במאמר הזה מפורטות ההרשאות של ניהול זהויות והרשאות גישה (IAM) למשאבים של Knowledge Catalog. אפשר להשתמש בהרשאות האלה כדי ליצור תפקידים בהתאמה אישית או כדי לאמת את הגישה הפרטנית שנדרשת לניהול מטא-נתונים, לסריקות נתונים, לפעולות במאגר, למשימות ולסביבות.
הרשאות ותפקידים
לא מעניקים הרשאות למשתמשים באופן ישיר. במקום זאת, מקצים להם תפקידים שכוללים הרשאה אחת או יותר. הגישה הזו תואמת לעיקרון של הרשאות מינימליות, ומעודדת אתכם להעניק למשתמשים או לחשבונות שירות רק את הגישה הנדרשת לביצוע המשימות שלהם.
ב-IAM יש תפקידים מוגדרים מראש לתרחישים נפוצים לדוגמה. אם התפקידים המוגדרים מראש האלה לא מתאימים לצרכים הספציפיים שלכם, אתם יכולים ליצור תפקידים בהתאמה אישית שכוללים רק את ההרשאות הספציפיות שנדרשות לכם.
במאמר תפקידי IAM ב-Knowledge Catalog מוסבר על התפקידים המוגדרים מראש ב-Knowledge Catalog ועל ההרשאות שמוגדרות בהם.
למידע מפורט על IAM והמאפיינים שלו, תוכלו לעיין במסמכי העזרה של IAM.
הרשאות להגדרת מדיניות IAM ולקבלת מדיניות IAM
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לקבל ולהגדיר הרשאות IAM:
| משאב | שיטת ה-API | הרשאת IAM |
|---|---|---|
| סוגי היבטים | GetIamPolicy |
dataplex.aspectTypes.getIamPolicy |
| סוגי היבטים | SetIamPolicy |
dataplex.aspectTypes.setIamPolicy |
| קבוצות של רשומות | GetIamPolicy |
dataplex.entryGroups.getIamPolicy |
| קבוצות של רשומות | SetIamPolicy |
dataplex.entryGroups.setIamPolicy |
| סוגי רשומות | GetIamPolicy |
dataplex.entryTypes.getIamPolicy |
| סוגי רשומות | SetIamPolicy |
dataplex.entryTypes.setIamPolicy |
| אגמים | GetIamPolicy |
dataplex.lakes.getIamPolicy |
| אגמים | SetIamPolicy |
dataplex.lakes.setIamPolicy |
הרשאות לניהול מטא-נתונים
קבוצת ההרשאות שנדרשת לביצוע פעולות בסוגי רשומות, בסוגי קישורי רשומות, בסוגי היבטים, בקבוצות רשומות, ברשומות ובקישורי רשומות תלויה בשאלה אם המשאבים הם משאבי מערכת או משאבים בהתאמה אישית. משאבי המערכת מוגדרים על ידי Knowledge Catalog, ומשאבים בהתאמה אישית מוגדרים על ידכם או על ידי הארגון שלכם.
כדי להוסיף מידע נוסף לרשומות ולקישורים לרשומות, אפשר לצרף היבטים.
כדי לבצע פעולות שקשורות לכמה מקורות מידע (לדוגמה, יצירת רשומה מסוג רשומה מסוים, או הוספת היבט מסוג היבט מסוים לרשומה או לקישור לרשומה), יכול להיות שתצטרכו כמה הרשאות שמשויכות למקורות המידע.
סוגי רשומות
כדי ליצור ולנהל סוגי רשומות, צריך לקבל לפחות את ההרשאות הרגילות create, get, list, update ו-delete.
כשיוצרים סוג רשומה, צריך לקבל הרשאות להשתמש בכל סוג מאפיין שרוצים לסמן כחובה עבור סוג הרשומה הזה.
כדי להשתמש בסוג רשומה (לדוגמה, כדי ליצור רשומות מסוג רשומה), צריך לקבל את ההרשאה use בסוג הרשומה.
