Permissões do IAM do Catálogo de Conhecimento

Este documento fornece uma referência das permissões do Identity and Access Management (IAM) para recursos do Knowledge Catalog (antigo Dataplex Universal Catalog). Use essas permissões para criar papéis personalizados ou verificar o acesso granular necessário para gerenciamento de metadados, verificações de dados, operações de data lake, tarefas e ambientes.

Permissões e papéis

Você não concede permissões diretamente aos usuários. Em vez disso, você concede papéis, que já têm uma ou mais permissões incluídas. Essa abordagem se alinha ao princípio de privilégio mínimo, incentivando você a conceder apenas o acesso necessário para que um usuário ou uma conta de serviço execute as tarefas.

O IAM oferece papéis predefinidos para casos de uso comuns. Se esses papéis predefinidos não atenderem às suas necessidades específicas, crie seus próprios papéis personalizados com apenas as permissões específicas necessárias.

Para mais informações sobre os papéis predefinidos do Knowledge Catalog e as permissões que eles contêm, consulte Papéis do IAM do Knowledge Catalog.

Para uma descrição detalhada do IAM e dos recursos dele, consulte a documentação do IAM.

Permissões de definição e recebimento de políticas do IAM

A tabela a seguir lista as permissões necessárias para receber e definir permissões do IAM:

Recurso Método de API Permissão do IAM
Tipos de aspecto GetIamPolicy dataplex.aspectTypes.getIamPolicy
Tipos de aspecto SetIamPolicy dataplex.aspectTypes.setIamPolicy
Grupos de entradas GetIamPolicy dataplex.entryGroups.getIamPolicy
Grupos de entradas SetIamPolicy dataplex.entryGroups.setIamPolicy
Tipos de entrada GetIamPolicy dataplex.entryTypes.getIamPolicy
Tipos de entrada SetIamPolicy dataplex.entryTypes.setIamPolicy
Lakes GetIamPolicy dataplex.lakes.getIamPolicy
Lakes SetIamPolicy dataplex.lakes.setIamPolicy

Permissões de gerenciamento de metadados

O conjunto de permissões necessárias para realizar operações em tipos de entradas, tipos de links de entradas, tipos de aspectos, grupos de entradas, entradas e links de entradas depende de os recursos serem do sistema ou personalizados. Os recursos do sistema são definidos pelo Knowledge Catalog, e os recursos personalizados são definidos por você ou sua organização.

Para enriquecer entradas e links de entrada com mais informações, você pode anexar aspectos.

Para realizar operações relacionadas a vários recursos (por exemplo, criar uma entrada de um tipo específico ou adicionar um aspecto de um tipo específico a uma entrada ou link de entrada), talvez sejam necessárias várias permissões associadas aos recursos.

Tipos de entrada

Para criar e gerenciar tipos de entrada, é necessário ter pelo menos as permissões padrão create, get, list, update e delete.

Ao criar um tipo de entrada, você precisa ter permissões para usar cada tipo de aspecto que quer marcar como obrigatório para esse tipo de entrada.

Para usar um tipo de entrada (por exemplo, para criar entradas de um tipo de entrada), você precisa receber a permissão use no tipo de entrada.

A tabela a seguir lista as permissões necessárias para operar em tipos de entrada:

Operação Permissão do IAM
Criar tipos de entrada

dataplex.entryTypes.create

dataplex.aspectTypes.use (para cada tipo de aspecto obrigatório no tipo de entrada)

dataplex.entryGroups.useASPECT_TYPE (para cada tipo de aspecto obrigatório do sistema no tipo de entrada). Consulte as permissões para tipos de aspectos do sistema.
Excluir tipos de entrada

dataplex.entryTypes.delete

dataplex.aspectTypes.use (para tipos de aspectos obrigatórios nos tipos de entrada)

dataplex.entryGroups.useASPECT_TYPE (para cada tipo de aspecto obrigatório do sistema no tipo de entrada). Consulte as permissões para tipos de aspectos do sistema.
Receber tipos de entrada dataplex.entryTypes.get
Tipos de entrada de lista dataplex.entryTypes.list
Atualizar tipos de entrada

dataplex.entryTypes.update

dataplex.aspectTypes.use (para cada tipo de aspecto obrigatório no tipo de entrada)

dataplex.entryGroups.useASPECT_TYPE (para cada tipo de aspecto obrigatório do sistema no tipo de entrada). Consulte as permissões para tipos de aspectos do sistema.

