis personalizados, consulte Papéis personalizados.
Por exemplo, o papel predefinido Leitor do Dataplex (roles/dataplex.viewer) fornece acesso somente leitura aos recursos do Knowledge Catalog. Um principal com esse papel pode visualizar grupos de entradas, entradas, links de entradas, tipos de aspectos, tipos de entradas e tipos de links de entradas, mas não pode criar, atualizar ou excluir esses itens.
Por outro lado, o Administrador do Dataplex (roles/dataplex.admin) concede acesso amplo para gerenciar os recursos do Knowledge Catalog.
Para mais informações sobre como atribuir papéis, consulte Como conceder, alterar e revogar acesso.
Para determinar quais permissões são necessárias para uma tarefa específica, consulte as páginas de referência para papéis do Knowledge Catalog e permissões do Knowledge Catalog.
Por exemplo, para um recurso de projeto, é possível atribuir o papel roles/dataplex.admin a uma Conta do Google. Essa conta pode gerenciar os recursos do Knowledge Catalog no projeto, mas não pode gerenciar outros recursos. Também é possível usar o IAM para gerenciar os papéis básicos concedidos aos membros da equipe do projeto.
Políticas de IAM para recursos
Uma política do IAM permite gerenciar os papéis do IAM em recursos, em vez de ou além de gerenciar papéis no nível do projeto. Isso oferece flexibilidade para aplicar o princípio de privilégio mínimo, concedendo acesso apenas aos recursos específicos de que os colaboradores precisam para o trabalho.
Os recursos herdam as políticas dos recursos pai. Se você definir uma política no nível do projeto, todos os recursos filhos vão herdá-la. A política efetiva de um recurso é a união da política definida nesse recurso e da política herdada de um nível mais alto na hierarquia. Para mais informações, consulte a hierarquia de políticas do IAM.
É possível receber e definir políticas do IAM usando o Google Cloud console, a API Identity and Access Management ou a CLI gcloud.
- Para o Google Cloud console, consulte Controle de acesso usando o Google Cloud console.
- Para a API, consulte Controle de acesso usando a API.
- Para a CLI gcloud, consulte Controle de acesso usando a CLI gcloud .
A seguir
- Saiba mais sobre os papéis do IAM.
- Saiba mais sobre as permissões do IAM .
- Saiba mais sobre a segurança do Knowledge Catalog.