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות על סוגי רשומות:
| פעולה | הרשאת IAM |
|---|---|
Create entry types |
|
Delete entry types |
|
Get entry types |
dataplex.entryTypes.get |
List entry types |
dataplex.entryTypes.list |
Update entry types |
|
|
שימוש בסוגי רשומות (כשיוצרים רשומות, מעדכנים שדות ברמת העל וערכים נדרשים של סוג מאפיין) |
|
סוגי היבטים
כדי ליצור ולנהל סוגי מאפיינים, צריך לקבל את ההרשאות הרגילות create, get, list, update ו-delete.
כדי להשתמש בסוג של היבט (למשל, כדי לצרף אותו כהיבט אופציונלי לרשומה או לעדכן היבט נדרש בקישור לרשומה), צריך לקבל את ההרשאה use לסוג ההיבט.
סוגי ההיבטים מסווגים לסוגי היבטים של המערכת ולסוגי היבטים מותאמים אישית. סוגי היבטים של המערכת נוצרים על ידי Knowledge Catalog, וסוגי היבטים בהתאמה אישית נוצרים על ידיכם או על ידי הארגון שלכם. סוגי ההיבטים של המערכת מחולקים לקטגוריות של סוגים שניתן להשתמש בהם וסוגים לקריאה בלבד. מידע נוסף זמין במאמר קטגוריות של סוגי היבטים.
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות על סוגי היבטים מותאמים אישית ומערכתיים:
| פעולה | הרשאות שנדרשות לסוגים מותאמים אישית של היבטים | הרשאות שנדרשות לסוגים של היבטים במערכת שאפשר להשתמש בהם | הרשאות שנדרשות לסוגי היבטים של מערכת לקריאה בלבד |
|---|---|---|---|
Create aspect types |
dataplex.aspectTypes.create |
לא רלוונטי | לא רלוונטי |
Delete aspect types |
dataplex.aspectTypes.delete |
לא רלוונטי | לא רלוונטי |
Get aspect types |
dataplex.aspectTypes.get |
הוענק לallUsers |
הוענק לallUsers |
List aspect types |
dataplex.aspectTypes.list |
לא רלוונטי | לא רלוונטי |
| כשיוצרים או מעדכנים רשומות, מגדירים ערכים אופציונליים של סוג ההיבט |
|
|
לא רלוונטי |
| כשיוצרים או מעדכנים רשומות, צריך להגדיר את הערכים הנדרשים של סוג ההיבט |
|
|
לא רלוונטי |
Update aspect types |
dataplex.aspectTypes.update |
לא רלוונטי | לא רלוונטי |
| הגדרת ערכים נדרשים של סוג יחס הגובה-רוחב כשיוצרים או מעדכנים קישור לכניסה | לא רלוונטי |
|
לא רלוונטי |
קבוצות של רשומות
כדי ליצור ולנהל קבוצות של רשומות, צריך לקבל את ההרשאות הרגילות create, get, list, update ו-delete.
קבוצות הרשומות מסווגות לקבוצות רשומות של המערכת, שנוצרות על ידי Knowledge Catalog, ולקבוצות רשומות מותאמות אישית, שנוצרות על ידיכם או על ידי הארגון שלכם. מידע נוסף זמין במאמר בנושא קטגוריות של קבוצות רשומות.
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות על קבוצות של רשומות:
| פעולה | הרשאות שנדרשות לקבוצות מותאמות אישית של רשומות | הרשאות שנדרשות לקבוצות מערכת (שמתחילות ב-@) |
|---|---|---|
Create entry groups |
dataplex.entryGroups.create |
לא רלוונטי |
Delete entry groups |
dataplex.entryGroups.delete |
לא רלוונטי |
Get entry groups |
dataplex.entryGroups.get |
dataplex.entryGroups.get |
List entry groups |
dataplex.entryGroups.list |
dataplex.entryGroups.list |
Update entry groups |
dataplex.entryGroups.update |
לא רלוונטי |
רשומות
כדי ליצור ולנהל רשומות, צריך לקבל את ההרשאות הרגילות create, get, list, update ו-delete.