Usar tipos de entrada

(ao criar entradas, atualizar campos de entrada de nível superior e valores obrigatórios de tipo de aspecto)

dataplex.entryTypes.use

dataplex.entries.create ou dataplex.entries.update

dataplex.aspectTypes.use (para cada aspecto criado ou atualizado)

Tipos de aspecto

Para criar e gerenciar tipos de aspectos, é necessário ter as permissões padrão create, get, list, update e delete.

Para usar um tipo de aspecto (por exemplo, anexá-lo como um aspecto opcional em uma entrada ou atualizar o aspecto obrigatório no link da entrada), você precisa receber a permissão use no tipo de aspecto.

Os tipos de aspecto são categorizados em tipos de aspecto do sistema e personalizados. Os tipos de aspectos do sistema são criados pelo Knowledge Catalog, e os personalizados são criados por você ou sua organização. Os tipos de aspectos do sistema são categorizados em utilizáveis e somente leitura. Para mais informações, consulte Categorias de tipos de aspectos.

A tabela a seguir lista as permissões necessárias para operar em tipos de aspectos personalizados e do sistema:

Operação Permissões necessárias para tipos de aspecto personalizados Permissões necessárias para tipos de aspectos do sistema utilizáveis Permissões necessárias para tipos de aspectos do sistema somente leitura
Criar tipos de aspectos dataplex.aspectTypes.create N/A N/A
Excluir tipos de aspecto dataplex.aspectTypes.delete N/A N/A
Receber tipos de aspecto dataplex.aspectTypes.get Concedido a allUsers Concedido a allUsers
Listar tipos de aspecto dataplex.aspectTypes.list Não relevante (N/A) N/A
Definir valores opcionais de tipo de aspecto ao criar ou atualizar entradas

dataplex.aspectTypes.use

dataplex.entries.create ou dataplex.entries.update

dataplex.entryGroups.useASPECT_TYPE. Consulte as permissões para tipos de aspectos do sistema.

dataplex.entries.create ou dataplex.entries.update

 N/A
Definir os valores obrigatórios do tipo de aspecto ao criar ou atualizar entradas

dataplex.aspectTypes.use

dataplex.entryTypes.use

dataplex.entries.create ou dataplex.entries.update

dataplex.entryGroups.useASPECT_TYPE. Consulte as permissões para tipos de aspectos do sistema.

dataplex.entryTypes.use

dataplex.entries.create ou dataplex.entries.update

 N/A
Atualizar tipos de aspectos dataplex.aspectTypes.update N/A N/A
Definir os valores obrigatórios do tipo de aspecto ao criar ou atualizar um link de entrada N/A

dataplex.entryGroups.useASPECT_TYPE. Consulte as permissões para tipos de aspectos do sistema.

dataplex.entryLinkTypes.useENTRY_LINK_TYPE. Consulte as permissões para tipos de links de entrada do sistema.

dataplex.entries.link Concedida em grupos de entradas que contêm entradas vinculadas. Verificado apenas durante a criação do link de entrada.

dataplex.entryLinks.create ou dataplex.entryLinks.update

 N/A

Grupos de entradas

Para criar e gerenciar grupos de entradas, é necessário ter as permissões padrão create, get, list, update e delete.

Os grupos de entrada são categorizados em grupos de entrada do sistema, criados pelo Knowledge Catalog, e grupos de entrada personalizados, criados por você ou sua organização. Para mais informações, consulte Categorias de grupos de entradas.

