Configurar papéis do Analytics Hub

Este documento descreve os papéis do usuário do Analytics Hub e como concedê-los aos usuários. Para mais informações, consulte Papéis do Analytics Hub.

Funções do usuário do Analytics Hub

As seções a seguir descrevem os papéis predefinidos do Analytics Hub. É possível atribuir esses papéis aos usuários para realizar várias tarefas nas suas trocas de dados e listagens.

Papel Administrador do Analytics Hub

Para gerenciar trocas de dados, o Analytics Hub fornece o papel de Administrador do Analytics Hub (roles/analyticshub.admin) que pode ser concedido a um projeto ou uma troca de dados. Esse papel permite que os usuários realizem as seguintes tarefas:

Criar, atualizar e excluir trocas de dados.
Criar, atualizar, excluir e compartilhar listagens.
Gerenciar administradores do Analytics Hub, administradores das listagens, editores, assinantes e leitores

Os usuários com essa função são chamados de administradores.

Papéis de editor e administrador de listagem do Analytics Hub

Para gerenciar listagens, o Analytics Hub fornece os seguintes papéis predefinidos para você conceder a um projeto, uma troca de dados ou uma listagem:

Papel de Editor do Analytics Hub (roles/analyticshub.publisher), que permite aos usuários executar as seguintes tarefas:
- Criar, atualizar e excluir listagens.
- Definir políticas do IAM em listagens.
Os usuários com esse papel são chamados de Editores.
Papel de Administrador de fichas do Google Analytics (roles/analyticshub.listingAdmin), que permite aos usuários executar as seguintes tarefas:
- Atualizar e excluir listagens.
- Definir políticas do IAM em listagens.

Papéis de inscritos e leitores do Analytics Hub

Para ver e se inscrever em listagens, o Analytics Hub oferece as seguintes funções predefinidas que é possível conceder a um projeto, uma troca de dados ou uma listagem:

Papel de Assinante do Analytics Hub (roles/analyticshub.subscriber), que permite aos usuários ver e se inscrever em listagens.

Os usuários com essa função são chamados de Assinantes.
Papel de Leitor do Analytics Hub (roles/analyticshub.viewer), que permite que os usuários visualizem as listagens e as permissões de troca de dados.

Os usuários com esse papel são chamados de Leitores.

Papéis de proprietário de assinatura do Analytics Hub

Para gerenciar assinaturas, o Analytics Hub oferece o seguinte papel predefinido que você pode conceder no nível do projeto:

Papel de proprietário de assinatura do Analytics Hub (roles/analyticshub.subscriptionOwner), que permite que os usuários gerenciem as assinaturas.

Conceder papéis do Analytics Hub

Dependendo da sua necessidade, é possível conceder os papéis do Analytics Hub nos seguintes níveis da hierarquia de recursos:

Projeto. Se você conceder aos usuários um papel para um projeto, ele será aplicado a todas as trocas de dados e listagens que o projeto contém.
Troca de dados. Se você conceder aos usuários um papel para uma troca de dados, ela será aplicada a todas as listagens contidas na troca de dados.
Detalhes do aplicativo. Se você conceder aos usuários um papel para uma listagem, ela será aplicada apenas a essa listagem específica.

Conceder o papel a um projeto

Se você quiser definir políticas do IAM em um projeto, será necessário ter o papel roles/resourcemanager.projectIamAdmin nesse projeto. Para conceder os papéis predefinidos do usuário do Analytics Hub a um projeto, siga estas etapas:

Console

Acesse o IAM referente ao projeto.

Acessar IAM
Clique em Adicionar.
No campo Novos participantes, digite o endereço de e-mail da identidade a quem você quer conceder acesso. Exemplo:
- E-mail da Conta do Google: test-user@gmail.com
- Grupo do Google: admins@googlegroups.com
- Conta de serviço: server@example.gserviceaccount.com
- Domínio do Google Workspace: example.com
Na lista Papel, mantenha o ponteiro sobre o Hub do Analytics e selecione um dos seguintes papéis:
- Administrador do Analytics Hub
- Editor do Analytics Hub
- Administrador de listagens do Analytics Hub
- Assinante do Analytics Hub
- Leitor do Analytics Hub
Opcional: para controlar ainda mais o acesso do usuário aos recursos do Google Cloud, adicione a vinculação de papel condicional.
Salve as alterações.

É possível excluir e atualizar administradores de um projeto pelo mesmo painel do IAM, explicado nas etapas anteriores.

gcloud

Para conceder papéis no nível do projeto, use o comando gcloud projects add-iam-policy-binding:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member='PRINCIPAL' \
    --role='roles/analyticshub.admin'

Substitua:

PROJECT_ID: o ID do projeto, por exemplo, my-project-1
PRINCIPAL: uma identidade válida à qual você quer conceder o papel.

Exemplo:
- E-mail da Conta do Google: user:user@gmail.com
- Grupo do Google: group:admins@googlegroups.com
- Conta de serviço: serviceAccount:server@example.gserviceaccount.com
- Domínio do Google Workspace: domain:example.com

API

Leia a política atual com o respectivo método getIamPolicy do recurso. Para projetos, use o método projects.getIamPolicy.
```
POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy
```
Substitua PROJECT_ID pelo ID do projeto, como my-project-1.
Para adicionar participantes e os papéis associados, edite a política com um editor de texto. Use o seguinte formato para adicionar membros:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
Por exemplo, para conceder o papel roles/analyticshub.admin a group:admins@example.com, adicione a seguinte vinculação à política:
```
{
 "members": [
   "group:admins@example.com"
 ],
 "role":"roles/analyticshub.admin"
}
```
Grave a política atualizada usando o método setIamPolicy.

