Este documento lista as autorizações da IAM para o Dataplex Universal Catalog.
As autorizações permitem que os utilizadores realizem ações específicas em recursos do catálogo universal do Dataplex. Por exemplo, a autorização dataplex.datascans.create permite que um utilizador crie análises de dados do catálogo universal do Dataplex no seu projeto.
Autorizações e funções
Não atribui autorizações diretamente aos utilizadores. Em alternativa, atribui-lhes funções, que têm uma ou mais autorizações incluídas. Esta abordagem está alinhada com o princípio do menor privilégio, o que incentiva a conceder apenas o acesso necessário para que uma conta de utilizador ou de serviço execute as respetivas tarefas.
O IAM oferece funções predefinidas para exemplos de utilização comuns. Se estas funções predefinidas não satisfizerem as suas necessidades específicas, pode criar as suas próprias funções personalizadas que contenham apenas as autorizações específicas necessárias.
Para mais informações sobre as funções predefinidas do Dataplex Universal Catalog e as autorizações que contêm, consulte Funções de IAM do Dataplex Universal Catalog.
Para uma descrição detalhada do IAM e das respetivas funcionalidades, consulte a documentação do IAM.
Permissões de definição e obtenção de políticas IAM
A tabela seguinte lista as autorizações necessárias para obter e definir autorizações da IAM:
| Recurso | Método da API | Autorização de IAM |
|---|---|---|
| Tipos de aspetos | GetIamPolicy | dataplex.aspectTypes.getIamPolicy |
| Tipos de aspetos | SetIamPolicy | dataplex.aspectTypes.setIamPolicy |
| Grupos de entradas | GetIamPolicy | dataplex.entryGroups.getIamPolicy |
| Grupos de entradas | SetIamPolicy | dataplex.entryGroups.setIamPolicy |
| Tipos de entradas | GetIamPolicy | dataplex.entryTypes.getIamPolicy |
| Tipos de entradas | SetIamPolicy | dataplex.entryTypes.setIamPolicy |
| Lagos | GetIamPolicy | dataplex.lakes.getIamPolicy |
| Lagos | SetIamPolicy | dataplex.lakes.setIamPolicy |
Autorizações de gestão de metadados
O conjunto de autorizações necessário para realizar operações em tipos de entradas, tipos de aspetos, grupos de entradas e entradas depende de os recursos serem recursos do sistema ou recursos personalizados. Os recursos do sistema são definidos pelo catálogo universal do Dataplex, e os recursos personalizados são definidos por si ou pela sua organização.
Para realizar operações relacionadas com vários recursos (por exemplo, criar uma entrada de um tipo de entrada específico ou adicionar um aspeto de um tipo de aspeto específico a uma entrada), pode precisar de várias autorizações associadas aos recursos.
Tipos de entradas
Para criar e gerir tipos de entradas, tem de ter, pelo menos, as autorizações padrão
create, get, list, update e delete.
Quando cria um tipo de entrada, tem de receber autorizações para usar cada tipo de aspeto que quer marcar como obrigatório para esse tipo de entrada.
Para usar um tipo de entrada (por exemplo, para criar entradas de um tipo de entrada), tem de
ter a autorização use concedida no tipo de entrada.
A tabela seguinte indica as autorizações necessárias para operar em tipos de entradas:
| Operação | Autorização de IAM |
|---|---|
| Crie tipos de entradas |
|
| Elimine tipos de entradas |
|
| Get entry types | dataplex.entryTypes.get |
| Tipos de entradas de listas | dataplex.entryTypes.list |
| Atualize os tipos de entradas |
|
|
Use tipos de entradas (quando cria entradas, atualiza campos de entrada de nível superior e valores de tipo de aspeto obrigatórios) |
|
Tipos de aspetos
Para criar e gerir tipos de aspeto, tem de ter as autorizações padrão create,
get, list, update e delete.
Para usar um tipo de aspeto (por exemplo, para o anexar como um aspeto opcional numa entrada), tem de lhe ser concedida a autorização use no tipo de aspeto.
Os tipos de aspetos são categorizados em tipos de aspetos do sistema e tipos de aspetos personalizados. Os tipos de aspetos do sistema são criados pelo catálogo universal do Dataplex, e os tipos de aspetos personalizados são criados por si ou pela sua organização. Os tipos de aspetos do sistema são ainda categorizados em utilizáveis e só de leitura. Para mais informações, consulte o artigo Categorias de tipos de aspetos.
A tabela seguinte lista as autorizações necessárias para operar em tipos de aspetos personalizados e do sistema:
| Operação | Autorizações necessárias para tipos de aspetos personalizados | Autorizações necessárias para tipos de aspetos do sistema utilizáveis | Autorizações necessárias para tipos de aspetos do sistema só de leitura |
|---|---|---|---|
| Crie tipos de aspetos | dataplex.aspectTypes.create |
N/A | N/A |
| Elimine tipos de aspetos | dataplex.aspectTypes.delete |
N/A | N/A |
| Get aspect types | dataplex.aspectTypes.get |
Concedido a allUsers |
Concedido a allUsers |
| Tipos de aspetos de listas | dataplex.aspectTypes.list |
Não aplicável (N/A) | N/A |
| Defina valores de tipo de aspeto opcionais quando criar ou atualizar entradas |
|
|
N/A |
| Defina os valores do tipo de aspeto obrigatórios quando criar ou atualizar entradas |
|
|
N/A |
| Atualize os tipos de aspetos | dataplex.aspectTypes.update |
N/A | N/A |
Grupos de entradas
Para criar e gerir grupos de entradas, tem de lhe ser concedidas as autorizações padrão create,
get, list, update e delete.
