Mapear permissões do IAM entre o Data Catalog e o Dataplex Universal Catalog

Ao fazer a transição do Data Catalog para o Dataplex Universal Catalog, você precisa atualizar as políticas do Identity and Access Management (IAM) para garantir um acesso consistente. Este documento oferece uma comparação detalhada das permissões legadas do Data Catalog e das permissões equivalentes no Dataplex Universal Catalog. Use esses mapeamentos para auditar seus papéis atuais ou criar papéis personalizados para o gerenciamento de metadados.

Para mais informações, consulte Permissões do Data Catalog e Permissões do Dataplex Universal Catalog.

Grupos de entradas

A tabela a seguir fornece um mapeamento detalhado entre as permissões do Data Catalog e do Dataplex Universal Catalog para operações comuns em grupos de entradas:

Operação Permissões necessárias no Data Catalog Permissões necessárias no Dataplex Universal Catalog
Criar grupos de entradas datacatalog.entryGroups.create dataplex.entryGroups.create
Atualizar grupos de entrada datacatalog.entryGroups.update dataplex.entryGroups.update
Ver detalhes de um grupo de entradas datacatalog.entryGroups.get dataplex.entryGroups.get
Excluir grupos de entradas datacatalog.entryGroups.delete dataplex.entryGroups.delete

Para mais informações sobre grupos de entradas, consulte Grupos de entradas no Data Catalog e Grupos de entradas no Dataplex Universal Catalog.

Entradas

A tabela a seguir fornece um mapeamento detalhado entre as permissões do Data Catalog e do Dataplex Universal Catalog para operações comuns em entradas:

Operação Permissões necessárias no Data Catalog Permissões necessárias no Dataplex Universal Catalog Observações
Criar entradas personalizadas datacatalog.entries.create

dataplex.entries.create

dataplex.entryTypes.use (para usar o tipo de entrada e criar entradas desse tipo)

dataplex.aspectTypes.use (para usar tipos de aspecto e criar entradas com os aspectos correspondentes)

O Data Catalog não tem a noção de tipos de entrada.

No Data Catalog, só é possível criar tags para uma entrada depois que ela é criada. No Dataplex Universal Catalog, é possível criar aspectos para uma entrada ao criá-la.
Usar tipos de entrada de sistema reutilizáveis para criar entradas Não relevante Permissão especificada no grupo de entradas, por exemplo, dataplex.entryGroups.useENTRY_TYPE Para mais informações, consulte Tipos de aspectos e entradas do sistema.
Ver detalhes de uma entrada personalizada datacatalog.entries.get dataplex.entries.get -
Ver detalhes de uma entrada do sistema Permissão específica do sistema, por exemplo, bigquery.tables.get

dataplex.entries.get (para o método entries.get)
ou
permissão específica do sistema, por exemplo, bigquery.tables.get (para o método lookupEntry)

No Dataplex Universal Catalog, é possível recuperar uma entrada usando o método entries.get ou lookupEntry. A diferença entre esses métodos são as permissões necessárias.

O console do Google Cloud usa o método lookupEntry.
Listar entradas datacatalog.entries.list (para entradas personalizadas) dataplex.entries.list (para entradas do sistema e personalizadas)

O Data Catalog não oferece suporte à listagem de entradas do sistema.

No Dataplex Universal Catalog, os grupos de entrada do sistema são recursos válidos em que é possível definir permissões.
Fazer uma pesquisa Nenhuma permissão é necessária para a ação de pesquisa em si. dataplex.projects.search

No Data Catalog, é possível fazer a pesquisa sem precisar de permissões especiais.

Para realizar a pesquisa no Dataplex Universal Catalog, você precisa da permissão dataplex.projects.search no projeto usado para fazer a pesquisa. Esse projeto é definido usando o parâmetro name no método searchEntries, enquanto o parâmetro scope define em quais projetos você está pesquisando.

Nos dois Data Catalog, os resultados da pesquisa estão sujeitos a verificações de permissão específicas do sistema. Você só vê os recursos a que tem autorização para acessar.

Para mais informações sobre as permissões necessárias para pesquisar entradas no Dataplex Universal Catalog, consulte Entradas.