שימו לב לנקודות הבאות:
- בשיטות החיפוש (
<code>LookupEntry</code>) והאיתור (<code>SearchEntries</code>), נדרשת הרשאה מהמערכת המקורית לגבי הרשומה. לדוגמה, אם המקור הוא טבלה ב-BigQuery, אתם צריכים הרשאהbigquery.tables.getלצפייה במטא-נתונים, והרשאהbigquery.tables.getDataלצפייה בהיבטים של נתונים. - אם אין הרשאה לצפייה בהיבטים של נתונים, הרשומות עדיין גלויות, אבל התוכן של היבטי הנתונים מוסתר.
- כשיוצרים רשומה או מעדכנים את השדות ברמה העליונה של רשומה, צריך לקבל את ההרשאה
useבסוג הרשומה. - כשיוצרים או מעדכנים היבט נדרש, צריך לקבל את ההרשאה
useבסוג הרשומה של רשומה, וגם בסוג ההיבט הבסיסי. הסיבה לכך היא שסוג הרשומה אוכף את ההיבטים הנדרשים. - כשיוצרים, מעדכנים או מוחקים היבט אופציונלי, צריך לקבל את ההרשאה
useבסוג ההיבט של ההיבט. - כשמבצעים פעולת upsert ברשומה (
<code>UpdateEntry</code>עם<code>allow_missing = True</code>), צריך לקבל את ההרשאהcreate.
מידע נוסף על סוגי הרשומות שעליהן מבוססות הרשומות מופיע במאמר קטגוריות של סוגי רשומות.
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות על רשומות:
| פעולה | רשומה שמבוססת על סוג רשומה מותאם אישית | רשומה שמבוססת על סוג רשומה שניתן לשימוש במערכת | רשומה שמבוססת על סוג רשומה של מערכת לקריאה בלבד |
|---|---|---|---|
Create entries |
|
|
לא רלוונטי |
Get entries |
כדי לראות את היבטי הנתונים, צריך גם את ההרשאה |
כדי לראות את היבטי הנתונים, צריך גם את ההרשאה |
כדי לראות את היבטי הנתונים, צריך גם את ההרשאה |
List entries |
dataplex.entries.list |
dataplex.entries.list |
dataplex.entries.list |
Lookup entries |
נדרשת הרשאת קריאה של מטא-נתונים ממערכת המקור. כדי לראות היבטים של נתונים, נדרשת הרשאה לקריאת נתונים ממערכת המקור. לרשומות בהתאמה אישית, שבהן Knowledge Catalog נחשב למערכת המקור, ההרשאות הן |
נדרשת הרשאת קריאה של מטא-נתונים ממערכת המקור. כדי לראות היבטים של נתונים, נדרשת הרשאה לקריאת נתונים ממערכת המקור. לרשומות בהתאמה אישית, שבהן Knowledge Catalog נחשב למערכת המקור, ההרשאות הן |
נדרשת הרשאת קריאה של מטא-נתונים ממערכת המקור. כדי לראות היבטים של נתונים, נדרשת הרשאה לקריאת נתונים ממערכת המקור. לרשומות בהתאמה אישית, שבהן Knowledge Catalog נחשב למערכת המקור, ההרשאות הן |
Search entries |
הרשאת קריאה של מערכת המקור המקורית. לרשומות בהתאמה אישית, הערך הוא |
הרשאת קריאה של מערכת המקור המקורית. לרשומות בהתאמה אישית, הערך הוא |
הרשאת קריאה של מערכת המקור המקורית. לרשומות בהתאמה אישית, הערך הוא |
Update entries |
|
|
אי אפשר לערוך שדות ברמה העליונה והיבטים נדרשים. |
קישורים לנקודות כניסה
כדי ליצור ולנהל קישורים לדפי נחיתה, צריך לקבל הרשאות create, get, list ו-delete ב-dataplex.entryLinks.
שימו לב לנקודות הבאות:
- כדי ליצור קישורים לרשומות (
CreateEntryLink) נדרשות גם הרשאות לסוג הקישור לרשומות והרשאות לרשומות הספציפיות שאליהן הקישור מפנה. - כשיוצרים קישור לכניסה עם מאפיין חובה, צריך הרשאות לשימוש בסוג המאפיין.
