Questo documento elenca le autorizzazioni IAM per Dataplex Universal Catalog.
Le autorizzazioni consentono agli utenti di eseguire azioni specifiche sulle risorse di Dataplex Universal Catalog. Ad esempio, l'autorizzazione dataplex.datascans.create consente a un utente di creare scansioni dei dati di Dataplex Universal Catalog nel tuo progetto.
Autorizzazioni e ruoli
Non concedi direttamente le autorizzazioni agli utenti. Assegni invece ruoli, che contengono una o più autorizzazioni. Questo approccio è in linea con il principio del privilegio minimo, che ti incoraggia a concedere solo l'accesso necessario a un utente o account di servizio per svolgere le proprie attività.
IAM offre ruoli predefiniti per i casi d'uso comuni. Se questi ruoli predefiniti non soddisfano le tue esigenze specifiche, puoi creare ruoli personalizzati contenenti solo le autorizzazioni specifiche richieste.
Per saperne di più sui ruoli predefiniti di Dataplex Universal Catalog e sulle autorizzazioni che contengono, consulta Ruoli IAM per Dataplex Universal Catalog.
Per una descrizione dettagliata di IAM e delle sue funzionalità, consulta la documentazione di IAM.
Autorizzazioni di impostazione e recupero dei criteri IAM
La tabella seguente elenca le autorizzazioni necessarie per ottenere e impostare le autorizzazioni IAM:
| Risorsa | Metodo API | Autorizzazioni IAM |
|---|---|---|
| Tipi di aspetto | GetIamPolicy | dataplex.aspectTypes.getIamPolicy |
| Tipi di aspetto | SetIamPolicy | dataplex.aspectTypes.setIamPolicy |
| Gruppi di voci | GetIamPolicy | dataplex.entryGroups.getIamPolicy |
| Gruppi di voci | SetIamPolicy | dataplex.entryGroups.setIamPolicy |
| Tipi di voci | GetIamPolicy | dataplex.entryTypes.getIamPolicy |
| Tipi di voci | SetIamPolicy | dataplex.entryTypes.setIamPolicy |
| Lake | GetIamPolicy | dataplex.lakes.getIamPolicy |
| Lake | SetIamPolicy | dataplex.lakes.setIamPolicy |
Autorizzazioni per la gestione dei metadati
L'insieme di autorizzazioni necessarie per eseguire operazioni su tipi di voci, tipi di aspetti, gruppi di voci e voci dipende dal fatto che le risorse siano risorse di sistema o personalizzate. Le risorse di sistema sono definite da Dataplex Universal Catalog, mentre le risorse personalizzate sono definite da te o dalla tua organizzazione.
Per eseguire operazioni correlate a più risorse (ad esempio, creare una voce di un determinato tipo o aggiungere un aspetto di un determinato tipo a una voce), potresti aver bisogno di più autorizzazioni associate alle risorse.
Tipi di voci
Per creare e gestire i tipi di voci, devi disporre almeno delle autorizzazioni standard
create, get, list, update e delete.
Quando crei un tipo di voce, devi disporre delle autorizzazioni per utilizzare ogni tipo di aspetto che vuoi contrassegnare come obbligatorio per quel tipo di voce.
Per utilizzare un tipo di voce (ad esempio, per creare voci di un tipo di voce), devi
disporre dell'autorizzazione use per il tipo di voce.
La tabella seguente elenca le autorizzazioni necessarie per operare sui tipi di voci:
| Operazione | Autorizzazioni IAM |
|---|---|
| Creare tipi di voci |
|
| Elimina tipi di voce |
|
| Ottieni tipi di voce | dataplex.entryTypes.get |
| Elenco dei tipi di voci | dataplex.entryTypes.list |
| Aggiornare i tipi di voci |
|
|
Utilizzare i tipi di voci (durante la creazione di voci, l'aggiornamento dei campi delle voci di primo livello e i valori dei tipi di aspetto obbligatori) |
|
Tipi di aspetto
Per creare e gestire i tipi di aspetto, devi disporre delle autorizzazioni standard create,
get, list, update e delete.
