Mappare le autorizzazioni IAM tra Data Catalog e Knowledge Catalog

Quando esegui la transizione da Data Catalog a Knowledge Catalog (precedentemente Dataplex Universal Catalog), devi aggiornare i criteri di Identity and Access Management (IAM) per garantire un accesso coerente. Questo documento fornisce un confronto dettagliato delle autorizzazioni Data Catalog legacy e delle autorizzazioni equivalenti in Knowledge Catalog. Utilizza queste mappature per controllare i ruoli esistenti o per creare nuovi ruoli personalizzati per la gestione dei metadati.

Per saperne di più, consulta Autorizzazioni Data Catalog e Autorizzazioni Knowledge Catalog.

Gruppi di voci

La seguente tabella fornisce un mapping dettagliato tra le autorizzazioni Data Catalog e Knowledge Catalog per le operazioni comuni sui gruppi di voci:

Operazione Autorizzazioni richieste in Data Catalog Autorizzazioni richieste in Knowledge Catalog
Crea gruppi di voci datacatalog.entryGroups.create dataplex.entryGroups.create
Aggiornare i gruppi di voci datacatalog.entryGroups.update dataplex.entryGroups.update
Visualizzare i dettagli di un gruppo di voci datacatalog.entryGroups.get dataplex.entryGroups.get
Elimina gruppi di voci datacatalog.entryGroups.delete dataplex.entryGroups.delete

Per saperne di più sui gruppi di voci, vedi Gruppi di voci in Data Catalog e Gruppi di voci in Knowledge Catalog.

Voci

La tabella seguente fornisce una mappatura dettagliata tra le autorizzazioni di Data Catalog e quelle di Knowledge Catalog per le operazioni comuni sulle voci:

Operazione Autorizzazioni richieste in Data Catalog Autorizzazioni richieste in Knowledge Catalog Note
Creare voci personalizzate datacatalog.entries.create

dataplex.entries.create

dataplex.entryTypes.use (per utilizzare il tipo di voce per creare voci di questo tipo)

dataplex.aspectTypes.use (per utilizzare i tipi di aspetto per creare voci con gli aspetti corrispondenti)

Data Catalog non ha la nozione di tipi di voci.

In Data Catalog, puoi creare tag per una voce solo dopo averla creata. In Knowledge Catalog, puoi creare aspetti per una voce quando la crei.
Utilizzare i tipi di voci di sistema riutilizzabili per creare voci Non applicabile Autorizzazione specificata per il gruppo di voci, ad esempio dataplex.entryGroups.useENTRY_TYPE Per saperne di più, consulta Tipi di aspetti di sistema, tipi di voci e tipi di link alle voci.
Visualizzare i dettagli di una voce personalizzata datacatalog.entries.get dataplex.entries.get -
Visualizza i dettagli di una voce di sistema Autorizzazione specifica del sistema, ad esempio bigquery.tables.get

dataplex.entries.get (per il metodo entries.get)
o
autorizzazione specifica del sistema, ad esempio bigquery.tables.get (per il metodo lookupEntry)

In Knowledge Catalog, puoi recuperare una voce utilizzando il metodo entries.get o il metodo lookupEntry. La differenza tra questi metodi sono le autorizzazioni richieste.

La console Google Cloud utilizza il metodo lookupEntry.
Elenco voci datacatalog.entries.list (per le voci personalizzate) dataplex.entries.list (sia per le voci di sistema che per quelle personalizzate)

Data Catalog non supporta l'elenco delle voci di sistema.

In Knowledge Catalog, i gruppi di voci di sistema sono risorse valide su cui puoi impostare le autorizzazioni.
Eseguire una ricerca Nessuna autorizzazione richiesta per l'azione di ricerca dataplex.projects.search

In Data Catalog, puoi eseguire la ricerca senza bisogno di autorizzazioni speciali.

Per eseguire la ricerca in Knowledge Catalog, devi disporre dell'autorizzazione dataplex.projects.search per il progetto utilizzato per eseguire la ricerca. Questo progetto viene impostato utilizzando il parametro name nel metodo searchEntries, mentre il parametro scope definisce i progetti in cui esegui la ricerca.

Sia in Data Catalog che in Knowledge Catalog, i risultati di ricerca sono soggetti a controlli delle autorizzazioni specifici del sistema. Visualizzi solo le risorse a cui hai l'autorizzazione di accedere.

Per saperne di più sulle autorizzazioni necessarie per cercare voci in Knowledge Catalog, consulta Voci.

