במאמר הזה מפורטות ההרשאות במערכת לניהול הזהויות והרשאות הגישה (IAM) למשאבי Dataplex Universal Catalog. אפשר להשתמש בהרשאות האלה כדי ליצור תפקידים בהתאמה אישית או כדי לאמת את הגישה הפרטנית שנדרשת לניהול מטא-נתונים, לסריקות נתונים, לפעולות במאגר, למשימות ולסביבות.
הרשאות ותפקידים
המשתמשים לא מקבלים הרשאות בצורה ישירה. במקום זאת, מקצים להם תפקידים שכוללים הרשאה אחת או יותר. הגישה הזו תואמת לעיקרון של הרשאות מינימליות, ומעודדת אתכם להעניק למשתמשים או לחשבונות שירות רק את הגישה הנדרשת לביצוע המשימות שלהם.
ב-IAM יש תפקידים מוגדרים מראש לתרחישים נפוצים לדוגמה. אם התפקידים המוגדרים מראש האלה לא מתאימים לצרכים הספציפיים שלכם, אתם יכולים ליצור תפקידים בהתאמה אישית שמכילים רק את ההרשאות הספציפיות שנדרשות לכם.
במאמר תפקידי IAM ב-Dataplex Universal Catalog מופיע מידע נוסף על תפקידים מוגדרים מראש ב-Dataplex Universal Catalog ועל ההרשאות שמוגדרות בהם.
למידע מפורט על IAM והמאפיינים שלו, תוכלו לעיין במסמכי העזרה של IAM.
הרשאות להגדרת מדיניות IAM ולקבלת מדיניות IAM
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לקבל ולהגדיר הרשאות IAM:
| משאב | שיטת ה-API | הרשאת IAM |
|---|---|---|
| סוגי היבטים | GetIamPolicy | dataplex.aspectTypes.getIamPolicy |
| סוגי היבטים | SetIamPolicy | dataplex.aspectTypes.setIamPolicy |
| קבוצות של רשומות | GetIamPolicy | dataplex.entryGroups.getIamPolicy |
| קבוצות של רשומות | SetIamPolicy | dataplex.entryGroups.setIamPolicy |
| סוגי רשומות | GetIamPolicy | dataplex.entryTypes.getIamPolicy |
| סוגי רשומות | SetIamPolicy | dataplex.entryTypes.setIamPolicy |
| אגמים | GetIamPolicy | dataplex.lakes.getIamPolicy |
| אגמים | SetIamPolicy | dataplex.lakes.setIamPolicy |
הרשאות לניהול מטא-נתונים
קבוצת ההרשאות שנדרשת לביצוע פעולות על סוגי רשומות, סוגי היבטים, קבוצות רשומות ורשומות תלויה בשאלה אם המשאבים הם משאבי מערכת או משאבים מותאמים אישית. משאבי המערכת מוגדרים על ידי Dataplex Universal Catalog, ואתם או הארגון שלכם מגדירים את המשאבים המותאמים אישית.
כדי לבצע פעולות שקשורות למספר משאבים (לדוגמה, יצירת רשומה מסוג רשומה מסוים או הוספת היבט מסוג היבט מסוים לרשומה), יכול להיות שתצטרכו כמה הרשאות שמשויכות למשאבים.
סוגי רשומות
כדי ליצור ולנהל סוגי רשומות, צריך לקבל לפחות את ההרשאות הרגילות create, get, list, update ו-delete.
כשיוצרים סוג רשומה, צריך לקבל הרשאות להשתמש בכל סוג מאפיין שרוצים לסמן כחובה עבור סוג הרשומה הזה.
כדי להשתמש בסוג רשומה (לדוגמה, כדי ליצור רשומות מסוג רשומה), צריך לקבל את ההרשאה use בסוג הרשומה.
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות על סוגי רשומות:
| פעולה | הרשאת IAM |
|---|---|
| יצירת סוגי רשומות |
|
| מחיקת סוגי רשומות |
|
| קבלת סוגי רשומות | dataplex.entryTypes.get |
| סוגי רשומות ברשימה | dataplex.entryTypes.list |
| עדכון סוגי הרשומות |
|
|
שימוש בסוגי רשומות (כשיוצרים רשומות, מעדכנים שדות ברמת העל וערכים נדרשים של סוג ההיבט) |
|
סוגי היבטים
כדי ליצור ולנהל סוגי מאפיינים, צריך לקבל את ההרשאות הרגילות create, get, list, update ו-delete.