Per utilizzare un tipo di aspetto (ad esempio, per allegarlo come aspetto facoltativo a una voce), devi disporre dell'autorizzazione use per il tipo di aspetto.
I tipi di aspetto sono suddivisi in tipi di aspetto di sistema e tipi di aspetto personalizzati. I tipi di aspetto di sistema vengono creati da Dataplex Universal Catalog, mentre quelli personalizzati vengono creati da te o dalla tua organizzazione. I tipi di aspetti di sistema sono ulteriormente classificati in utilizzabili e di sola lettura. Per saperne di più, consulta Categorie di tipi di aspetti.
La tabella seguente elenca le autorizzazioni necessarie per operare sui tipi di aspetti personalizzati e di sistema:
| Operazione | Autorizzazioni richieste per i tipi di aspetto personalizzati | Autorizzazioni richieste per i tipi di aspetto di sistema utilizzabili | Autorizzazioni richieste per i tipi di aspetto di sistema di sola lettura |
|---|---|---|---|
| Creare tipi di aspetto | dataplex.aspectTypes.create |
N/D | N/D |
| Eliminare i tipi di aspetto | dataplex.aspectTypes.delete |
N/D | N/D |
| Ottieni tipi di aspetto | dataplex.aspectTypes.get |
Concesso a allUsers |
Concesso a allUsers |
| Elenca i tipi di aspetto | dataplex.aspectTypes.list |
Non applicabile (N/A) | N/D |
| Imposta i valori facoltativi del tipo di aspetto durante la creazione o l'aggiornamento delle voci |
|
|
N/D |
| Impostare i valori del tipo di aspetto richiesti durante la creazione o l'aggiornamento delle voci |
|
|
N/D |
| Aggiornare i tipi di aspetto | dataplex.aspectTypes.update |
N/D | N/D |
Gruppi di voci
Per creare e gestire i gruppi di voci, devi disporre delle autorizzazioni standard create,
get, list, update e delete.
I gruppi di voci sono suddivisi in gruppi di voci di sistema, creati da Dataplex Universal Catalog, e gruppi di voci personalizzati, creati da te o dalla tua organizzazione. Per saperne di più, consulta Categorie di gruppi di voci.
La tabella seguente elenca le autorizzazioni necessarie per operare sui gruppi di voci:
| Operazione | Autorizzazioni richieste per i gruppi di voci personalizzati | Autorizzazioni richieste per i gruppi di voci di sistema (che iniziano con @) |
|---|---|---|
| Creare gruppi di voci | dataplex.entryGroups.create |
N/D |
| Eliminare gruppi di voci | dataplex.entryGroups.delete |
N/D |
| Ottieni gruppi di voci | dataplex.entryGroups.get |
dataplex.entryGroups.get |
| Elenco gruppi di voci | dataplex.entryGroups.list |
dataplex.entryGroups.list |
| Aggiornare i gruppi di voci | dataplex.entryGroups.update |
N/D |
Voci
Per creare e gestire le voci, devi disporre delle autorizzazioni standard create,
get, list, update e delete.
Tieni presente quanto segue:
- Per i metodi di ricerca (
LookupEntry) e ricerca (SearchEntries), è richiesta l'autorizzazione del sistema di origine originale per la voce. Ad esempio, se l'origine è una tabella BigQuery, devi disporre dell'autorizzazionebigquery.tables.getper visualizzare i metadati e dell'autorizzazionebigquery.tables.getDataper visualizzare gli aspetti dei dati. - Se l'autorizzazione per visualizzare gli aspetti dei dati non è presente, le voci sono comunque visibili, ma i contenuti degli aspetti dei dati sono nascosti.
- Quando crei una voce o aggiorni i campi di primo livello di una voce, devi disporre dell'autorizzazione
useper il tipo di voce. - Quando crei, aggiorni o elimini un aspetto obbligatorio, devi disporre
dell'autorizzazione
useper il tipo di voce di una voce, nonché per il tipo di aspetto sottostante. Questo perché gli aspetti obbligatori vengono applicati dal tipo di voce. - Quando crei, aggiorni o elimini un aspetto facoltativo, devi disporre dell'autorizzazione
useper il tipo di aspetto. - Quando esegui l'upsert di una voce (
UpdateEntryconallow_missing = True), devi disporre dell'autorizzazionecreate.