Atualizar campos (além de tags e aspectos) em entradas personalizadas datacatalog.entries.update

dataplex.entries.update

dataplex.entryTypes.use

 A permissão entryTypes.use no Dataplex Universal Catalog protege os campos não relacionados a aspectos, como entrySource. Por exemplo, é possível usar essa permissão para impedir que os usuários modifiquem os campos definidos por um pipeline de conectividade gerenciada.
Definir permissão em uma entrada específica em vez de um grupo de entradas

Geralmente não é compatível.

No entanto, é possível definir permissões em uma entrada específica ao atualizar tags para uma entrada do sistema. Isso exige permissões no sistema de origem.

 Sem suporte

As políticas do IAM são criadas apenas para grupos de entradas.

No Data Catalog, quando você atualiza tags para uma entrada de sistema, precisa de permissões no sistema de origem. Por exemplo, ao atualizar tags de uma tabela do BigQuery, você precisa da permissão bigquery.tables.updateTag. Você pode definir essa permissão em uma entrada específica.

No Dataplex Universal Catalog, para atualizar os aspectos de uma entrada, você precisa de dataplex.entries.update, que não pode ser definido em uma entrada específica.
Excluir entradas datacatalog.entries.delete dataplex.entries.delete -

Para mais informações sobre entradas, consulte entradas no Data Catalog e entradas no Dataplex Universal Catalog.

Modelos de tag e tipos de aspecto

A tabela a seguir fornece um mapeamento detalhado entre as permissões do Data Catalog e do Dataplex Universal Catalog para operações comuns em modelos de tag (no Data Catalog) e tipos de aspecto (no Dataplex Universal Catalog).

Operação Permissões necessárias no Data Catalog Permissões necessárias no Dataplex Universal Catalog Observações
Criar modelos de tag ou tipos de aspecto datacatalog.tagTemplates.create dataplex.aspectTypes.create -
Atualizar modelos de tag ou tipos de aspecto datacatalog.tagTemplates.update dataplex.aspectTypes.update -
Ver detalhes de um modelo de tag ou um tipo de aspecto datacatalog.tagTemplates.get dataplex.aspectTypes.get -
Listar todos os modelos de tag ou tipos de aspecto Sem suporte dataplex.aspectTypes.list O Data Catalog não é compatível com a listagem de modelos de tag.
Usar tipos de aspecto do sistema reutilizáveis Não relevante Permissão especificada no grupo de entrada em vez de dataplex.aspectTypes.use. Por exemplo, dataplex.entryGroups.useASPECT_TYPE. Para mais informações, consulte Tipos de aspectos e entradas do sistema.
Excluir modelos de tag ou tipos de aspecto datacatalog.tagTemplates.delete dataplex.aspectTypes.delete -

Tags e aspectos

A tabela a seguir fornece um mapeamento detalhado entre as permissões do Data Catalog e do Dataplex Universal Catalog para operações comuns em tags (no Data Catalog) e aspectos (no Dataplex Universal Catalog).

Operação Permissões necessárias no Data Catalog Permissões necessárias no Dataplex Universal Catalog Observações
Criar, atualizar e excluir tags ou aspectos

datacatalog.entries.updateTag
ou
equivalente dependente do serviço, por exemplo, bigquery.tables.updateTag

datacatalog.tagTemplates.use

dataplex.entries.update

dataplex.aspectTypes.use

No Data Catalog, as tags são recursos independentes das entradas. Você atualiza tags e entradas usando métodos separados, e as permissões necessárias também são separadas.

No Dataplex Universal Catalog, os aspectos são armazenados em entradas, não como recursos independentes. Para atualizar os aspectos de uma entrada, atualize a entrada. Isso se aplica a entradas do sistema e personalizadas.
Listar tags ou aspectos

datacatalog.entries.get (para tags públicas e privadas)

datacatalog.tagTemplates.get (para cada tag privada. Se você não tiver acesso a uma tag, ela será omitida nos resultados da pesquisa.

 dataplex.entries.get No Dataplex Universal Catalog, quando você recupera uma entrada, os aspectos dela também são listados.

A seguir