Autorisations IAM Knowledge Catalog

Ce document fournit une référence des autorisations Identity and Access Management (IAM) pour les ressources Knowledge Catalog (anciennement Dataplex Universal Catalog). Utilisez ces autorisations pour créer des rôles personnalisés ou pour vérifier l'accès précis requis pour la gestion des métadonnées, les analyses de données, les opérations sur le lac de données, les tâches et les environnements.

Autorisations et rôles

Vous n'accordez pas directement d'autorisations aux utilisateurs. Vous leur accordez plutôt des rôles auxquels sont associées une ou plusieurs autorisations. Cette approche s'aligne sur le principe du moindre privilège, qui vous encourage à n'accorder que l'accès nécessaire à un compte utilisateur ou de service pour effectuer ses tâches.

IAM propose des rôles prédéfinis pour les cas d'utilisation courants. Si ces rôles prédéfinis ne répondent pas à vos besoins spécifiques, vous pouvez créer vos propres rôles personnalisés contenant uniquement les autorisations spécifiques requises.

Pour en savoir plus sur les rôles Knowledge Catalog prédéfinis et les autorisations qu'ils contiennent, consultez Rôles IAM Knowledge Catalog.

Pour une description détaillée d'IAM et de ses fonctionnalités, consultez la documentation IAM.

Autorisations "Définir" et "Obtenir" des stratégies IAM

Le tableau suivant répertorie les autorisations requises pour obtenir et définir les autorisations IAM :

Ressource Méthode API Autorisation IAM
Types d'aspects GetIamPolicy dataplex.aspectTypes.getIamPolicy
Types d'aspects SetIamPolicy dataplex.aspectTypes.setIamPolicy
Groupes d'entrées GetIamPolicy dataplex.entryGroups.getIamPolicy
Groupes d'entrées SetIamPolicy dataplex.entryGroups.setIamPolicy
Types d'entrées GetIamPolicy dataplex.entryTypes.getIamPolicy
Types d'entrées SetIamPolicy dataplex.entryTypes.setIamPolicy
Lacs GetIamPolicy dataplex.lakes.getIamPolicy
Lacs SetIamPolicy dataplex.lakes.setIamPolicy

Autorisations de gestion des métadonnées

L'ensemble des autorisations requises pour effectuer des opérations sur les types d'entrées, les types de liens d'entrée, les types d'aspects, les groupes d'entrées, les entrées et les liens d'entrée dépend de la nature des ressources (ressources système ou ressources personnalisées). Les ressources système sont définies par le catalogue de connaissances, tandis que les ressources personnalisées sont définies par vous ou votre organisation.

Pour enrichir les entrées et les liens vers les entrées avec des informations supplémentaires, vous pouvez associer des aspects.

Pour effectuer des opérations liées à plusieurs ressources (par exemple, créer une entrée d'un type d'entrée particulier ou ajouter un aspect d'un type d'aspect particulier à une entrée ou à un lien d'entrée), vous aurez peut-être besoin de plusieurs autorisations associées aux ressources.

Types d'entrées

Pour créer et gérer des types d'entrées, vous devez disposer au moins des autorisations standards create, get, list, update et delete.

Lorsque vous créez un type d'entrée, vous devez disposer des autorisations nécessaires pour utiliser chaque type d'aspect que vous souhaitez marquer comme obligatoire pour ce type d'entrée.

Pour utiliser un type d'entrée (par exemple, pour créer des entrées d'un type d'entrée), vous devez disposer de l'autorisation use sur le type d'entrée.

Le tableau suivant répertorie les autorisations requises pour effectuer des opérations sur les types d'entrées :

Opération Autorisation IAM
Créer des types d'entrée

dataplex.entryTypes.create

dataplex.aspectTypes.use (pour chaque type d'aspect requis dans le type d'entrée)

dataplex.entryGroups.useASPECT_TYPE (pour chaque type d'aspect système requis dans le type d'entrée). Consultez les autorisations pour les types d'aspects système.
Supprimer des types d'entrées

dataplex.entryTypes.delete

dataplex.aspectTypes.use (pour les types d'aspects requis dans les types d'entrées)

dataplex.entryGroups.useASPECT_TYPE (pour chaque type d'aspect système requis dans le type d'entrée). Consultez les autorisations pour les types d'aspects système.
Obtenir les types d'entrée dataplex.entryTypes.get
Types d'entrées de liste dataplex.entryTypes.list
Modifier les types d'entrées

dataplex.entryTypes.update

dataplex.aspectTypes.use (pour chaque type d'aspect requis dans le type d'entrée)

dataplex.entryGroups.useASPECT_TYPE (pour chaque type d'aspect système requis dans le type d'entrée). Consultez les autorisations pour les types d'aspects système.

