En este documento, se enumeran los permisos de IAM para Dataplex Universal Catalog.
Los permisos permiten a los usuarios realizar acciones específicas en los recursos de Dataplex Universal Catalog. Por ejemplo, el permiso dataplex.datascans.create permite que un usuario cree análisis de datos de Dataplex Universal Catalog en tu proyecto.
Permisos y roles
No otorgas permisos a los usuarios directamente. En su lugar, les otorgas roles, que incluyen uno o más permisos. Este enfoque se alinea con el principio de privilegio mínimo, que te recomienda otorgar solo el acceso necesario para que una cuenta de servicio o de usuario realice sus tareas.
IAM ofrece roles predefinidos para casos de uso comunes. Si estos roles predefinidos no satisfacen tus necesidades específicas, puedes crear tus propios roles personalizados que contengan solo los permisos específicos requeridos.
Para obtener más información sobre los roles predefinidos de Dataplex Universal Catalog y los permisos que contienen, consulta Roles de IAM de Dataplex Universal Catalog.
Para obtener una descripción detallada de IAM y sus características, consulta la documentación de IAM.
Permisos de configuración y obtención de políticas de IAM
En la siguiente tabla, se enumeran los permisos que se requieren para obtener y establecer permisos de IAM:
| Recurso | Método de la API | Permisos de IAM |
|---|---|---|
| Tipos de aspecto | GetIamPolicy | dataplex.aspectTypes.getIamPolicy |
| Tipos de aspecto | SetIamPolicy | dataplex.aspectTypes.setIamPolicy |
| Grupos de entrada | GetIamPolicy | dataplex.entryGroups.getIamPolicy |
| Grupos de entrada | SetIamPolicy | dataplex.entryGroups.setIamPolicy |
| Tipos de entrada | GetIamPolicy | dataplex.entryTypes.getIamPolicy |
| Tipos de entrada | SetIamPolicy | dataplex.entryTypes.setIamPolicy |
| Lakes | GetIamPolicy | dataplex.lakes.getIamPolicy |
| Lakes | SetIamPolicy | dataplex.lakes.setIamPolicy |
Permisos de administración de metadatos
El conjunto de permisos necesarios para realizar operaciones en tipos de entrada, tipos de aspecto, grupos de entrada y entradas depende de si los recursos son del sistema o personalizados. Dataplex Universal Catalog define los recursos del sistema, mientras que tú o tu organización definen los recursos personalizados.
Para realizar operaciones relacionadas con varios recursos (por ejemplo, crear una entrada de un tipo de entrada en particular o agregar un aspecto de un tipo de aspecto en particular a una entrada), es posible que necesites varios permisos asociados con los recursos.
Tipos de entrada
Para crear y administrar tipos de entrada, debes tener al menos los permisos estándar create, get, list, update y delete.
Cuando creas un tipo de entrada, debes tener permisos para usar cada tipo de aspecto que desees marcar como obligatorio para ese tipo de entrada.
Para usar un tipo de entrada (por ejemplo, para crear entradas de un tipo de entrada), debes tener el permiso use en el tipo de entrada.
En la siguiente tabla, se enumeran los permisos necesarios para operar con tipos de entrada:
| Operación | Permisos de IAM |
|---|---|
| Cómo crear tipos de entrada |
|
| Borra tipos de entrada |
|
| Get entry types | dataplex.entryTypes.get |
| Tipos de entrada de la lista | dataplex.entryTypes.list |
| Actualiza los tipos de entrada |
|
|
Cómo usar los tipos de entrada (cuando se crean entradas, se actualizan los campos de entrada de nivel superior y los valores de tipo de aspecto obligatorios) |
|
Tipos de aspecto
Para crear y administrar tipos de aspectos, debes tener los permisos estándar create, get, list, update y delete.
Para usar un tipo de aspecto (por ejemplo, para adjuntarlo como un aspecto opcional en una entrada), debes tener el permiso use sobre el tipo de aspecto.
Los tipos de aspectos se clasifican en tipos de aspectos del sistema y tipos de aspectos personalizados. Los tipos de aspectos del sistema los crea Dataplex Universal Catalog, y los tipos de aspectos personalizados los crea tú o tu organización. Los tipos de aspectos del sistema se clasifican en utilizables y de solo lectura. Para obtener más información, consulta Categorías de tipos de aspectos.
En la siguiente tabla, se enumeran los permisos necesarios para operar en tipos de aspectos personalizados y del sistema:
| Operación | Permisos necesarios para los tipos de aspectos personalizados | Permisos obligatorios para los tipos de aspectos del sistema utilizables | Permisos necesarios para los tipos de aspectos del sistema de solo lectura |
|---|---|---|---|
| Crea tipos de aspectos | dataplex.aspectTypes.create |
N/A | N/A |
| Borra tipos de aspectos | dataplex.aspectTypes.delete |
N/A | N/A |
| Obtener tipos de aspecto | dataplex.aspectTypes.get |
Se otorgó a allUsers |
Se otorgó a allUsers |
| Enumera tipos de aspectos | dataplex.aspectTypes.list |
No aplicable (N/A) | N/A |
| Establece valores opcionales de tipo de aspecto cuando crees o actualices entradas |
|
|
N/A |
| Establece los valores de tipo de aspecto obligatorios cuando crees o actualices entradas |
|
|
N/A |
| Actualiza tipos de aspectos | dataplex.aspectTypes.update |
N/A | N/A |
Grupos de entrada
Para crear y administrar grupos de entradas, debes tener los permisos estándar create, get, list, update y delete.