A tabela a seguir lista as permissões necessárias para operar em grupos de entradas:

Operação Permissões necessárias para grupos de entrada personalizados Permissões necessárias para grupos de entrada do sistema (que começam com @)
Criar grupos de entradas dataplex.entryGroups.create N/A
Excluir grupos de entradas dataplex.entryGroups.delete N/A
Acessar grupos de entradas dataplex.entryGroups.get dataplex.entryGroups.get
Listar grupos de entrada dataplex.entryGroups.list dataplex.entryGroups.list
Atualizar grupos de entrada dataplex.entryGroups.update N/A

Entradas

Para criar e gerenciar entradas, você precisa ter as permissões padrão create, get, list, update e delete.

Observe o seguinte:

  • Para os métodos de pesquisa (LookupEntry), pesquisa (SearchEntries) e modificação (ModifyEntry), a permissão do sistema de origem original é necessária na entrada. Por exemplo, se a origem for uma tabela do BigQuery, você precisará da permissão bigquery.tables.get para ver os metadados, bigquery.tables.getData para ver os aspectos de dados e bigquery.tables.update para modificar os metadados da entrada.
  • Se a permissão para ver aspectos de dados não estiver presente, as entradas ainda vão ficar visíveis, mas o conteúdo dos aspectos de dados vai ser ocultado.
  • Ao criar ou atualizar os campos de nível superior de uma entrada, você precisa ter a permissão use no tipo de entrada.
  • Ao criar ou atualizar um aspecto obrigatório, você precisa receber a permissão use no tipo de entrada de uma entrada, bem como no tipo de aspecto subjacente. Isso ocorre porque os aspectos obrigatórios são aplicados pelo tipo de entrada.
  • Ao criar, atualizar ou excluir um aspecto opcional, você precisa ter a permissão use no tipo de aspecto.
  • Ao fazer um upsert de uma entrada (UpdateEntry com allow_missing = True), você precisa ter a permissão create.

Para mais informações sobre os tipos de entradas em que as entradas se baseiam, consulte Categorias de tipos de entradas.

A tabela a seguir lista as permissões necessárias para operar em entradas:

Operação Entrada com base em um tipo de entrada personalizada Entrada com base no tipo de entrada de sistema utilizável Entrada baseada no tipo de entrada do sistema somente leitura
Criar entradas

dataplex.entries.create

dataplex.entryTypes.use

dataplex.aspectTypes.use (para cada aspecto personalizado criado)

dataplex.entryGroups.useASPECT_TYPE (para cada aspecto de um tipo de aspecto de sistema utilizável criado). Consulte as permissões para tipos de aspectos do sistema.

dataplex.entries.create

dataplex.entryGroups.useENTRY_TYPE. Consulte as permissões para tipos de entrada do sistema.

dataplex.entryGroups.useASPECT_TYPE (para cada aspecto do sistema criado). Consulte as permissões para tipos de aspectos do sistema.

dataplex.aspectTypes.use (para cada aspecto personalizado criado)

 N/A
Receber entradas

dataplex.entries.get

Para acessar os aspectos de dados, o dataplex.entries.getData também é necessário.

dataplex.entries.get

Para acessar os aspectos de dados, o dataplex.entries.getData também é necessário.

dataplex.entries.get

Para acessar os aspectos de dados, o dataplex.entries.getData também é necessário.
Entradas de lista dataplex.entries.list dataplex.entries.list dataplex.entries.list
Entradas de pesquisa

Requer permissão de leitura de metadados do sistema de origem. É necessário ter permissão para ler dados do sistema de origem e acessar os aspectos de dados.

Para entradas personalizadas, em que o Knowledge Catalog é tratado como o sistema de origem, essas permissões são dataplex.entries.get e dataplex.entries.getData, respectivamente.

Requer permissão de leitura de metadados do sistema de origem. É necessário ter permissão para ler dados do sistema de origem e acessar os aspectos de dados.

Para entradas personalizadas, em que o Knowledge Catalog é tratado como o sistema de origem, essas permissões são dataplex.entries.get e dataplex.entries.getData, respectivamente.

Requer permissão de leitura de metadados do sistema de origem. É necessário ter permissão para ler dados do sistema de origem e acessar os aspectos de dados.