Utiliser les types d'entrée

(lors de la création d'entrées, de la mise à jour des champs d'entrée de premier niveau et des valeurs de type d'aspect requises)

dataplex.entryTypes.use

dataplex.entries.create ou dataplex.entries.update

dataplex.aspectTypes.use (pour chaque aspect créé ou mis à jour)

Types d'aspects

Pour créer et gérer des types d'aspects, vous devez disposer des autorisations standards create, get, list, update et delete.

Pour utiliser un type d'aspect (par exemple, pour l'associer en tant qu'aspect facultatif à une entrée ou pour mettre à jour l'aspect requis sur le lien d'entrée), vous devez disposer de l'autorisation use sur le type d'aspect.

Les types d'aspects sont classés en types d'aspects système et types d'aspects personnalisés. Les types d'aspect système sont créés par le catalogue de connaissances, tandis que les types d'aspect personnalisés sont créés par vous ou votre organisation. Les types d'aspect système sont également classés dans les catégories "utilisables" et "en lecture seule". Pour en savoir plus, consultez Catégories de types d'aspects.

Le tableau suivant répertorie les autorisations requises pour les types d'aspects personnalisés et système :

Opération Autorisations requises pour les types d'aspects personnalisés Autorisations requises pour les types d'aspect système utilisables Autorisations requises pour les types d'aspect système en lecture seule
Créer des types d'aspects dataplex.aspectTypes.create N/A N/A
Supprimer des types d'aspects dataplex.aspectTypes.delete N/A N/A
Obtenir les types d'aspects dataplex.aspectTypes.get Accordée à allUsers Accordée à allUsers
Lister les types d'aspects dataplex.aspectTypes.list Non applicable (N/A) N/A
Définir des valeurs de type d'aspect facultatives lors de la création ou de la modification d'entrées

dataplex.aspectTypes.use

dataplex.entries.create ou dataplex.entries.update

dataplex.entryGroups.useASPECT_TYPE. Consultez les autorisations pour les types d'aspects système.

dataplex.entries.create ou dataplex.entries.update

 N/A
Définir les valeurs de type d'aspect requises lors de la création ou de la mise à jour d'entrées

dataplex.aspectTypes.use

dataplex.entryTypes.use

dataplex.entries.create ou dataplex.entries.update

dataplex.entryGroups.useASPECT_TYPE. Consultez les autorisations pour les types d'aspects système.

dataplex.entryTypes.use

dataplex.entries.create ou dataplex.entries.update

 N/A
Modifier les types d'aspect dataplex.aspectTypes.update N/A N/A
Définir les valeurs de type d'aspect requises lors de la création ou de la mise à jour d'un lien vers une entrée N/A

dataplex.entryGroups.useASPECT_TYPE. Consultez les autorisations pour les types d'aspects système.

dataplex.entryLinkTypes.useENTRY_LINK_TYPE. Consultez les autorisations pour les types de liens d'entrées système.

dataplex.entries.link accordée sur les groupes d'entrées contenant des entrées associées. Uniquement vérifié lors de la création du lien d'entrée.

dataplex.entryLinks.create ou dataplex.entryLinks.update

 N/A

Groupes d'entrées

Pour créer et gérer des groupes d'entrées, vous devez disposer des autorisations standards create, get, list, update et delete.

Les groupes d'entrées sont classés en groupes d'entrées système, qui sont créés par le catalogue de connaissances, et en groupes d'entrées personnalisés, qui sont créés par vous ou votre organisation. Pour en savoir plus, consultez Catégories de groupes d'entrées.