Los grupos de entradas se clasifican en grupos de entradas del sistema, que crea Dataplex Universal Catalog, y grupos de entradas personalizados, que creas tú o tu organización. Para obtener más información, consulta Categorías de grupos de entradas.
En la siguiente tabla, se enumeran los permisos necesarios para operar en grupos de entradas:
| Operación | Permisos necesarios para los grupos de entradas personalizadas | Permisos necesarios para los grupos de entrada del sistema (que comienzan con @) |
|---|---|---|
| Crea grupos de entrada | dataplex.entryGroups.create |
N/A |
| Borrar grupos de entrada | dataplex.entryGroups.delete |
N/A |
| Obtener grupos de entradas | dataplex.entryGroups.get |
dataplex.entryGroups.get |
| Enumera los grupos de entradas | dataplex.entryGroups.list |
dataplex.entryGroups.list |
| Actualiza grupos de entradas | dataplex.entryGroups.update |
N/A |
Entradas
Para crear y administrar entradas, debes tener los permisos estándar create, get, list, update y delete.
Ten en cuenta lo siguiente:
- En el caso de los métodos de búsqueda (
LookupEntry) y búsqueda (SearchEntries), se requiere el permiso del sistema fuente original en la entrada. Por ejemplo, si la fuente es una tabla de BigQuery, necesitas el permisobigquery.tables.getpara ver los metadatos y el permisobigquery.tables.getDatapara ver los aspectos de los datos. - Si no se otorga permiso para ver los aspectos de los datos, las entradas seguirán siendo visibles, pero se ocultará el contenido de los aspectos de los datos.
- Cuando creas una entrada o actualizas los campos de nivel superior de una entrada, debes tener el permiso
useen el tipo de entrada. - Cuando creas, actualizas o borras un aspecto obligatorio, debes tener el permiso
useen el tipo de entrada de una entrada, así como en el tipo de aspecto subyacente. Esto se debe a que el tipo de entrada exige los aspectos obligatorios. - Cuando creas, actualizas o borras un aspecto opcional, debes tener el permiso
useen el tipo de aspecto de un aspecto. - Cuando insertas o actualizas una entrada (
UpdateEntryconallow_missing = True), debes tener el permisocreate.
Para obtener más información sobre los tipos de entrada en los que se basan las entradas, consulta Categorías de tipos de entrada.
En la siguiente tabla, se enumeran los permisos necesarios para operar con entradas:
| Operación | Entrada basada en un tipo de entrada personalizado | Entrada basada en el tipo de entrada del sistema utilizable | Entrada basada en el tipo de entrada del sistema de solo lectura |
|---|---|---|---|
| Cómo crear entradas |
|
|
N/A |
| Get entries |
Para ver los aspectos de los datos, también se requiere |
Para ver los aspectos de los datos, también se requiere |
Para ver los aspectos de los datos, también se requiere |
| Entradas de la lista | dataplex.entries.list |
dataplex.entries.list |
dataplex.entries.list |
| Entradas de búsqueda |
Requiere permiso de lectura de metadatos del sistema de origen. Se requiere permiso para leer datos del sistema fuente para ver los aspectos de los datos. En el caso de las entradas personalizadas, en las que Dataplex Universal Catalog se considera el sistema fuente, estos permisos son |
Requiere permiso de lectura de metadatos del sistema de origen. Se requiere permiso para leer datos del sistema fuente para ver los aspectos de los datos. En el caso de las entradas personalizadas, en las que Dataplex Universal Catalog se considera el sistema fuente, estos permisos son |
Requiere permiso de lectura de metadatos del sistema de origen. Se requiere permiso para leer datos del sistema fuente para ver los aspectos de los datos. En el caso de las entradas personalizadas, en las que Dataplex Universal Catalog se considera el sistema fuente, estos permisos son |
| Entradas de búsqueda |
Permiso de lectura del sistema fuente original. En el caso de las entradas personalizadas, es |
Permiso de lectura del sistema fuente original. En el caso de las entradas personalizadas, es |
Permiso de lectura del sistema fuente original. En el caso de las entradas personalizadas, es |
| Actualizar entradas |
|
|
No se pueden editar los campos de nivel superior ni los aspectos obligatorios. |
Permisos de trabajos de metadatos
En la siguiente tabla, se indican los permisos necesarios para trabajar con los trabajos de importación de metadatos y los trabajos de exportación de metadatos.
| Operación | Permisos de IAM |
|---|---|
| Accede a los resultados exportados de los trabajos de exportación de metadatos |
|
| Cómo cancelar trabajos de metadatos |
|
| Crea trabajos de exportación de metadatos |
|
| Crea trabajos de importación de metadatos |
|
| Obtén trabajos de metadatos |
|
| Enumera trabajos de metadatos |
|
Tipos de aspectos y tipos de entrada del sistema
Cada tipo de aspecto definido por el sistema y cada tipo de entrada definido por el sistema tiene sus propios permisos de IAM. Estos permisos usan un formato como dataplex.entryGroups.useASPECT_TYPE o dataplex.entryGroups.useENTRY_TYPE. Por ejemplo, el permiso para el tipo de aspecto del sistema overview es dataplex.entryGroups.useOverviewAspect.