Para entradas personalizadas, em que o Knowledge Catalog é tratado como o sistema de origem, essas permissões são dataplex.entries.get e dataplex.entries.getData, respectivamente.
Modificar entradas

dataplex.entries.update

dataplex.entryTypes.use (para atualizar campos de nível superior ou aspectos obrigatórios)

dataplex.aspectTypes.use (para cada aspecto personalizado modificado)

dataplex.entryGroups.useASPECT_TYPE (para cada aspecto do sistema modificado). Consulte as permissões para tipos de aspectos do sistema.

Requer permissão de atualização de metadados do sistema de origem original.

Para entradas personalizadas, esse valor é dataplex.entries.update, porque o Knowledge Catalog é tratado como o sistema de origem original.

dataplex.aspectTypes.use (para cada aspecto personalizado modificado)

dataplex.entryGroups.useASPECT_TYPE (para cada aspecto do sistema modificado). Consulte as permissões para tipos de aspectos do sistema.

Requer permissão de atualização de metadados do sistema de origem original.

dataplex.aspectTypes.use (para cada aspecto personalizado modificado)

dataplex.entryGroups.useASPECT_TYPE (para cada aspecto de um tipo de aspecto do sistema utilizável modificado). Consulte as permissões para tipos de aspectos do sistema.
Entradas de pesquisa

Permissão de leitura do sistema de origem original.

Para entradas personalizadas, esse valor é dataplex.entries.get, porque o Knowledge Catalog é tratado como o sistema de origem original.

Permissão de leitura do sistema de origem original.

Para entradas personalizadas, esse valor é dataplex.entries.get, porque o Knowledge Catalog é tratado como o sistema de origem original.

Permissão de leitura do sistema de origem original.

Para entradas personalizadas, esse valor é dataplex.entries.get, porque o Knowledge Catalog é tratado como o sistema de origem original.
Atualizar entradas

dataplex.entries.update

dataplex.entryTypes.use (para atualizar campos de nível superior ou aspectos obrigatórios)

dataplex.aspectTypes.use (para cada aspecto atualizado)

dataplex.entryGroups.useASPECT_TYPE (para cada aspecto do sistema atualizado). Consulte as permissões para tipos de aspectos do sistema.

dataplex.entries.create (se allow_missing for True)

dataplex.entries.update

dataplex.entryGroups.useENTRY_TYPE (para atualizar campos de nível superior ou aspectos obrigatórios). Consulte as permissões para tipos de entrada do sistema.

dataplex.aspectTypes.use (para cada aspecto personalizado atualizado)

dataplex.entryGroups.useASPECT_TYPE (para todos os aspectos que pertencem a tipos de aspectos do sistema). Consulte as permissões para tipos de aspectos do sistema.

dataplex.entries.create (se allow_missing for True)

dataplex.entries.update

dataplex.aspectTypes.use (para cada aspecto personalizado atualizado)

dataplex.entryGroups.useASPECT_TYPE (para cada aspecto de um tipo de aspecto de sistema utilizável atualizado). Consulte as permissões para tipos de aspectos do sistema.

Não é possível editar os campos de nível superior e os aspectos obrigatórios.

Links de entrada

Para criar e gerenciar links de entrada, você precisa ter as permissões create, get, list e delete em dataplex.entryLinks.

Observe o seguinte:

  • Para criar links de entrada (CreateEntryLink), também são necessárias permissões no tipo de link de entrada e nas entradas específicas do link.
  • Ao criar um link de entrada com um aspecto obrigatório, você precisa das permissões para usar o tipo de aspecto.
  • Ao fazer upsert de um link de entrada (UpdateEntryLink com allow_missing = True), você também precisa ter as mesmas permissões necessárias para CreateEntryLink.