- כשמבצעים פעולת upsert לקישור לרשומה (
UpdateEntryLinkעםallow_missing = True), צריך גם את אותן הרשאות שנדרשות ל-CreateEntryLink.
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות בקישורים לרשומות:
| פעולה | הרשאת IAM |
|---|---|
| יצירת קישורים לרשומות |
ההרשאות שנדרשות לפי סוג קישור הכניסה:
הרשאה להשתמש בסוג קישור הכניסה:
הרשאות לכל ההיבטים הנדרשים שצוינו לפי סוג קישור הכניסה:
|
| מחיקת קישורים לרשומות | dataplex.entryLinks.delete (בקבוצת הכניסה) |
| איך מקבלים קישורים להצטרפות |
|
| חיפוש קישורים לרשומות |
נדרשת הרשאת קריאת מטא-נתונים של מערכת המקור ברשומה שעבורה מתבצע חיפוש של קישורי רשומה. לערכים מותאמים אישית מקושרים, שבהם Knowledge Catalog נחשב למערכת המקור, ההרשאה היא במערכות מקושרות, ההרשאה היא הרשאת קריאה של מערכת המקור של הרשומה המקושרת. |
| עדכון קישור הכניסה |
הרשאה להשתמש בסוג קישור הכניסה:
הרשאות לכל ההיבטים הנדרשים שצוינו לפי סוג קישור הכניסה:
אם |
מגבלות על היבטים בקישורי כניסה
המגבלות הבאות חלות על שימוש בהיבטים עם קישורים לרשומות.
הרשאות של משימות מטא-נתונים
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לעבוד עם משימות ייבוא מטא-נתונים ומשימות ייצוא מטא-נתונים.
| פעולה | הרשאת IAM |
|---|---|
| גישה לתוצאות המיוצאות ממטלות ייצוא של מטא-נתונים |
|
Cancel metadata jobs |
|
Create metadata export jobs |
|
Create metadata import jobs |
|
Get metadata jobs |
|
List metadata jobs |
|
סוגי היבטים של מערכת, סוגי רשומות וסוגי קישורים לרשומות
לכל סוג היבט שמוגדר על ידי המערכת, לכל סוג רשומה שמוגדר על ידי המערכת ולכל סוג קישור לרשומה שמוגדר על ידי המערכת יש הרשאות IAM משלו. ההרשאות האלה מוגדרות בפורמט כמו dataplex.entryGroups.useASPECT_TYPE, dataplex.entryGroups.useENTRY_TYPE או dataplex.entryGroups.useENTRY_LINK_TYPE. לדוגמה, ההרשאה לסוג ההיבט של המערכת overview היא dataplex.entryGroups.useOverviewAspect.
בטבלה הבאה מפורטות ההרשאות שחלות על סוגי היבטים, סוגי רשומות וסוגי קישורים לרשומות שמוגדרים על ידי המערכת.
| משאב | הרשאת IAM |
|---|---|
contacts (סוג יחס הגובה-רוחב של המערכת) |
dataplex.entryGroups.useContactsAspect |
data-profile (סוג יחס הגובה-רוחב של המערכת) |
dataplex.entryGroups.useDataProfileAspect |
data-quality-rule-template (סוג יחס הגובה-רוחב של המערכת) |
dataplex.entryGroups.useDataQualityRuleTemplateAspect |
data-quality-scorecard (סוג יחס הגובה-רוחב של המערכת) |
dataplex.entryGroups.useDataQualityScorecardAspect |
data-rules (סוג יחס הגובה-רוחב של המערכת) |
dataplex.entryGroups.useDataRulesAspect |
generic (סוג יחס הגובה-רוחב של המערכת) |
dataplex.entryGroups.useGenericAspect |
guidelines (סוג יחס הגובה-רוחב של המערכת) |
dataplex.entryGroups.useGuidelinesAspect |
overview (סוג יחס הגובה-רוחב של המערכת) |
dataplex.entryGroups.useOverviewAspect |
schema (סוג יחס הגובה-רוחב של המערכת) |
dataplex.entryGroups.useSchemaAspect |
schema-join (סוג יחס הגובה-רוחב של המערכת) |
dataplex.entryGroups.useSchemaJoinAspect |
generic (סוג רשומה במערכת) |
dataplex.entryGroups.useGenericEntry |
definition (סוג קישור לכניסה למערכת) |
dataplex.entryGroups.useDefinitionEntryLink |
related (סוג קישור לכניסה למערכת) |
dataplex.entryGroups.useRelatedEntryLink |
synonym (סוג קישור לכניסה למערכת) |