כדי להשתמש בסוג מאפיין (למשל, כדי לצרף אותו כמאפיין אופציונלי לרשומה), צריך לקבל את ההרשאה use בסוג המאפיין.
סוגי ההיבטים מסווגים לסוגי היבטים של המערכת ולסוגי היבטים מותאמים אישית. סוגי היבטים של המערכת נוצרים על ידי Dataplex Universal Catalog, וסוגי היבטים מותאמים אישית נוצרים על ידכם או על ידי הארגון שלכם. סוגי היחסים בין רוחב לגובה של המערכת מחולקים לקטגוריות של סוגים שניתן להשתמש בהם וסוגים לקריאה בלבד. מידע נוסף זמין במאמר בנושא קטגוריות של סוגי מאפיינים.
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות על סוגי היבטים מותאמים אישית ומערכתיים:
| פעולה | הרשאות שנדרשות לסוגים מותאמים אישית של היבטים | הרשאות שנדרשות לסוגים של היבטים במערכת שאפשר להשתמש בהם | הרשאות שנדרשות לסוגים של היבטים במערכת שהם לקריאה בלבד |
|---|---|---|---|
| יצירת סוגי היבטים | dataplex.aspectTypes.create |
לא רלוונטי | לא רלוונטי |
| מחיקת סוגי היבטים | dataplex.aspectTypes.delete |
לא רלוונטי | לא רלוונטי |
| קבלת סוגי יחס גובה-רוחב | dataplex.aspectTypes.get |
הוענק לallUsers |
הוענק לallUsers |
| רשימת סוגי ההיבטים | dataplex.aspectTypes.list |
לא רלוונטי | לא רלוונטי |
| הגדרת ערכים אופציונליים של סוג היחס כשיוצרים או מעדכנים רשומות |
|
|
לא רלוונטי |
| הגדרת ערכים נדרשים של סוג היבט כשיוצרים או מעדכנים רשומות |
|
|
לא רלוונטי |
| עדכון סוגי ההיבטים | dataplex.aspectTypes.update |
לא רלוונטי | לא רלוונטי |
קבוצות של רשומות
כדי ליצור ולנהל קבוצות של רשומות, צריך לקבל את ההרשאות הרגילות create, get, list, update ו-delete.
קבוצות של רשומות מסווגות לקבוצות של רשומות מערכת, שנוצרות על ידי Dataplex Universal Catalog, ולקבוצות של רשומות בהתאמה אישית, שנוצרות על ידיכם או על ידי הארגון שלכם. מידע נוסף זמין במאמר בנושא קטגוריות של קבוצות רשומות.
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות על קבוצות של רשומות:
| פעולה | הרשאות שנדרשות לקבוצות מותאמות אישית של רשומות | הרשאות שנדרשות לקבוצות מערכת (מתחילות ב-@) |
|---|---|---|
| יצירת קבוצות של רשומות | dataplex.entryGroups.create |
לא רלוונטי |
| מחיקת קבוצות של רשומות | dataplex.entryGroups.delete |
לא רלוונטי |
| קבלת קבוצות של רשומות | dataplex.entryGroups.get |
dataplex.entryGroups.get |
| הצגת רשימה של קבוצות של כרטיסי מוצר | dataplex.entryGroups.list |
dataplex.entryGroups.list |
| עדכון של קבוצות רשומות | dataplex.entryGroups.update |
לא רלוונטי |
דפים
כדי ליצור ולנהל רשומות, צריך לקבל את ההרשאות הרגילות create, get, list, update ו-delete.
שימו לב לנקודות הבאות:
- בשיטות lookup (
LookupEntry) ו-search (SearchEntries), נדרש אישור מהמערכת המקורית לגבי הרשומה. לדוגמה, אם המקור הוא טבלה ב-BigQuery, אתם צריכים הרשאהbigquery.tables.getלצפייה במטא-נתונים וbigquery.tables.getDataלצפייה בהיבטים של הנתונים. - אם אין הרשאה לצפייה בהיבטים של נתונים, הרשומות עדיין יוצגו, אבל התוכן של היבטים של נתונים יהיה מוסתר.