Le tableau suivant répertorie les autorisations requises pour effectuer des opérations sur les groupes d'entrées :

Opération Autorisations requises pour les groupes d'entrées personnalisés Autorisations requises pour les groupes d'entrées système (commençant par @)
Créer des groupes d'entrées dataplex.entryGroups.create N/A
Supprimer des groupes d'entrées dataplex.entryGroups.delete N/A
Obtenir les groupes d'entrées dataplex.entryGroups.get dataplex.entryGroups.get
Lister les groupes d'entrées dataplex.entryGroups.list dataplex.entryGroups.list
Mettre à jour les groupes d'entrées dataplex.entryGroups.update N/A

Entrées

Pour créer et gérer des entrées, vous devez disposer des autorisations standards create, get, list, update et delete.

Veuillez noter les points suivants :

  • Pour les méthodes de recherche (LookupEntry), de recherche (SearchEntries) et de modification (ModifyEntry), l'autorisation du système source d'origine est requise pour l'entrée. Par exemple, si la source est une table BigQuery, vous avez besoin de l'autorisation bigquery.tables.get pour afficher les métadonnées, de l'autorisation bigquery.tables.getData pour afficher les aspects des données et de l'autorisation bigquery.tables.update pour modifier les métadonnées de l'entrée.
  • Si l'autorisation d'afficher les aspects de données n'est pas accordée, les entrées restent visibles, mais le contenu des aspects de données est masqué.
  • Lorsque vous créez une entrée ou mettez à jour les champs de premier niveau d'une entrée, vous devez disposer de l'autorisation use pour le type d'entrée.
  • Lorsque vous créez ou mettez à jour un aspect requis, vous devez disposer de l'autorisation use sur le type d'entrée d'une entrée, ainsi que sur le type d'aspect sous-jacent. En effet, les aspects obligatoires sont appliqués par le type d'entrée.
  • Lorsque vous créez, mettez à jour ou supprimez un aspect facultatif, vous devez disposer de l'autorisation use sur le type d'aspect.
  • Lorsque vous insérez ou mettez à jour une entrée (UpdateEntry avec allow_missing = True), vous devez disposer de l'autorisation create.

Pour en savoir plus sur les types d'entrées sur lesquels les entrées sont basées, consultez Catégories de types d'entrées.

Le tableau suivant répertorie les autorisations requises pour effectuer des opérations sur les entrées :

Opération Entrée basée sur un type d'entrée personnalisé Entrée basée sur un type d'entrée système utilisable Entrée basée sur le type d'entrée système en lecture seule
Créer des entrées

dataplex.entries.create

dataplex.entryTypes.use

dataplex.aspectTypes.use (pour chaque aspect personnalisé créé)

dataplex.entryGroups.useASPECT_TYPE (pour chaque aspect d'un type d'aspect système utilisable créé). Consultez les autorisations pour les types d'aspects système.

dataplex.entries.create

dataplex.entryGroups.useENTRY_TYPE. Consultez les autorisations pour les types d'entrées système.

dataplex.entryGroups.useASPECT_TYPE (pour chaque aspect du système créé). Consultez les autorisations pour les types d'aspects système.

dataplex.aspectTypes.use (pour chaque aspect personnalisé créé)

 N/A
Obtenir des entrées

dataplex.entries.get

Pour afficher les aspects des données, dataplex.entries.getData est également requis.

dataplex.entries.get

Pour afficher les aspects des données, dataplex.entries.getData est également requis.

dataplex.entries.get

Pour afficher les aspects des données, dataplex.entries.getData est également requis.
Entrées de liste dataplex.entries.list dataplex.entries.list dataplex.entries.list
Entrées de recherche

Nécessite l'autorisation de lecture des métadonnées du système source. Pour afficher les aspects de données, vous devez disposer de l'autorisation de lire les données du système source.

Pour les entrées personnalisées, où Knowledge Catalog est traité comme système source, ces autorisations sont respectivement dataplex.entries.get et dataplex.entries.getData.

Nécessite l'autorisation de lecture des métadonnées du système source. Pour afficher les aspects de données, vous devez disposer de l'autorisation de lire les données du système source.

Pour les entrées personnalisées, où Knowledge Catalog est traité comme système source, ces autorisations sont respectivement dataplex.entries.get et dataplex.entries.getData.