Os grupos de entradas são categorizados em grupos de entradas do sistema, que são criados pelo catálogo universal do Dataplex, e grupos de entradas personalizados, que são criados por si ou pela sua organização. Para mais informações, consulte o artigo Categorias de grupos de entradas.
A tabela seguinte lista as autorizações necessárias para operar em grupos de entradas:
| Operação | Autorizações necessárias para grupos de entradas personalizados | Autorizações necessárias para grupos de entrada do sistema (a começar por @) |
|---|---|---|
| Crie grupos de entradas | dataplex.entryGroups.create |
N/A |
| Elimine grupos de entradas | dataplex.entryGroups.delete |
N/A |
| Obtenha grupos de entradas | dataplex.entryGroups.get |
dataplex.entryGroups.get |
| Grupos de entradas de listas | dataplex.entryGroups.list |
dataplex.entryGroups.list |
| Atualize os grupos de entradas | dataplex.entryGroups.update |
N/A |
Entradas
Para criar e gerir fichas, tem de ter as autorizações padrão create,
get, list, update e delete.
Tenha em conta o seguinte:
- Para os métodos de pesquisa (
LookupEntry) e pesquisa (SearchEntries), é necessária a autorização do sistema de origem original na entrada. Por exemplo, se a origem for uma tabela do BigQuery, precisa da autorizaçãobigquery.tables.getpara ver metadados ebigquery.tables.getDatapara ver aspetos dos dados. - Se a autorização para ver aspetos de dados não estiver presente, as entradas continuam visíveis, mas o conteúdo dos aspetos de dados está oculto.
- Quando cria uma entrada ou atualiza os campos de nível superior de uma entrada, tem de ter a autorização
useno tipo de entrada. - Quando cria, atualiza ou elimina um aspeto obrigatório, tem de ter a autorização
useno tipo de entrada de uma entrada, bem como no tipo de aspeto subjacente. Isto deve-se ao facto de os aspetos necessários serem aplicados pelo tipo de entrada. - Quando cria, atualiza ou elimina um aspeto opcional, tem de ter a autorização
useno tipo de aspeto de um aspeto. - Quando insere ou atualiza uma entrada (
UpdateEntrycomallow_missing = True), tem de lhe ser concedida a autorizaçãocreate.
Para mais informações sobre os tipos de entradas em que as entradas se baseiam, consulte o artigo Categorias de tipos de entradas.
A tabela seguinte lista as autorizações necessárias para operar em entradas:
| Operação | Entrada com base no tipo de entrada personalizado | Entrada com base no tipo de entrada do sistema utilizável | Entrada com base no tipo de entrada do sistema só de leitura |
|---|---|---|---|
| Crie entradas |
|
|
N/A |
| Receba entradas |
Para ver aspetos dos dados,
|
Para ver aspetos dos dados,
|
Para ver aspetos dos dados,
|
| Listar entradas | dataplex.entries.list |
dataplex.entries.list |
dataplex.entries.list |
| Entradas de pesquisa |
Requer autorização de leitura de metadados do sistema de origem. É necessária autorização para ler dados do sistema de origem para ver os aspetos dos dados. Para entradas personalizadas, em que o Dataplex Universal Catalog é tratado como o sistema de origem, estas autorizações são |
Requer autorização de leitura de metadados do sistema de origem. É necessária autorização para ler dados do sistema de origem para ver os aspetos dos dados. Para entradas personalizadas, em que o Dataplex Universal Catalog é tratado como o sistema de origem, estas autorizações são |
Requer autorização de leitura de metadados do sistema de origem. É necessária autorização para ler dados do sistema de origem para ver os aspetos dos dados. Para entradas personalizadas, em que o Dataplex Universal Catalog é tratado como o sistema de origem, estas autorizações são |
| Entradas de pesquisa |
Autorização de leitura do sistema de origem original. Para entradas personalizadas, este é |
Autorização de leitura do sistema de origem original. Para entradas personalizadas, este é |
Autorização de leitura do sistema de origem original. Para entradas personalizadas, este é |
| Atualize as entradas |
|
|
Não é possível editar os campos de nível superior e os aspetos obrigatórios. |
Autorizações de tarefas de metadados
A tabela seguinte indica as autorizações necessárias para trabalhar com tarefas de importação de metadados e tarefas de exportação de metadados.
| Operação | Autorização de IAM |
|---|---|
| Aceda aos resultados exportados de tarefas de exportação de metadados |
|
| Cancele tarefas de metadados |
|
| Crie tarefas de exportação de metadados |
|
| Crie tarefas de importação de metadados |
|
| Get metadata jobs |
|
| Listar tarefas de metadados |
|
Tipos de aspetos do sistema e tipos de entradas
Cada tipo de aspeto definido pelo sistema e tipo de entrada definido pelo sistema tem as suas próprias autorizações da IAM. Estas autorizações usam um formato como
dataplex.entryGroups.useASPECT_TYPE ou
dataplex.entryGroups.useENTRY_TYPE. Por exemplo, a permissão para o tipo de aspeto do sistema overview é dataplex.entryGroups.useOverviewAspect.