- כשיוצרים רשומה או מעדכנים את השדות ברמה העליונה של רשומה, צריך לקבל את ההרשאה
useבסוג הרשומה. - כשיוצרים, מעדכנים או מוחקים היבט נדרש, צריך לקבל את ההרשאה
useבסוג הרשומה של רשומה, וגם בסוג ההיבט הבסיסי. הסיבה לכך היא שסוג הרשומה אוכף את ההיבטים הנדרשים. - כדי ליצור, לעדכן או למחוק היבט אופציונלי, צריך לקבל את ההרשאה
useבסוג ההיבט של ההיבט. - כשמבצעים פעולת upsert ברשומה (
UpdateEntryעםallow_missing = True), צריך לקבל את ההרשאהcreate.
מידע נוסף על סוגי הרשומות שרשומות מבוססות עליהן זמין במאמר קטגוריות של סוגי רשומות.
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות על רשומות:
| פעולה | רשומה שמבוססת על סוג רשומה מותאם אישית | רשומה שמבוססת על סוג רשומה שניתן לשימוש במערכת | רשומה שמבוססת על סוג רשומה של מערכת לקריאה בלבד |
|---|---|---|---|
| איך ליצור דפים ביומן האישי |
|
|
לא רלוונטי |
| איך מקבלים רשומות |
כדי לראות את היבטי הנתונים, נדרש גם |
כדי לראות את היבטי הנתונים, נדרש גם |
כדי לראות את היבטי הנתונים, נדרש גם |
| הצגת רשימה של רשומות | dataplex.entries.list |
dataplex.entries.list |
dataplex.entries.list |
| חיפוש ערכים |
נדרשת הרשאת קריאה של המטא-נתונים במערכת המקור. כדי לראות היבטים של נתונים, נדרשת הרשאה לקריאת נתונים ממערכת המקור. לרשומות מותאמות אישית, שבהן Dataplex Universal Catalog נחשב למערכת המקור, ההרשאות האלה הן |
נדרשת הרשאת קריאה של המטא-נתונים במערכת המקור. כדי לראות היבטים של נתונים, נדרשת הרשאה לקריאת נתונים ממערכת המקור. לרשומות מותאמות אישית, שבהן Dataplex Universal Catalog נחשב למערכת המקור, ההרשאות האלה הן |
נדרשת הרשאת קריאה של המטא-נתונים במערכת המקור. כדי לראות היבטים של נתונים, נדרשת הרשאה לקריאת נתונים ממערכת המקור. לרשומות מותאמות אישית, שבהן Dataplex Universal Catalog נחשב למערכת המקור, ההרשאות האלה הן |
| חיפוש רשומות |
הרשאת קריאה של מערכת המקור המקורית. לרשומות בהתאמה אישית, הערך הוא |
הרשאת קריאה של מערכת המקור המקורית. לרשומות בהתאמה אישית, הערך הוא |
הרשאת קריאה של מערכת המקור המקורית. לרשומות בהתאמה אישית, הערך הוא |
| עדכון רשומות |
|
|
אי אפשר לערוך שדות ברמה העליונה והיבטים נדרשים. |
הרשאות של משימות מטא-נתונים
בטבלה הבאה מפורטות ההרשאות שנדרשות לעבודה עם משימות ייבוא מטא-נתונים ומשימות ייצוא מטא-נתונים.
| פעולה | הרשאת IAM |
|---|---|
| גישה לתוצאות המיוצאות ממשימות ייצוא של מטא-נתונים |
|
| ביטול משימות של מטא-נתונים |
|
| יצירת משימות לייצוא מטא-נתונים |
|
| יצירת משימות לייבוא מטא-נתונים |
|
| אחזור משימות של מטא-נתונים |
|
| רשימת משימות של מטא-נתונים |
|
סוגי היבטים וסוגי רשומות במערכת
לכל סוג היבט שמוגדר על ידי המערכת ולכל סוג רשומה שמוגדר על ידי המערכת יש הרשאות IAM משלו. ההרשאות האלה משתמשות בפורמט כמו dataplex.entryGroups.useASPECT_TYPE או dataplex.entryGroups.useENTRY_TYPE. לדוגמה, ההרשאה לסוג ההיבט של המערכת overview היא dataplex.entryGroups.useOverviewAspect.