dataplex.entryGroups.useSynonymEntryLink |
schema-join (סוג קישור לכניסה למערכת) |
dataplex.entryGroups.useSchemaJoinEntryLink |
הרשאות גישה לאגם, לאזור ולנכס
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות באגמים, באזורים ובנכסים:
| שיטת ה-API | הרשאת IAM |
|---|---|
CreateAsset |
dataplex.assets.create |
CreateLake |
dataplex.lakes.create |
CreateZone |
dataplex.zones.create |
DeleteAsset |
dataplex.assets.delete |
DeleteLake |
dataplex.lakes.delete |
DeleteZone |
dataplex.zones.delete |
GetAsset |
dataplex.assets.get |
GetLake |
dataplex.lakes.get |
GetZone |
dataplex.zones.get |
ListAssetActions |
dataplex.assetActions.list |
ListAssets |
dataplex.assets.list |
ListLakeActions |
dataplex.lakeActions.list |
ListLakes |
dataplex.lakes.list |
ListZoneActions |
dataplex.zoneActions.list |
ListZones |
dataplex.zones.list |
UpdateAsset |
dataplex.assets.update |
UpdateLake |
dataplex.lakes.update |
UpdateZone |
dataplex.zones.update |
הרשאות למשימות
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות על משימות:
| שיטת ה-API | הרשאת IAM |
|---|---|
CancelJob |
dataplex.tasks.cancel |
CreateTask |
dataplex.tasks.create |
DeleteTask |
dataplex.tasks.delete |
GetJob |
dataplex.tasks.get |
GetTask |
dataplex.tasks.get |
ListJobs |
dataplex.tasks.get |
ListTasks |
dataplex.tasks.list |
UpdateTask |
dataplex.tasks.update |
הרשאות בסביבה
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות בסביבות:
| שיטת ה-API | הרשאת IAM |
|---|---|
CreateContent |
dataplex.content.create |
CreateEnvironment |
dataplex.environments.create |
DeleteContent |
dataplex.content.delete |
DeleteEnvironment |
dataplex.environments.delete |
GetContent |
dataplex.content.get |
GetEnvironment |
dataplex.environments.get |
ListContent |
dataplex.content.list |
ListEnvironments |
dataplex.environments.list |
ListSessions |
dataplex.environments.get |
UpdateContent |
dataplex.content.update |
UpdateEnvironment |
dataplex.environments.update |
הרשאות למטא-נתונים
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות על ישויות ומחיצות:
| שיטת ה-API | הרשאת IAM |
|---|---|
CreateEntity |
dataplex.entities.create |
CreatePartition |
dataplex.partitions.create |
DeleteEntity |
dataplex.entities.delete |
DeletePartition |
dataplex.partitions.delete |
GetEntity |
dataplex.entities.get |
GetPartition |
dataplex.partitions.get |
ListEntities |
dataplex.entities.list |
ListPartitions |
dataplex.partitions.list |
הרשאות לסריקת נתונים
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי להפעיל סריקות נתונים:
| שיטת ה-API | הרשאת IAM |
|---|---|
CancelDataScanJob |
dataplex.datascans.cancel |
CreateDataScan |
dataplex.datascans.create |
DeleteDataScan |
dataplex.datascans.delete |
GetDataScan (תצוגה בסיסית) |
dataplex.datascans.get |
GetDataScan (תצוגה מלאה) |
dataplex.datascans.getData |
GetDataScanJob (תצוגה בסיסית) |
dataplex.datascans.get |
GetDataScanJob (תצוגה מלאה) |
dataplex.datascans.getData |
ListDataScanJobs |
dataplex.datascans.get |
ListDataScans |
dataplex.datascans.list |
RunDataScan |
dataplex.datascans.run |
UpdateDataScan |
dataplex.datascans.update |