Por exemplo, para definir uma política no nível do projeto, use o método project.setIamPolicy. No corpo da solicitação, forneça a política de IAM atualizada da etapa anterior.
```
POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy
```
Substitua PROJECT_ID pelo ID do projeto.

Conceder o papel para uma troca de dados

Para conceder o papel a uma troca de dados, siga estas etapas:

Console

No Console do Google Cloud, acesse a página do Analytics Hub.

Acessar o Analytics Hub
Clique no nome da troca de dados para que você quer definir permissões.
Clique em Definir permissões.
Para adicionar participantes, clique em Adicionar participante.
No campo Novos participantes, adicione os e-mails a quem você quer conceder acesso.
Em Selecionar papel, mantenha o ponteiro sobre Hub do Analytics e selecione um dos seguintes papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês):
- Administrador do Analytics Hub
- Editor do Analytics Hub
- Administrador de listagens do Analytics Hub
- Assinante do Analytics Hub
- Leitor do Analytics Hub
Clique em Salvar.

API

Leia a política atual com o método getIamPolicy da ficha da empresa usando o método projects.locations.dataExchanges.getIamPolicy:
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID:getIamPolicy
```
Substitua:
- PROJECT_ID: o ID do projeto, por exemplo, my-project-1
- LOCATION: o local da troca de dados.
- DATAEXCHANGE_ID: o ID da troca de dados.
O Analytics Hub retorna a política atual.
Para adicionar ou remover membros e os papéis do Identity and Access Management (IAM) associados, edite a política com um editor de texto. Use o seguinte formato para adicionar membros:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
Por exemplo, para conceder o papel roles/analyticshub.subscriber a group:subscribers@example.com, adicione a seguinte vinculação à política:
```
{
 "members": [
   "group:subscribers@example.com"
 ],
 "role":"roles/analyticshub.subscriber"
}
```
Grave a política atualizada usando o método projects.locations.dataExchanges.setIamPolicy. No corpo da solicitação, forneça a política de IAM atualizada da etapa anterior.
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID:setIamPolicy
```
No corpo da solicitação, forneça os detalhes da ficha. Se a solicitação for bem-sucedida, o corpo da resposta conterá detalhes da ficha.

É possível excluir e atualizar papéis para uma troca de dados pelo mesmo painel do IAM, explicado nas etapas anteriores.

Conceder o papel a uma listagem

Para conceder o papel a uma listagem, siga estas etapas:

Console

No Console do Google Cloud, acesse a página do Analytics Hub.

Acessar o Analytics Hub
Clique no nome da troca de dados que contém a ficha da empresa.
Clique na listagem à qual você quer adicionar usuários.
Clique em Definir permissões.
Para adicionar participantes, clique em Adicionar participante.
No campo Novos participantes, adicione os e-mails da identidade a quem você quer conceder acesso.
Em Selecionar um papel, mantenha o ponteiro sobre o Analytics Hub e selecione um dos seguintes papéis:
- Administrador do Analytics Hub
- Editor do Analytics Hub
- Administrador de listagens do Analytics Hub
- Assinante do Analytics Hub
- Leitor do Analytics Hub
Clique em Salvar.

API

Leia a política atual com o método getIamPolicy da ficha da empresa usando o método projects.locations.dataExchanges.listings.getIamPolicy:
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID/listings/LISTING_ID:getIamPolicy
```
Substitua:
- PROJECT_ID: o ID do projeto, por exemplo, my-project-1
- LOCATION: a localização da troca de dados que contém a listagem.
- DATAEXCHANGE_ID: o ID da troca de dados.
- LISTING_ID: o ID da ficha da empresa.
O Analytics Hub retorna a política atual.
Para adicionar ou remover membros e os papéis do Identity and Access Management (IAM) associados, edite a política com um editor de texto. Use o seguinte formato para adicionar membros:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
Por exemplo, para conceder o papel roles/analyticshub.publisher a group:publishers@example.com, adicione a seguinte vinculação à política:
```
{
 "members": [
   "group:publishers@example.com"
 ],
 "role":"roles/analyticshub.publisher"
}
```
Grave a política atualizada usando o método projects.locations.dataExchanges.listings.setIamPolicy. No corpo da solicitação, forneça a política de IAM atualizada da etapa anterior.
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID/listings/LISTING-ID:setIamPolicy
```
No corpo da solicitação, forneça os detalhes da ficha. Se a solicitação for bem-sucedida, o corpo da resposta conterá detalhes da ficha.

É possível excluir e atualizar papéis para uma listagem pelo mesmo painel do IAM, explicado nas etapas anteriores.

A seguir

Leia sobre o IAM.
Saiba mais sobre os papéis do IAM do BigQuery.
Veja uma lista de papéis do IAM do Analytics Hub.
Saiba mais sobre o Analytics Hub.
Saiba como gerenciar trocas de dados.
Saiba como gerenciar listagens.
Saiba como ver e assinar listagens.
Saiba mais sobre a geração de registros de auditoria do Analytics Hub.