A tabela a seguir lista as permissões necessárias para operar em links de entrada:

Operação Permissão do IAM
Criar links de entrada

dataplex.entryLinks.create (no grupo de entradas)

Permissões necessárias com base no Tipo de link de entrada:

  • Sinônimo:dataplex.glossaryTerms.use (nas duas entradas de termo)
  • Definição:dataplex.glossaryTerms.use (na entrada do termo) e dataplex.entries.link (na entrada de destino)
  • Outro: dataplex.entries.link (nas duas entradas)

Permissão para usar o tipo de link de entrada:

Permissões para os aspectos obrigatórios especificados pelo tipo de link da entrada:
Excluir links de entrada dataplex.entryLinks.delete (no grupo de entradas)
Receber links de entrada

dataplex.entryLinks.get (no grupo de entradas)
Links de entradas de pesquisa

Requer permissão de leitura de metadados do sistema de origem na entrada para a qual os links de entrada são pesquisados.

Para entradas personalizadas vinculadas, em que o Knowledge Catalog é tratado como o sistema de origem, a permissão é dataplex.entries.get.

Para entradas de sistemas vinculados, a permissão é de leitura do sistema de origem da entrada vinculada.
Atualizar link de entrada

dataplex.entryLinks.update (no grupo de entradas)

Permissão para usar o tipo de link de entrada:

Permissões para os aspectos obrigatórios especificados pelo tipo de link da entrada:

Se allow_missing for True, todas as permissões de Create entry link também serão aplicadas.

Limitações para aspectos em links de entrada

As seguintes limitações se aplicam ao uso de aspectos com links de entrada.

Permissões de jobs de metadados

A tabela a seguir lista as permissões necessárias para trabalhar com jobs de importação de metadados e jobs de exportação de metadados.

Operação Permissão do IAM
Acessar os resultados exportados de jobs de exportação de metadados

storage.objects.get
Cancelar jobs de metadados

dataplex.metadataJobs.cancel
Criar jobs de exportação de metadados

dataplex.metadataJobs.create

dataplex.entryGroups.export

dataplex.entryGroups.get

resourcemanager.projects.get

resourcemanager.projects.list
Criar jobs de importação de metadados

dataplex.metadataJobs.create

dataplex.entryTypes.use (para tipos de entrada personalizados no escopo do job)

dataplex.entryTypes.useENTRY_TYPE (para cada tipo de entrada do sistema no escopo do job). Consulte as permissões para tipos de entrada do sistema. No entanto, essa permissão não é necessária para modificar aspectos opcionais ao executar um job de importação de metadados somente de aspectos.

dataplex.aspectTypes.use (para tipos de aspecto personalizados no escopo do job)

dataplex.aspectTypes.useASPECT_TYPE (para cada tipo de aspecto do sistema no escopo do job). Consulte as permissões para tipos de aspectos do sistema.

dataplex.entryGroups.import (para grupos de entradas no escopo do job)
Receber jobs de metadados

dataplex.metadataJobs.get
Listar jobs de metadados

dataplex.metadataJobs.list

Tipos de aspectos, entradas e links de entradas do sistema

Cada tipo de aspecto, tipo de entrada e tipo de link de entrada definidos pelo sistema tem permissões próprias do IAM. Essas permissões usam um formato como dataplex.entryGroups.useASPECT_TYPE, dataplex.entryGroups.useENTRY_TYPE ou dataplex.entryGroups.useENTRY_LINK_TYPE. Por exemplo, a permissão para o tipo de aspecto do sistema overview é dataplex.entryGroups.useOverviewAspect.

A tabela a seguir lista as permissões que se aplicam a tipos de aspectos, tipos de entradas e tipos de links de entradas definidos pelo sistema.