Nécessite l'autorisation de lecture des métadonnées du système source. Pour afficher les aspects de données, vous devez disposer de l'autorisation de lire les données du système source.

Pour les entrées personnalisées, où Knowledge Catalog est traité comme système source, ces autorisations sont respectivement dataplex.entries.get et dataplex.entries.getData.
Modifier les entrées

dataplex.entries.update

dataplex.entryTypes.use (pour mettre à jour les champs de premier niveau ou les aspects requis)

dataplex.aspectTypes.use (pour chaque aspect personnalisé modifié)

dataplex.entryGroups.useASPECT_TYPE (pour chaque aspect du système modifié). Consultez les autorisations pour les types d'aspects système.

Nécessite l'autorisation de modifier les métadonnées du système source d'origine.

Pour les entrées personnalisées, il s'agit de dataplex.entries.update, car Knowledge Catalog est considéré comme le système source d'origine.

dataplex.aspectTypes.use (pour chaque aspect personnalisé modifié)

dataplex.entryGroups.useASPECT_TYPE (pour chaque aspect du système modifié). Consultez les autorisations pour les types d'aspects système.

Nécessite l'autorisation de modifier les métadonnées du système source d'origine.

dataplex.aspectTypes.use (pour chaque aspect personnalisé modifié)

dataplex.entryGroups.useASPECT_TYPE (pour chaque aspect d'un type d'aspect système utilisable qui a été modifié). Consultez les autorisations pour les types d'aspects système.
Rechercher des entrées

Autorisation de lecture du système source d'origine.

Pour les entrées personnalisées, il s'agit de dataplex.entries.get, car Knowledge Catalog est considéré comme le système source d'origine.

Autorisation de lecture du système source d'origine.

Pour les entrées personnalisées, il s'agit de dataplex.entries.get, car Knowledge Catalog est considéré comme le système source d'origine.

Autorisation de lecture du système source d'origine.

Pour les entrées personnalisées, il s'agit de dataplex.entries.get, car Knowledge Catalog est considéré comme le système source d'origine.
Modifier des entrées

dataplex.entries.update

dataplex.entryTypes.use (pour mettre à jour les champs de premier niveau ou les aspects requis)

dataplex.aspectTypes.use (pour chaque aspect mis à jour)

dataplex.entryGroups.useASPECT_TYPE (pour chaque aspect du système mis à jour). Consultez les autorisations pour les types d'aspects système.

dataplex.entries.create (si allow_missing est True)

dataplex.entries.update

dataplex.entryGroups.useENTRY_TYPE (pour mettre à jour les champs de premier niveau ou les aspects requis). Consultez les autorisations pour les types d'entrées système.

dataplex.aspectTypes.use (pour chaque aspect personnalisé mis à jour)

dataplex.entryGroups.useASPECT_TYPE (pour chaque aspect appartenant aux types d'aspect système). Consultez les autorisations pour les types d'aspects système.

dataplex.entries.create (si allow_missing est True)

dataplex.entries.update

dataplex.aspectTypes.use (pour chaque aspect personnalisé mis à jour)

dataplex.entryGroups.useASPECT_TYPE (pour chaque aspect d'un type d'aspect système utilisable mis à jour). Consultez les autorisations pour les types d'aspects système.

Il est impossible de modifier les champs de premier niveau et les aspects obligatoires.

Liens d'entrée

Pour créer et gérer des liens vers des entrées, vous devez disposer des autorisations create, get, list et delete sur dataplex.entryLinks.

Veuillez noter les points suivants :

  • Pour créer des liens d'entrée (CreateEntryLink), vous devez également disposer d'autorisations sur le type de lien d'entrée et sur les entrées spécifiques à associer.
  • Lorsque vous créez un lien d'entrée avec un aspect obligatoire, vous avez besoin des autorisations pour utiliser le type d'aspect.
  • Lorsque vous insérez ou mettez à jour un lien d'entrée (UpdateEntryLink avec allow_missing = True), vous devez également disposer des mêmes autorisations que celles requises pour CreateEntryLink.