בטבלה הבאה מפורטות ההרשאות שחלות על סוגי היבטים וסוגי רשומות שמוגדרים על ידי המערכת.
| משאב | הרשאת IAM |
|---|---|
contacts (סוג יחס הגובה-רוחב של המערכת) |
dataplex.entryGroups.useContactsAspect |
data-profile (סוג יחס הגובה-רוחב של המערכת) |
dataplex.entryGroups.useDataProfileAspect |
data-quality-scorecard (סוג יחס הגובה-רוחב של המערכת) |
dataplex.entryGroups.useDataQualityScorecardAspect |
generic (סוג יחס הגובה-רוחב של המערכת) |
dataplex.entryGroups.useGenericAspect |
generic (סוג רשומה במערכת) |
dataplex.entryGroups.useGenericEntry |
overview (סוג יחס הגובה-רוחב של המערכת) |
dataplex.entryGroups.useOverviewAspect |
schema (סוג יחס הגובה-רוחב של המערכת) |
dataplex.entryGroups.useSchemaAspect |
הרשאות גישה לאגם, לאזור ולנכס
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות באגמים, באזורים ובנכסים:
| שיטת ה-API | הרשאת IAM |
|---|---|
| CreateAsset | dataplex.assets.create |
| CreateLake | dataplex.lakes.create |
| CreateZone | dataplex.zones.create |
| DeleteAsset | dataplex.assets.delete |
| DeleteLake | dataplex.lakes.delete |
| DeleteZone | dataplex.zones.delete |
| GetAsset | dataplex.assets.get |
| GetLake | dataplex.lakes.get |
| GetZone | dataplex.zones.get |
| ListAssetActions | dataplex.assetActions.list |
| ListAssets | dataplex.assets.list |
| ListLakeActions | dataplex.lakeActions.list |
| ListLakes | dataplex.lakes.list |
| ListZoneActions | dataplex.zoneActions.list |
| ListZones | dataplex.zones.list |
| UpdateAsset | dataplex.assets.update |
| UpdateLake | dataplex.lakes.update |
| UpdateZone | dataplex.zones.update |
הרשאות למשימות
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות במשימות:
| שיטת ה-API | הרשאת IAM |
|---|---|
| CancelJob | dataplex.tasks.cancel |
| CreateTask | dataplex.tasks.create |
| DeleteTask | dataplex.tasks.delete |
| GetJob | dataplex.tasks.get |
| GetTask | dataplex.tasks.get |
| ListJobs | dataplex.tasks.get |
| ListTasks | dataplex.tasks.list |
| UpdateTask | dataplex.tasks.update |
הרשאות בסביבה
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות בסביבות:
| שיטת ה-API | הרשאת IAM |
|---|---|
| CreateContent | dataplex.content.create |
| CreateEnvironment | dataplex.environments.create |
| DeleteContent | dataplex.content.delete |
| DeleteEnvironment | dataplex.environments.delete |
| GetContent | dataplex.content.get |
| GetEnvironment | dataplex.environments.get |
| ListContent | dataplex.content.list |
| ListEnvironments | dataplex.environments.list |
| ListSessions | dataplex.environments.get |
| UpdateContent | dataplex.content.update |
| UpdateEnvironment | dataplex.environments.update |
הרשאות גישה למטא-נתונים
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי לבצע פעולות על ישויות ומחיצות:
| שיטת ה-API | הרשאת IAM |
|---|---|
| CreateEntity | dataplex.entities.create |
| CreatePartition | dataplex.partitions.create |
| DeleteEntity | dataplex.entities.delete |
| DeletePartition | dataplex.partitions.delete |
| GetEntity | dataplex.entities.get |
| GetPartition | dataplex.partitions.get |
| ListEntities | dataplex.entities.list |
| ListPartitions | dataplex.partitions.list |
הרשאות לסריקת נתונים
בטבלה הבאה מפורטות ההרשאות שנדרשות כדי להפעיל סריקות של נתונים:
| שיטת ה-API | הרשאת IAM |
|---|---|
| CreateDataScan | dataplex.datascans.create |
| DeleteDataScan | dataplex.datascans.delete |
| GetDataScan (תצוגה בסיסית) | dataplex.datascans.get |
| GetDataScan (תצוגה מלאה) | dataplex.datascans.getData |
| GetDataScanJob (תצוגה בסיסית) | dataplex.datascans.get |
| GetDataScanJob (תצוגה מלאה) | dataplex.datascans.getData |
| ListDataScanJobs | dataplex.datascans.get |
| ListDataScans | dataplex.datascans.list |
| RunDataScan | dataplex.datascans.run |
| UpdateDataScan | dataplex.datascans.update |