Ce document fournit une référence des autorisations Identity and Access Management (IAM) pour les ressources Knowledge Catalog. Utilisez ces autorisations pour créer des rôles personnalisés ou pour vérifier l'accès précis requis pour la gestion des métadonnées, les analyses de données, les opérations sur le lac de données, les tâches et les environnements.
Autorisations et rôles
Vous n'accordez pas directement d'autorisations aux utilisateurs. Vous leur accordez plutôt des rôles auxquels sont associées une ou plusieurs autorisations. Cette approche s'aligne sur le principe du moindre privilège, qui vous encourage à n'accorder que l'accès nécessaire à un compte utilisateur ou de service pour effectuer ses tâches.
IAM propose des rôles prédéfinis pour les cas d'utilisation courants. Si ces rôles prédéfinis ne répondent pas à vos besoins spécifiques, vous pouvez créer vos propres rôles personnalisés contenant uniquement les autorisations spécifiques requises.
Pour en savoir plus sur les rôles prédéfinis Knowledge Catalog et les autorisations qu'ils contiennent, consultez Rôles IAM Knowledge Catalog.
Pour une description détaillée d'IAM et de ses fonctionnalités, consultez la documentation IAM.
Autorisations "Définir" et "Obtenir" des stratégies IAM
Le tableau suivant répertorie les autorisations requises pour obtenir et définir les autorisations IAM :
| Ressource | Méthode API | Autorisation IAM |
|---|---|---|
| Types d'aspects | GetIamPolicy |
dataplex.aspectTypes.getIamPolicy |
| Types d'aspects | SetIamPolicy |
dataplex.aspectTypes.setIamPolicy |
| Groupes d'entrées | GetIamPolicy |
dataplex.entryGroups.getIamPolicy |
| Groupes d'entrées | SetIamPolicy |
dataplex.entryGroups.setIamPolicy |
| Types d'entrées | GetIamPolicy |
dataplex.entryTypes.getIamPolicy |
| Types d'entrées | SetIamPolicy |
dataplex.entryTypes.setIamPolicy |
| Lacs | GetIamPolicy |
dataplex.lakes.getIamPolicy |
| Lacs | SetIamPolicy |
dataplex.lakes.setIamPolicy |
Autorisations de gestion des métadonnées
L'ensemble des autorisations requises pour effectuer des opérations sur les types d'entrées, les types de liens d'entrée, les types d'aspects, les groupes d'entrées, les entrées et les liens d'entrée dépend de la nature des ressources (ressources système ou ressources personnalisées). Les ressources système sont définies par Knowledge Catalog, et les ressources personnalisées sont définies par vous ou votre organisation.
Pour enrichir les entrées et les liens vers les entrées avec des informations supplémentaires, vous pouvez associer des aspects.
Pour effectuer des opérations liées à plusieurs ressources (par exemple, créer une entrée d'un type d'entrée particulier ou ajouter un aspect d'un type d'aspect particulier à une entrée ou à un lien d'entrée), vous aurez peut-être besoin de plusieurs autorisations associées aux ressources.
Types d'entrées
Pour créer et gérer des types d'entrées, vous devez disposer au moins des autorisations standards create, get, list, update et delete.
Lorsque vous créez un type d'entrée, vous devez disposer des autorisations nécessaires pour utiliser chaque type d'aspect que vous souhaitez marquer comme obligatoire pour ce type d'entrée.
Pour utiliser un type d'entrée (par exemple, pour créer des entrées d'un type d'entrée), vous devez disposer de l'autorisation use sur le type d'entrée.
Le tableau suivant répertorie les autorisations requises pour effectuer des opérations sur les types d'entrées :
| Opération | Autorisation IAM |
|---|---|
Create entry types |
|
Delete entry types |
|
Get entry types |
dataplex.entryTypes.get |
List entry types |
dataplex.entryTypes.list |
Update entry types |
|
|
Utiliser les types d'entrée (lors de la création d'entrées, de la mise à jour des champs d'entrée de premier niveau et des valeurs de type d'aspect requises) |
|
Types d'aspects
Pour créer et gérer des types d'aspects, vous devez disposer des autorisations standards create, get, list, update et delete.
Pour utiliser un type d'aspect (par exemple, pour l'associer en tant qu'aspect facultatif à une entrée ou pour mettre à jour l'aspect requis sur le lien d'entrée), vous devez disposer de l'autorisation use sur le type d'aspect.
Les types d'aspects sont classés en types d'aspects système et types d'aspects personnalisés. Les types d'aspects système sont créés par Knowledge Catalog, tandis que les types d'aspects personnalisés sont créés par vous ou votre organisation. Les types d'aspect système sont également classés en deux catégories : utilisables et en lecture seule. Pour en savoir plus, consultez Catégories de types d'aspects.