Per saperne di più sui tipi di voci su cui si basano le voci, consulta Categorie di tipi di voci.
La tabella seguente elenca le autorizzazioni necessarie per operare sulle voci:
| Operazione | Voce basata sul tipo di voce personalizzato | Voce basata sul tipo di voce di sistema utilizzabile | Voce basata sul tipo di voce di sistema di sola lettura |
|---|---|---|---|
| Creare voci |
|
|
N/D |
| Ottieni voci |
Per visualizzare gli aspetti dei dati,
è necessario anche |
Per visualizzare gli aspetti dei dati,
è necessario anche |
Per visualizzare gli aspetti dei dati,
è necessario anche |
| Voci elenco | dataplex.entries.list |
dataplex.entries.list |
dataplex.entries.list |
| Voci di ricerca |
Richiede l'autorizzazione di lettura dei metadati del sistema di origine. Per visualizzare gli aspetti dei dati è necessaria l'autorizzazione per leggere i dati dal sistema di origine. Per le voci personalizzate, in cui Dataplex Universal Catalog viene trattato come sistema di origine, queste autorizzazioni sono rispettivamente |
Richiede l'autorizzazione di lettura dei metadati del sistema di origine. Per visualizzare gli aspetti dei dati è necessaria l'autorizzazione per leggere i dati dal sistema di origine. Per le voci personalizzate, in cui Dataplex Universal Catalog viene trattato come sistema di origine, queste autorizzazioni sono rispettivamente |
Richiede l'autorizzazione di lettura dei metadati del sistema di origine. Per visualizzare gli aspetti dei dati è necessaria l'autorizzazione per leggere i dati dal sistema di origine. Per le voci personalizzate, in cui Dataplex Universal Catalog viene trattato come sistema di origine, queste autorizzazioni sono rispettivamente |
| Voci di ricerca |
Autorizzazione di lettura del sistema di origine originale. Per le voci personalizzate, questo valore è |
Autorizzazione di lettura del sistema di origine originale. Per le voci personalizzate, questo valore è |
Autorizzazione di lettura del sistema di origine originale. Per le voci personalizzate, questo valore è |
| Aggiornare le voci |
|
|
I campi di primo livello e gli aspetti obbligatori non possono essere modificati. |
Autorizzazioni per i job di metadati
La tabella seguente elenca le autorizzazioni necessarie per lavorare con i job di importazione dei metadati e i job di esportazione dei metadati.
| Operazione | Autorizzazioni IAM |
|---|---|
| Accedere ai risultati esportati dai job di esportazione dei metadati |
|
| Annulla job di metadati |
|
| Creare job di esportazione dei metadati |
|
| Creare job di importazione dei metadati |
|
| Ottieni lavori di metadati |
|
| Elenca i job di metadati |
|
Tipi di aspetti e tipi di voci di sistema
Ogni tipo di aspetto definito dal sistema e ogni tipo di voce definito dal sistema ha le proprie autorizzazioni IAM. Queste autorizzazioni utilizzano un formato come
dataplex.entryGroups.useASPECT_TYPE o
dataplex.entryGroups.useENTRY_TYPE. Ad esempio, l'autorizzazione per il tipo di aspetto di sistema overview è dataplex.entryGroups.useOverviewAspect.
La tabella seguente elenca le autorizzazioni che si applicano ai tipi di aspetto e di voce definiti dal sistema.