Recurso Permissão do IAM
contacts (tipo de aspecto do sistema) dataplex.entryGroups.useContactsAspect
data-profile (tipo de aspecto do sistema) dataplex.entryGroups.useDataProfileAspect
data-quality-rule-template (tipo de aspecto do sistema) dataplex.entryGroups.useDataQualityRuleTemplateAspect
data-quality-rule-template (tipo de entrada do sistema) dataplex.entryGroups.useDataQualityRuleTemplateEntry
data-quality-scorecard (tipo de aspecto do sistema) dataplex.entryGroups.useDataQualityScorecardAspect
data-rules (tipo de aspecto do sistema) dataplex.entryGroups.useDataRulesAspect
definition (tipo de link de entrada do sistema) dataplex.entryGroups.useDefinitionEntryLink
generic (tipo de aspecto do sistema) dataplex.entryGroups.useGenericAspect
generic (tipo de entrada do sistema) dataplex.entryGroups.useGenericEntry
guidelines (tipo de aspecto do sistema) dataplex.entryGroups.useGuidelinesAspect
overview (tipo de aspecto do sistema) dataplex.entryGroups.useOverviewAspect
related (tipo de link de entrada do sistema) dataplex.entryGroups.useRelatedEntryLink
schema (tipo de aspecto do sistema) dataplex.entryGroups.useSchemaAspect
schema-join (tipo de aspecto do sistema) dataplex.entryGroups.useSchemaJoinAspect
schema-join (tipo de link de entrada do sistema) dataplex.entryGroups.useSchemaJoinEntryLink
synonym (tipo de link de entrada do sistema) dataplex.entryGroups.useSynonymEntryLink

Permissões de lake, zona e recurso

A tabela a seguir lista as permissões necessárias para operar em lagos, zonas e recursos:

Método de API Permissão do IAM
CreateAsset dataplex.assets.create
CreateLake dataplex.lakes.create
CreateZone dataplex.zones.create
DeleteAsset dataplex.assets.delete
DeleteLake dataplex.lakes.delete
DeleteZone dataplex.zones.delete
GetAsset dataplex.assets.get
GetLake dataplex.lakes.get
GetZone dataplex.zones.get
ListAssetActions dataplex.assetActions.list
ListAssets dataplex.assets.list
ListLakeActions dataplex.lakeActions.list
ListLakes dataplex.lakes.list
ListZoneActions dataplex.zoneActions.list
ListZones dataplex.zones.list
UpdateAsset dataplex.assets.update
UpdateLake dataplex.lakes.update
UpdateZone dataplex.zones.update

Permissões de tarefa

A tabela a seguir lista as permissões necessárias para operar em tarefas:

Método de API Permissão do IAM
CancelJob dataplex.tasks.cancel
CreateTask dataplex.tasks.create
DeleteTask dataplex.tasks.delete
GetJob dataplex.tasks.get
GetTask dataplex.tasks.get
ListJobs dataplex.tasks.get
ListTasks dataplex.tasks.list
UpdateTask dataplex.tasks.update

Permissões do ambiente

A tabela a seguir lista as permissões necessárias para operar em ambientes:

Método de API Permissão do IAM
CreateContent dataplex.content.create
CreateEnvironment dataplex.environments.create
DeleteContent dataplex.content.delete
DeleteEnvironment dataplex.environments.delete
GetContent dataplex.content.get
GetEnvironment dataplex.environments.get
ListContent dataplex.content.list
ListEnvironments dataplex.environments.list
ListSessions dataplex.environments.get
UpdateContent dataplex.content.update
UpdateEnvironment dataplex.environments.update

Permissões de metadados

A tabela a seguir lista as permissões necessárias para operar em entidades e partições:

Método de API Permissão do IAM
CreateEntity dataplex.entities.create
CreatePartition dataplex.partitions.create
DeleteEntity dataplex.entities.delete
DeletePartition dataplex.partitions.delete
GetEntity dataplex.entities.get
GetPartition dataplex.partitions.get
ListEntities dataplex.entities.list
ListPartitions dataplex.partitions.list

Permissões de verificação de dados

A tabela a seguir lista as permissões necessárias para operar em verificações de dados:

Método de API Permissão do IAM
CreateDataScan dataplex.datascans.create
DeleteDataScan dataplex.datascans.delete
GetDataScan (visualização básica) dataplex.datascans.get
GetDataScan (visualização completa) dataplex.datascans.getData
GetDataScanJob (visualização básica) dataplex.datascans.get
GetDataScanJob (visualização completa) dataplex.datascans.getData
ListDataScanJobs dataplex.datascans.get
ListDataScans dataplex.datascans.list
RunDataScan dataplex.datascans.run
UpdateDataScan dataplex.datascans.update