Le tableau suivant répertorie les autorisations requises pour les types d'aspects personnalisés et système :
| Opération | Autorisations requises pour les types d'aspects personnalisés | Autorisations requises pour les types d'aspect système utilisables | Autorisations requises pour les types d'aspect système en lecture seule |
|---|---|---|---|
Create aspect types |
dataplex.aspectTypes.create |
Non applicable | Non applicable |
Delete aspect types |
dataplex.aspectTypes.delete |
Non applicable | Non applicable |
Get aspect types |
dataplex.aspectTypes.get |
Accordée à allUsers |
Accordée à allUsers |
List aspect types |
dataplex.aspectTypes.list |
Non applicable | Non applicable |
| Définir des valeurs de type d'aspect facultatives lors de la création ou de la mise à jour d'entrées |
|
|
Non applicable |
| Définir les valeurs de type d'aspect requises lors de la création ou de la mise à jour d'entrées |
|
|
Non applicable |
Update aspect types |
dataplex.aspectTypes.update |
N/A | N/A |
| Définir les valeurs de type d'aspect requises lors de la création ou de la mise à jour d'un lien vers une entrée | N/A |
|
N/A |
Groupes d'entrées
Pour créer et gérer des groupes d'entrées, vous devez disposer des autorisations standards create, get, list, update et delete.
Les groupes d'entrées sont classés en groupes d'entrées système, qui sont créés par Knowledge Catalog, et en groupes d'entrées personnalisés, qui sont créés par vous ou votre organisation. Pour en savoir plus, consultez Catégories de groupes d'entrées.
Le tableau suivant répertorie les autorisations requises pour effectuer des opérations sur les groupes d'entrées :
| Opération | Autorisations requises pour les groupes d'entrées personnalisés | Autorisations requises pour les groupes d'entrées système (commençant par @) |
|---|---|---|
Create entry groups |
dataplex.entryGroups.create |
Non applicable |
Delete entry groups |
dataplex.entryGroups.delete |
Non applicable |
Get entry groups |
dataplex.entryGroups.get |
dataplex.entryGroups.get |
List entry groups |
dataplex.entryGroups.list |
dataplex.entryGroups.list |
Update entry groups |
dataplex.entryGroups.update |
Non applicable |
Entrées
Pour créer et gérer des entrées, vous devez disposer des autorisations standards create, get, list, update et delete.
Veuillez noter les points suivants :
- Pour les méthodes de recherche (
<code>LookupEntry</code>) et de recherche (<code>SearchEntries</code>), l'autorisation du système source d'origine est requise pour l'entrée. Par exemple, si la source est une table BigQuery, vous devez disposer de l'autorisationbigquery.tables.getpour afficher les métadonnées et de l'autorisationbigquery.tables.getDatapour afficher les aspects des données. - Si l'autorisation d'afficher les aspects de données n'est pas présente, les entrées restent visibles, mais le contenu des aspects de données est masqué.
- Lorsque vous créez une entrée ou mettez à jour les champs de premier niveau d'une entrée, vous devez disposer de l'autorisation
usepour le type d'entrée. - Lorsque vous créez ou mettez à jour un aspect requis, vous devez disposer de l'autorisation
usesur le type d'entrée d'une entrée, ainsi que sur le type d'aspect sous-jacent. En effet, les aspects obligatoires sont appliqués par le type d'entrée. - Lorsque vous créez, mettez à jour ou supprimez un aspect facultatif, vous devez disposer de l'autorisation
usesur le type d'aspect. - Lorsque vous insérez ou mettez à jour une entrée (
<code>UpdateEntry</code>avec<code>allow_missing = True</code>), vous devez disposer de l'autorisationcreate.
Pour en savoir plus sur les types d'entrées sur lesquels les entrées sont basées, consultez Catégories de types d'entrées.