Le tableau suivant répertorie les autorisations requises pour effectuer des opérations sur les liens d'entrée :

Opération Autorisation IAM
Créer des liens vers des entrées

dataplex.entryLinks.create (sur le groupe d'entrées)

Autorisations requises en fonction du type de lien vers l'entrée :

  • Synonyme : dataplex.glossaryTerms.use (dans les deux entrées de termes)
  • Définition : dataplex.glossaryTerms.use (sur l'entrée du terme) et dataplex.entries.link (sur l'entrée cible)
  • Autre : dataplex.entries.link (sur les deux entrées)

Autorisation d'utiliser le type de lien d'entrée :

Autorisations pour tous les aspects requis spécifiés par le type de lien d'entrée :
Supprimer les liens vers les entrées dataplex.entryLinks.delete (sur le groupe d'entrées)
Obtenir des liens d'accès

dataplex.entryLinks.get (sur le groupe d'entrées)
Liens vers les entrées de recherche

Nécessite l'autorisation de lecture des métadonnées du système source sur l'entrée pour laquelle les liens d'entrée sont recherchés.

Pour les entrées personnalisées associées, où Knowledge Catalog est traité comme système source, l'autorisation est dataplex.entries.get.

Pour les entrées de systèmes associés, l'autorisation est l'autorisation de lecture du système source de l'entrée associée.
Modifier le lien de l'entrée

dataplex.entryLinks.update (sur le groupe d'entrées)

Autorisation d'utiliser le type de lien d'entrée :

Autorisations pour tous les aspects requis spécifiés par le type de lien d'entrée :

Si allow_missing est défini sur True, toutes les autorisations de Create entry link s'appliquent également.

Limites applicables aux aspects dans les liens d'entrée

Les limitations suivantes s'appliquent à l'utilisation des aspects avec des liens vers des entrées.

Autorisations liées aux jobs de métadonnées

Le tableau suivant liste les autorisations requises pour travailler avec les jobs d'importation de métadonnées et les jobs d'exportation de métadonnées.

Opération Autorisation IAM
Accéder aux résultats exportés des jobs d'exportation de métadonnées

storage.objects.get
Annuler des jobs de métadonnées

dataplex.metadataJobs.cancel
Créer des jobs d'exportation de métadonnées

dataplex.metadataJobs.create

dataplex.entryGroups.export

dataplex.entryGroups.get

resourcemanager.projects.get

resourcemanager.projects.list
Créer des jobs d'importation de métadonnées

dataplex.metadataJobs.create

dataplex.entryTypes.use (pour les types d'entrées personnalisés dans le champ d'application du job)

dataplex.entryTypes.useENTRY_TYPE (pour chaque type d'entrée système dans le champ d'application du job). Consultez les autorisations pour les types d'entrées système. Toutefois, cette autorisation n'est pas nécessaire pour modifier les aspects facultatifs lors de l'exécution d'un job d'importation de métadonnées d'aspects uniquement.

dataplex.aspectTypes.use (pour les types d'aspect personnalisés dans le champ d'application du job)

dataplex.aspectTypes.useASPECT_TYPE (pour chaque type d'aspect du système dans le champ d'application du job). Consultez les autorisations pour les types d'aspects système.

dataplex.entryGroups.import (pour les groupes d'entrées dans le champ d'application du job)
Obtenir des jobs de métadonnées

dataplex.metadataJobs.get
Lister les jobs de métadonnées

dataplex.metadataJobs.list

Types d'aspects, d'entrées et de liens d'entrée du système

Chaque type d'aspect défini par le système, type d'entrée défini par le système et type de lien d'entrée défini par le système possède ses propres autorisations IAM. Ces autorisations utilisent un format tel que dataplex.entryGroups.useASPECT_TYPE, dataplex.entryGroups.useENTRY_TYPE ou dataplex.entryGroups.useENTRY_LINK_TYPE. Par exemple, l'autorisation pour le type d'aspect système overview est dataplex.entryGroups.useOverviewAspect.

Le tableau suivant liste les autorisations qui s'appliquent aux types d'aspects, aux types d'entrées et aux types de liens d'entrées définis par le système.