En la siguiente tabla, se enumeran los permisos que se aplican a los tipos de aspecto y de entrada definidos por el sistema.
| Recurso | Permisos de IAM |
|---|---|
contacts (tipo de aspecto del sistema) |
dataplex.entryGroups.useContactsAspect |
data-profile (tipo de aspecto del sistema) |
dataplex.entryGroups.useDataProfileAspect |
data-quality-scorecard (tipo de aspecto del sistema) |
dataplex.entryGroups.useDataQualityScorecardAspect |
generic (tipo de aspecto del sistema) |
dataplex.entryGroups.useGenericAspect |
generic (tipo de entrada del sistema) |
dataplex.entryGroups.useGenericEntry |
overview (tipo de aspecto del sistema) |
dataplex.entryGroups.useOverviewAspect |
schema (tipo de aspecto del sistema) |
dataplex.entryGroups.useSchemaAspect |
Permisos de lakes, zonas y recursos
En la siguiente tabla, se enumeran los permisos necesarios para operar en lakes, zonas y recursos:
| Método de la API | Permisos de IAM |
|---|---|
| CreateAsset | dataplex.assets.create |
| CreateLake | dataplex.lakes.create |
| CreateZone | dataplex.zones.create |
| DeleteAsset | dataplex.assets.delete |
| DeleteLake | dataplex.lakes.delete |
| DeleteZone | dataplex.zones.delete |
| GetAsset | dataplex.assets.get |
| GetLake | dataplex.lakes.get |
| GetZone | dataplex.zones.get |
| ListAssetActions | dataplex.assetActions.list |
| ListAssets | dataplex.assets.list |
| ListLakeActions | dataplex.lakeActions.list |
| ListLakes | dataplex.lakes.list |
| ListZoneActions | dataplex.zoneActions.list |
| ListZones | dataplex.zones.list |
| UpdateAsset | dataplex.assets.update |
| UpdateLake | dataplex.lakes.update |
| UpdateZone | dataplex.zones.update |
Permisos de tareas
En la siguiente tabla, se enumeran los permisos necesarios para operar en tareas:
| Método de la API | Permisos de IAM |
|---|---|
| CancelJob | dataplex.tasks.cancel |
| CreateTask | dataplex.tasks.create |
| DeleteTask | dataplex.tasks.delete |
| GetJob | dataplex.tasks.get |
| GetTask | dataplex.tasks.get |
| ListJobs | dataplex.tasks.get |
| ListTasks | dataplex.tasks.list |
| UpdateTask | dataplex.tasks.update |
Permisos del entorno
En la siguiente tabla, se enumeran los permisos necesarios para operar en entornos:
| Método de la API | Permisos de IAM |
|---|---|
| CreateContent | dataplex.content.create |
| CreateEnvironment | dataplex.environments.create |
| DeleteContent | dataplex.content.delete |
| DeleteEnvironment | dataplex.environments.delete |
| GetContent | dataplex.content.get |
| GetEnvironment | dataplex.environments.get |
| ListContent | dataplex.content.list |
| ListEnvironments | dataplex.environments.list |
| ListSessions | dataplex.environments.get |
| UpdateContent | dataplex.content.update |
| UpdateEnvironment | dataplex.environments.update |
Permisos de metadatos
En la siguiente tabla, se enumeran los permisos necesarios para operar en entidades y particiones:
| Método de la API | Permisos de IAM |
|---|---|
| CreateEntity | dataplex.entities.create |
| CreatePartition | dataplex.partitions.create |
| DeleteEntity | dataplex.entities.delete |
| DeletePartition | dataplex.partitions.delete |
| GetEntity | dataplex.entities.get |
| GetPartition | dataplex.partitions.get |
| ListEntities | dataplex.entities.list |
| ListPartitions | dataplex.partitions.list |
Permisos de análisis de datos
En la siguiente tabla, se enumeran los permisos necesarios para operar en los análisis de datos:
| Método de la API | Permisos de IAM |
|---|---|
| CreateDataScan | dataplex.datascans.create |
| DeleteDataScan | dataplex.datascans.delete |
| GetDataScan (vista básica) | dataplex.datascans.get |
| GetDataScan (vista completa) | dataplex.datascans.getData |
| GetDataScanJob (vista básica) | dataplex.datascans.get |
| GetDataScanJob (vista completa) | dataplex.datascans.getData |
| ListDataScanJobs | dataplex.datascans.get |
| ListDataScans | dataplex.datascans.list |
| RunDataScan | dataplex.datascans.run |
| UpdateDataScan | dataplex.datascans.update |