Le tableau suivant répertorie les autorisations requises pour effectuer des opérations sur les entrées :
| Opération | Entrée basée sur un type d'entrée personnalisé | Entrée basée sur un type d'entrée système utilisable | Entrée basée sur le type d'entrée système en lecture seule |
|---|---|---|---|
Create entries |
|
|
Non applicable |
Get entries |
Pour afficher les aspects des données, |
Pour afficher les aspects des données, |
Pour afficher les aspects des données, |
List entries |
dataplex.entries.list |
dataplex.entries.list |
dataplex.entries.list |
Lookup entries |
Nécessite l'autorisation de lecture des métadonnées du système source. Pour afficher les aspects de données, vous devez disposer de l'autorisation de lire les données du système source. Pour les entrées personnalisées, où Knowledge Catalog est traité comme système source, ces autorisations sont respectivement |
Nécessite l'autorisation de lecture des métadonnées du système source. Pour afficher les aspects de données, vous devez disposer de l'autorisation de lire les données du système source. Pour les entrées personnalisées, où Knowledge Catalog est traité comme système source, ces autorisations sont respectivement |
Nécessite l'autorisation de lecture des métadonnées du système source. Pour afficher les aspects de données, vous devez disposer de l'autorisation de lire les données du système source. Pour les entrées personnalisées, où Knowledge Catalog est traité comme système source, ces autorisations sont respectivement |
Search entries |
Autorisation de lecture du système source d'origine. Pour les entrées personnalisées, il s'agit de |
Autorisation de lecture du système source d'origine. Pour les entrées personnalisées, il s'agit de |
Autorisation de lecture du système source d'origine. Pour les entrées personnalisées, il s'agit de |
Update entries |
|
|
Vous ne pouvez pas modifier les champs de premier niveau ni les aspects obligatoires. |
Liens d'entrée
Pour créer et gérer des liens vers des entrées, vous devez disposer des autorisations create, get, list et delete sur dataplex.entryLinks.
Veuillez noter les points suivants :
- Pour créer des liens d'entrée (
CreateEntryLink), vous devez également disposer des autorisations pour le type de lien d'entrée et pour les entrées spécifiques à associer. - Lorsque vous créez un lien d'entrée avec un aspect obligatoire, vous avez besoin des autorisations pour utiliser le type d'aspect.
- Lorsque vous insérez ou mettez à jour un lien d'entrée (
UpdateEntryLinkavecallow_missing = True), vous devez également disposer des mêmes autorisations que celles requises pourCreateEntryLink.
Le tableau suivant répertorie les autorisations requises pour effectuer des opérations sur les liens d'entrée :
| Opération | Autorisation IAM |
|---|---|
| Créer des liens vers des entrées |
Autorisations requises en fonction du type de lien vers la fiche :
Autorisation d'utiliser le type de lien d'entrée :
Autorisations pour tous les aspects requis spécifiés par le type de lien d'entrée :
|
| Supprimer les liens d'entrée | dataplex.entryLinks.delete (sur le groupe d'entrées) |
| Obtenir des liens d'accès |
|
| Liens vers les entrées de recherche |
Nécessite l'autorisation de lecture des métadonnées du système source sur l'entrée pour laquelle les liens d'entrée sont recherchés. Pour les entrées personnalisées associées, où Knowledge Catalog est traité comme système source, l'autorisation est Pour les entrées de systèmes associés, l'autorisation est l'autorisation de lecture du système source de l'entrée associée. |
| Modifier le lien de l'entrée |
Autorisation d'utiliser le type de lien d'entrée :
Autorisations pour tous les aspects requis spécifiés par le type de lien d'entrée :
Si |
Limites applicables aux aspects dans les liens d'entrée
Les limitations suivantes s'appliquent à l'utilisation des aspects avec des liens vers des entrées.
Autorisations liées aux jobs de métadonnées
Le tableau suivant liste les autorisations requises pour travailler avec les jobs d'importation de métadonnées et les jobs d'exportation de métadonnées.
| Opération | Autorisation IAM |
|---|---|
| Accéder aux résultats exportés des jobs d'exportation de métadonnées |
|
Cancel metadata jobs |
|
Create metadata export jobs |
|
Create metadata import jobs |
|
Get metadata jobs |
|
List metadata jobs |
|
Types d'aspects, d'entrées et de liens d'entrée du système
Chaque type d'aspect défini par le système, type d'entrée défini par le système et type de lien d'entrée défini par le système possède ses propres autorisations IAM. Ces autorisations utilisent un format tel que dataplex.entryGroups.useASPECT_TYPE, dataplex.entryGroups.useENTRY_TYPE ou dataplex.entryGroups.useENTRY_LINK_TYPE. Par exemple, l'autorisation pour le type d'aspect système overview est dataplex.entryGroups.useOverviewAspect.
Le tableau suivant liste les autorisations qui s'appliquent aux types d'aspects, aux types d'entrées et aux types de liens d'entrées définis par le système.