Ressource Autorisation IAM
contacts (type d'aspect système) dataplex.entryGroups.useContactsAspect
data-profile (type d'aspect système) dataplex.entryGroups.useDataProfileAspect
data-quality-scorecard (type d'aspect système) dataplex.entryGroups.useDataQualityScorecardAspect
generic (type d'aspect système) dataplex.entryGroups.useGenericAspect
overview (type d'aspect système) dataplex.entryGroups.useOverviewAspect
schema (type d'aspect système) dataplex.entryGroups.useSchemaAspect
schema-join (type d'aspect système) dataplex.entryGroups.useSchemaJoinAspect
generic (type d'entrée système) dataplex.entryGroups.useGenericEntry
definition (type de lien d'entrée système) dataplex.entryGroups.useDefinitionEntryLink
related (type de lien d'entrée système) dataplex.entryGroups.useRelatedEntryLink
synonym (type de lien d'entrée système) dataplex.entryGroups.useSynonymEntryLink
schema-join (type de lien d'entrée système) dataplex.entryGroups.useSchemaJoinEntryLink

Autorisations relatives aux lacs, aux zones et aux composants

Le tableau suivant répertorie les autorisations requises pour effectuer des opérations sur les lacs, les zones et les composants :

Méthode API Autorisation IAM
CreateAsset dataplex.assets.create
CreateLake dataplex.lakes.create
CreateZone dataplex.zones.create
DeleteAsset dataplex.assets.delete
DeleteLake dataplex.lakes.delete
DeleteZone dataplex.zones.delete
GetAsset dataplex.assets.get
GetLake dataplex.lakes.get
GetZone dataplex.zones.get
ListAssetActions dataplex.assetActions.list
ListAssets dataplex.assets.list
ListLakeActions dataplex.lakeActions.list
ListLakes dataplex.lakes.list
ListZoneActions dataplex.zoneActions.list
ListZones dataplex.zones.list
UpdateAsset dataplex.assets.update
UpdateLake dataplex.lakes.update
UpdateZone dataplex.zones.update

Autorisations des tâches

Le tableau suivant répertorie les autorisations requises pour effectuer des opérations sur les tâches :

Méthode API Autorisation IAM
CancelJob dataplex.tasks.cancel
CreateTask dataplex.tasks.create
DeleteTask dataplex.tasks.delete
GetJob dataplex.tasks.get
GetTask dataplex.tasks.get
ListJobs dataplex.tasks.get
ListTasks dataplex.tasks.list
UpdateTask dataplex.tasks.update

Autorisations d'environnement

Le tableau suivant répertorie les autorisations requises pour effectuer des opérations sur les environnements :

Méthode API Autorisation IAM
CreateContent dataplex.content.create
CreateEnvironment dataplex.environments.create
DeleteContent dataplex.content.delete
DeleteEnvironment dataplex.environments.delete
GetContent dataplex.content.get
GetEnvironment dataplex.environments.get
ListContent dataplex.content.list
ListEnvironments dataplex.environments.list
ListSessions dataplex.environments.get
UpdateContent dataplex.content.update
UpdateEnvironment dataplex.environments.update

Autorisations liées aux métadonnées

Le tableau suivant répertorie les autorisations requises pour effectuer des opérations sur des entités et des partitions :

Méthode API Autorisation IAM
CreateEntity dataplex.entities.create
CreatePartition dataplex.partitions.create
DeleteEntity dataplex.entities.delete
DeletePartition dataplex.partitions.delete
GetEntity dataplex.entities.get
GetPartition dataplex.partitions.get
ListEntities dataplex.entities.list
ListPartitions dataplex.partitions.list

Autorisations d'analyse des données

Le tableau suivant liste les autorisations requises pour effectuer des opérations sur les analyses de données :

Méthode API Autorisation IAM
CreateDataScan dataplex.datascans.create
DeleteDataScan dataplex.datascans.delete
GetDataScan (vue de base) dataplex.datascans.get
GetDataScan (vue complète) dataplex.datascans.getData
GetDataScanJob (affichage standard) dataplex.datascans.get
GetDataScanJob (vue complète) dataplex.datascans.getData
ListDataScanJobs dataplex.datascans.get
ListDataScans dataplex.datascans.list
RunDataScan dataplex.datascans.run
UpdateDataScan dataplex.datascans.update