A tabela seguinte lista as autorizações que se aplicam aos tipos de aspetos definidos pelo sistema e aos tipos de entradas.
| Recurso | Autorização de IAM |
|---|---|
contacts (tipo de formato do sistema) |
dataplex.entryGroups.useContactsAspect |
data-profile (tipo de formato do sistema) |
dataplex.entryGroups.useDataProfileAspect |
data-quality-scorecard (tipo de formato do sistema) |
dataplex.entryGroups.useDataQualityScorecardAspect |
generic (tipo de formato do sistema) |
dataplex.entryGroups.useGenericAspect |
generic (tipo de entrada do sistema) |
dataplex.entryGroups.useGenericEntry |
overview (tipo de formato do sistema) |
dataplex.entryGroups.useOverviewAspect |
schema (tipo de formato do sistema) |
dataplex.entryGroups.useSchemaAspect |
Autorizações de recursos, zonas e lagos
A tabela seguinte indica as autorizações necessárias para operar em lagos, zonas e recursos:
| Método da API | Autorização de IAM |
|---|---|
| CreateAsset | dataplex.assets.create |
| CreateLake | dataplex.lakes.create |
| CreateZone | dataplex.zones.create |
| DeleteAsset | dataplex.assets.delete |
| DeleteLake | dataplex.lakes.delete |
| DeleteZone | dataplex.zones.delete |
| GetAsset | dataplex.assets.get |
| GetLake | dataplex.lakes.get |
| GetZone | dataplex.zones.get |
| ListAssetActions | dataplex.assetActions.list |
| ListAssets | dataplex.assets.list |
| ListLakeActions | dataplex.lakeActions.list |
| ListLakes | dataplex.lakes.list |
| ListZoneActions | dataplex.zoneActions.list |
| ListZones | dataplex.zones.list |
| UpdateAsset | dataplex.assets.update |
| UpdateLake | dataplex.lakes.update |
| UpdateZone | dataplex.zones.update |
Autorizações de tarefas
A tabela seguinte lista as autorizações necessárias para operar em tarefas:
| Método da API | Autorização de IAM |
|---|---|
| CancelJob | dataplex.tasks.cancel |
| CreateTask | dataplex.tasks.create |
| DeleteTask | dataplex.tasks.delete |
| GetJob | dataplex.tasks.get |
| GetTask | dataplex.tasks.get |
| ListJobs | dataplex.tasks.get |
| ListTasks | dataplex.tasks.list |
| UpdateTask | dataplex.tasks.update |
Autorizações de ambiente
A tabela seguinte lista as autorizações necessárias para operar em ambientes:
| Método da API | Autorização de IAM |
|---|---|
| CreateContent | dataplex.content.create |
| CreateEnvironment | dataplex.environments.create |
| DeleteContent | dataplex.content.delete |
| DeleteEnvironment | dataplex.environments.delete |
| GetContent | dataplex.content.get |
| GetEnvironment | dataplex.environments.get |
| ListContent | dataplex.content.list |
| ListEnvironments | dataplex.environments.list |
| ListSessions | dataplex.environments.get |
| UpdateContent | dataplex.content.update |
| UpdateEnvironment | dataplex.environments.update |
Autorizações de metadados
A tabela seguinte lista as autorizações necessárias para operar em entidades e partições:
| Método da API | Autorização de IAM |
|---|---|
| CreateEntity | dataplex.entities.create |
| CreatePartition | dataplex.partitions.create |
| DeleteEntity | dataplex.entities.delete |
| DeletePartition | dataplex.partitions.delete |
| GetEntity | dataplex.entities.get |
| GetPartition | dataplex.partitions.get |
| ListEntities | dataplex.entities.list |
| ListPartitions | dataplex.partitions.list |
Autorizações de análise de dados
A tabela seguinte lista as autorizações necessárias para operar em verificações de dados:
| Método da API | Autorização de IAM |
|---|---|
| CreateDataScan | dataplex.datascans.create |
| DeleteDataScan | dataplex.datascans.delete |
| GetDataScan (vista básica) | dataplex.datascans.get |
| GetDataScan (vista completa) | dataplex.datascans.getData |
| GetDataScanJob (vista básica) | dataplex.datascans.get |
| GetDataScanJob (vista completa) | dataplex.datascans.getData |
| ListDataScanJobs | dataplex.datascans.get |
| ListDataScans | dataplex.datascans.list |
| RunDataScan | dataplex.datascans.run |
| UpdateDataScan | dataplex.datascans.update |