| Ressource | Autorisation IAM |
|---|---|
contacts (type d'aspect système) |
dataplex.entryGroups.useContactsAspect |
data-profile (type d'aspect système) |
dataplex.entryGroups.useDataProfileAspect |
data-quality-rule-template (type d'aspect système) |
dataplex.entryGroups.useDataQualityRuleTemplateAspect |
data-quality-scorecard (type d'aspect système) |
dataplex.entryGroups.useDataQualityScorecardAspect |
data-rules (type d'aspect système) |
dataplex.entryGroups.useDataRulesAspect |
generic (type d'aspect système) |
dataplex.entryGroups.useGenericAspect |
guidelines (type d'aspect système) |
dataplex.entryGroups.useGuidelinesAspect |
overview (type d'aspect système) |
dataplex.entryGroups.useOverviewAspect |
schema (type d'aspect système) |
dataplex.entryGroups.useSchemaAspect |
schema-join (type d'aspect système) |
dataplex.entryGroups.useSchemaJoinAspect |
generic (type d'entrée système) |
dataplex.entryGroups.useGenericEntry |
definition (type de lien d'entrée système) |
dataplex.entryGroups.useDefinitionEntryLink |
related (type de lien d'entrée système) |
dataplex.entryGroups.useRelatedEntryLink |
synonym (type de lien d'entrée système) |
dataplex.entryGroups.useSynonymEntryLink |
schema-join (type de lien d'entrée système) |
dataplex.entryGroups.useSchemaJoinEntryLink |
Autorisations relatives aux lacs, aux zones et aux composants
Le tableau suivant répertorie les autorisations requises pour effectuer des opérations sur les lacs, les zones et les composants :
| Méthode API | Autorisation IAM |
|---|---|
CreateAsset |
dataplex.assets.create |
CreateLake |
dataplex.lakes.create |
CreateZone |
dataplex.zones.create |
DeleteAsset |
dataplex.assets.delete |
DeleteLake |
dataplex.lakes.delete |
DeleteZone |
dataplex.zones.delete |
GetAsset |
dataplex.assets.get |
GetLake |
dataplex.lakes.get |
GetZone |
dataplex.zones.get |
ListAssetActions |
dataplex.assetActions.list |
ListAssets |
dataplex.assets.list |
ListLakeActions |
dataplex.lakeActions.list |
ListLakes |
dataplex.lakes.list |
ListZoneActions |
dataplex.zoneActions.list |
ListZones |
dataplex.zones.list |
UpdateAsset |
dataplex.assets.update |
UpdateLake |
dataplex.lakes.update |
UpdateZone |
dataplex.zones.update |
Autorisations des tâches
Le tableau suivant répertorie les autorisations requises pour effectuer des opérations sur les tâches :
| Méthode API | Autorisation IAM |
|---|---|
CancelJob |
dataplex.tasks.cancel |
CreateTask |
dataplex.tasks.create |
DeleteTask |
dataplex.tasks.delete |
GetJob |
dataplex.tasks.get |
GetTask |
dataplex.tasks.get |
ListJobs |
dataplex.tasks.get |
ListTasks |
dataplex.tasks.list |
UpdateTask |
dataplex.tasks.update |
Autorisations d'environnement
Le tableau suivant répertorie les autorisations requises pour effectuer des opérations sur les environnements :
| Méthode API | Autorisation IAM |
|---|---|
CreateContent |
dataplex.content.create |
CreateEnvironment |
dataplex.environments.create |
DeleteContent |
dataplex.content.delete |
DeleteEnvironment |
dataplex.environments.delete |
GetContent |
dataplex.content.get |
GetEnvironment |
dataplex.environments.get |
ListContent |
dataplex.content.list |
ListEnvironments |
dataplex.environments.list |
ListSessions |
dataplex.environments.get |
UpdateContent |
dataplex.content.update |
UpdateEnvironment |
dataplex.environments.update |
Autorisations liées aux métadonnées
Le tableau suivant répertorie les autorisations requises pour effectuer des opérations sur des entités et des partitions :
| Méthode API | Autorisation IAM |
|---|---|
CreateEntity |
dataplex.entities.create |
CreatePartition |
dataplex.partitions.create |
DeleteEntity |
dataplex.entities.delete |
DeletePartition |
dataplex.partitions.delete |
GetEntity |
dataplex.entities.get |
GetPartition |
dataplex.partitions.get |
ListEntities |
dataplex.entities.list |
ListPartitions |
dataplex.partitions.list |
Autorisations d'analyse des données
Le tableau suivant liste les autorisations requises pour effectuer des opérations sur les analyses de données :
| Méthode API | Autorisation IAM |
|---|---|
CancelDataScanJob |
dataplex.datascans.cancel |
CreateDataScan |
dataplex.datascans.create |
DeleteDataScan |
dataplex.datascans.delete |
GetDataScan (vue de base) |
dataplex.datascans.get |
GetDataScan (vue complète) |
dataplex.datascans.getData |
GetDataScanJob (vue de base) |
dataplex.datascans.get |
GetDataScanJob (vue complète) |
dataplex.datascans.getData |
ListDataScanJobs |
dataplex.datascans.get |
ListDataScans |
dataplex.datascans.list |
RunDataScan |
dataplex.datascans.run |
UpdateDataScan |
dataplex.datascans.update |