| Risorsa | Autorizzazioni IAM |
|---|---|
contacts (tipo di aspetto di sistema) |
dataplex.entryGroups.useContactsAspect |
data-profile (tipo di aspetto di sistema) |
dataplex.entryGroups.useDataProfileAspect |
data-quality-scorecard (tipo di aspetto di sistema) |
dataplex.entryGroups.useDataQualityScorecardAspect |
generic (tipo di aspetto di sistema) |
dataplex.entryGroups.useGenericAspect |
generic (tipo di voce di sistema) |
dataplex.entryGroups.useGenericEntry |
overview (tipo di aspetto di sistema) |
dataplex.entryGroups.useOverviewAspect |
schema (tipo di aspetto di sistema) |
dataplex.entryGroups.useSchemaAspect |
Autorizzazioni per lake, zona e asset
La tabella seguente elenca le autorizzazioni necessarie per operare su laghi, zone e asset:
| Metodo API | Autorizzazioni IAM |
|---|---|
| CreateAsset | dataplex.assets.create |
| CreateLake | dataplex.lakes.create |
| CreateZone | dataplex.zones.create |
| DeleteAsset | dataplex.assets.delete |
| DeleteLake | dataplex.lakes.delete |
| DeleteZone | dataplex.zones.delete |
| GetAsset | dataplex.assets.get |
| GetLake | dataplex.lakes.get |
| GetZone | dataplex.zones.get |
| ListAssetActions | dataplex.assetActions.list |
| ListAssets | dataplex.assets.list |
| ListLakeActions | dataplex.lakeActions.list |
| ListLakes | dataplex.lakes.list |
| ListZoneActions | dataplex.zoneActions.list |
| ListZones | dataplex.zones.list |
| UpdateAsset | dataplex.assets.update |
| UpdateLake | dataplex.lakes.update |
| UpdateZone | dataplex.zones.update |
Autorizzazioni delle attività
La tabella seguente elenca le autorizzazioni necessarie per operare sulle attività:
| Metodo API | Autorizzazioni IAM |
|---|---|
| CancelJob | dataplex.tasks.cancel |
| CreateTask | dataplex.tasks.create |
| DeleteTask | dataplex.tasks.delete |
| GetJob | dataplex.tasks.get |
| GetTask | dataplex.tasks.get |
| ListJobs | dataplex.tasks.get |
| ListTasks | dataplex.tasks.list |
| UpdateTask | dataplex.tasks.update |
Autorizzazioni dell'ambiente
La tabella seguente elenca le autorizzazioni necessarie per operare sugli ambienti:
| Metodo API | Autorizzazioni IAM |
|---|---|
| CreateContent | dataplex.content.create |
| CreateEnvironment | dataplex.environments.create |
| DeleteContent | dataplex.content.delete |
| DeleteEnvironment | dataplex.environments.delete |
| GetContent | dataplex.content.get |
| GetEnvironment | dataplex.environments.get |
| ListContent | dataplex.content.list |
| ListEnvironments | dataplex.environments.list |
| ListSessions | dataplex.environments.get |
| UpdateContent | dataplex.content.update |
| UpdateEnvironment | dataplex.environments.update |
Autorizzazioni dei metadati
La tabella seguente elenca le autorizzazioni necessarie per operare su entità e partizioni:
| Metodo API | Autorizzazioni IAM |
|---|---|
| CreateEntity | dataplex.entities.create |
| CreatePartition | dataplex.partitions.create |
| DeleteEntity | dataplex.entities.delete |
| DeletePartition | dataplex.partitions.delete |
| GetEntity | dataplex.entities.get |
| GetPartition | dataplex.partitions.get |
| ListEntities | dataplex.entities.list |
| ListPartitions | dataplex.partitions.list |
Autorizzazioni di scansione dei dati
La tabella seguente elenca le autorizzazioni necessarie per operare sulle scansioni dei dati:
| Metodo API | Autorizzazioni IAM |
|---|---|
| CreateDataScan | dataplex.datascans.create |
| DeleteDataScan | dataplex.datascans.delete |
| GetDataScan (visualizzazione di base) | dataplex.datascans.get |
| GetDataScan (visualizzazione completa) | dataplex.datascans.getData |
| GetDataScanJob (visualizzazione di base) | dataplex.datascans.get |
| GetDataScanJob (visualizzazione completa) | dataplex.datascans.getData |
| ListDataScanJobs | dataplex.datascans.get |
| ListDataScans | dataplex.datascans.list |
| RunDataScan | dataplex.datascans.run |
| UpdateDataScan | dataplex.datascans.update |