Aggiornare i campi (diversi da tag e aspetti) nelle voci personalizzate datacatalog.entries.update

dataplex.entries.update

dataplex.entryTypes.use

 L'autorizzazione entryTypes.use in Knowledge Catalog protegge i campi non correlati agli aspetti, ad esempio entrySource. Ad esempio, puoi utilizzare questa autorizzazione per impedire agli utenti di modificare i campi impostati da una pipeline di connettività gestita.
Impostare l'autorizzazione per una voce specifica anziché per un gruppo di voci

Generalmente non supportati.

Tuttavia, puoi impostare l'autorizzazione per una voce specifica quando aggiorni i tag per una voce di sistema. Ciò richiede le autorizzazioni sul sistema di origine.

 Non supportata

Le policy IAM vengono create solo per i gruppi di voci.

In Data Catalog, quando aggiorni i tag per una voce di sistema, devi disporre delle autorizzazioni per il sistema di origine. Ad esempio, quando aggiorni i tag per una tabella BigQuery, devi disporre dell'autorizzazione bigquery.tables.updateTag. Puoi impostare questa autorizzazione per una voce specifica.

In Knowledge Catalog, per aggiornare gli aspetti di una voce, devi disporre di dataplex.entries.update, che non può essere impostato su una voce specifica.
Eliminazione voci datacatalog.entries.delete dataplex.entries.delete -

Per saperne di più sulle voci, consulta Voci in Data Catalog e Voci in Knowledge Catalog.

Modelli di tag e tipi di aspetti

La seguente tabella fornisce un mapping dettagliato tra le autorizzazioni di Data Catalog e quelle di Knowledge Catalog per le operazioni comuni su modelli di tag (in Data Catalog) e tipi di aspetti (in Knowledge Catalog).

Operazione Autorizzazioni richieste in Data Catalog Autorizzazioni richieste in Knowledge Catalog Note
Creare modelli di tag o tipi di aspetti datacatalog.tagTemplates.create dataplex.aspectTypes.create -
Aggiornare i modelli di tag o i tipi di aspetti datacatalog.tagTemplates.update dataplex.aspectTypes.update -
Visualizzare i dettagli di un modello di tag o di un tipo di aspetto datacatalog.tagTemplates.get dataplex.aspectTypes.get -
Elenca tutti i modelli di tag o i tipi di aspetto Non supportata dataplex.aspectTypes.list Data Catalog non supporta l'elenco dei modelli di tag.
Utilizzare tipi di aspetto di sistema riutilizzabili Non applicabile Autorizzazione specificata per il gruppo di voci anziché per dataplex.aspectTypes.use. Ad esempio, dataplex.entryGroups.useASPECT_TYPE. Per saperne di più, consulta Tipi di aspetti di sistema, tipi di voci e tipi di link alle voci.
Eliminare modelli di tag o tipi di aspetti datacatalog.tagTemplates.delete dataplex.aspectTypes.delete -

Tag e aspetti

La seguente tabella fornisce una mappatura dettagliata tra le autorizzazioni di Data Catalog e quelle di Knowledge Catalog per le operazioni comuni sui tag (in Data Catalog) e sugli aspetti (in Knowledge Catalog).

Operazione Autorizzazioni richieste in Data Catalog Autorizzazioni richieste in Knowledge Catalog Note
Creare, aggiornare ed eliminare tag o aspetti

datacatalog.entries.updateTag
o
equivalente dipendente dal servizio, ad esempio, bigquery.tables.updateTag

datacatalog.tagTemplates.use

dataplex.entries.update

dataplex.aspectTypes.use

In Data Catalog, i tag sono risorse autonome rispetto alle voci. Aggiorni tag e voci utilizzando metodi separati e anche le rispettive autorizzazioni richieste sono separate.

In Knowledge Catalog, gli aspetti vengono memorizzati all'interno delle voci, non come risorse autonome. Per aggiornare gli aspetti di una voce, devi aggiornare la voce. Questo vale sia per le voci di sistema che per quelle personalizzate.
Elencare tag o aspetti

datacatalog.entries.get (per tag pubblici e privati)

datacatalog.tagTemplates.get (per ogni tag privato. Se non hai accesso a un tag, questo viene omesso nei risultati di ricerca.)

 dataplex.entries.get Nel catalogo della conoscenza, quando recuperi una voce, vengono elencati anche i relativi aspetti.

Passaggi successivi