Configura roles de Analytics Hub

En este documento, se describen los roles de los usuarios de Analytics Hub y cómo otorgarlos a los usuarios. Para obtener más información, consulta los roles de Analytics Hub.

Roles de los usuarios de Analytics Hub

En las siguientes secciones, se describen los roles predefinidos de Analytics Hub. Puedes asignar estos roles a los usuarios para realizar varias tareas en tus intercambios de datos y fichas.

Rol Analytics Hub Admin

Para administrar intercambios de datos, Analytics Hub proporciona el rol Analytics Hub Admin (roles/analyticshub.admin) que puedes otorgar para un proyecto o intercambio de datos. Este rol permite a los usuarios realizar las siguientes tareas:

Crear, actualizar y borrar intercambios de datos.
Crear, actualizar, borrar y compartir fichas.
Administrar los administradores de Analytics Hub, los administradores de fichas, los publicadores, los suscriptores y los visualizadores.

Los usuarios con este rol se denominan administradores.

Roles Analytics Hub Publisher y Listing Admin

Para administrar fichas, Analytics Hub proporciona los siguientes roles predefinidos que puedes otorgar para un proyecto, un intercambio de datos o una ficha:

Rol Analytics Hub Publisher (roles/analyticshub.publisher), que permite a los usuarios realizar las siguientes tareas:
- Crear, actualizar y borrar fichas.
- Configurar políticas de IAM en las fichas.
Los usuarios con este rol se denominan publicadores.
Rol Analytics Hub Listing Admin (roles/analyticshub.listingAdmin), que permite a los usuarios realizar las siguientes tareas:
- Actualizar y borrar fichas.
- Configurar políticas de IAM en las fichas.

Roles Analytics Hub Subscriber y Viewer

A fin de ver fichas y suscribirse a ellas, Analytics Hub proporciona los siguientes roles predefinidos que puedes otorgar para un proyecto, un intercambio de datos o una ficha:

Rol Analytics Hub Subscriber (roles/analyticshub.subscriber), que permite a los usuarios ver fichas y suscribirse a ellas.

Los usuarios con este rol se denominan suscriptores.
Rol Analytics Hub Viewer (roles/analyticshub.viewer), que permite a los usuarios ver fichas y permisos de intercambios de datos.

Los usuarios con este rol se denominan visualizadores.

Roles de propietario de la suscripción a Analytics Hub

Para administrar suscripciones, Analytics Hub proporciona el siguiente rol predefinido que puedes otorgar a nivel de proyecto:

Rol de propietario de la suscripción a Analytics Hub (roles/analyticshub.subscriptionOwner), que permite a los usuarios administrar sus suscripciones.

Otorga roles de Analytics Hub

Según tu necesidad, puedes otorgar los roles de Analytics Hub en los siguientes niveles de la jerarquía de recursos:

Proyecto. Si otorgas a los usuarios un rol para un proyecto, este se aplica a todos los intercambios de datos y las fichas que contiene el proyecto.
Intercambio de datos. Si otorgas a los usuarios un rol para un intercambio de datos, se aplicará a todas las fichas que contenga el intercambio de datos.
Ficha. Si otorgas a los usuarios un rol para una ficha, se aplica solo a esa ficha específica.

Otorga el rol para un proyecto

Si deseas establecer políticas de IAM en un proyecto, debes tener el rol roles/resourcemanager.projectIamAdmin en ese proyecto. A fin de otorgar los roles de usuario predefinidos de Analytics Hub para un proyecto, sigue estos pasos:

Console

Ve al IAM del proyecto.

Ir a IAM
Haga clic en Agregar.
En el campo Nuevos principales, ingresa la dirección de correo electrónico de la identidad a la que deseas otorgar acceso. Por ejemplo:
- Correo electrónico de la Cuenta de Google: test-user@gmail.com
- Grupo de Google: admins@googlegroups.com
- Cuenta de servicio: server@example.gserviceaccount.com
- Dominio de Google Workspace: example.com
En la lista Rol, mantén el puntero sobre Analytics Hub y selecciona uno de los siguientes roles:
- Administrador de Analytics Hub
- Publicador de Analytics Hub
- Administrador de fichas de Analytics Hub
- Suscriptor de Analytics Hub
- Visualizador de Analytics Hub
Opcional: Para controlar aún más el acceso de los usuarios a los recursos de Google Cloud, agrega vinculaciones de funciones condicionales.
Guarde los cambios.

Puedes borrar y actualizar administradores para un proyecto a través del mismo panel de IAM, que se explica en los pasos anteriores.

gcloud

Para otorgar roles a nivel de proyecto, usa el comando gcloud projects add-iam-policy-binding:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member='PRINCIPAL' \
    --role='roles/analyticshub.admin'

Reemplaza lo siguiente:

PROJECT_ID: es el ID del proyecto, por ejemplo, my-project-1
PRINCIPAL: Una identidad válida a la que deseas otorgar la función.

Por ejemplo:
- Correo electrónico de la Cuenta de Google: user:user@gmail.com
- Grupo de Google: group:admins@googlegroups.com
- Cuenta de servicio: serviceAccount:server@example.gserviceaccount.com
- Dominio de Google Workspace: domain:example.com

API

Lee la política existente con el método getIamPolicy correspondiente del recurso. Para los proyectos, usa el método projects.getIamPolicy.
```
POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy
```
Reemplaza PROJECT_ID por el ID del proyecto para my-project-1.
Para agregar los principales y sus roles asociados, edita la política con un editor de texto. Usa el siguiente formato para agregar miembros:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
Por ejemplo, para otorgar la función roles/analyticshub.admin a group:admins@example.com, agrega la siguiente vinculación a la política:
```
{
 "members": [
   "group:admins@example.com"
 ],
 "role":"roles/analyticshub.admin"
}
```
Escribe la política actualizada mediante el método setIamPolicy.

Por ejemplo, para establecer una política a nivel de proyecto, usa el método project.setIamPolicy. En el cuerpo de la solicitud, proporciona la política de IAM actualizada del paso anterior.
```
POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy
```
Reemplaza PROJECT_ID por el ID del proyecto.

Otorga el rol para un intercambio de datos

A fin de otorgar el rol para un intercambio de datos, sigue estos pasos:

Console

En la consola de Google Cloud, ve a la página Analytics Hub.

Ir a Analytics Hub
Haz clic en el nombre del intercambio de datos para el que deseas establecer permisos.
Haz clic en Establecer permisos.
Para agregar principales, haz clic en Agregar principal.
En el campo Principales nuevos, agrega los correos electrónicos a los que desees otorgar acceso.
En Selecciona un rol, mantén el puntero sobre Analytics Hub y, luego, selecciona una de los siguientes roles de Identity and Access Management (IAM):
- Administrador de Analytics Hub
- Publicador de Analytics Hub
- Administrador de fichas de Analytics Hub
- Suscriptor de Analytics Hub
- Visualizador de Analytics Hub
Haz clic en Guardar.

API

Lee la política existente con el método getIamPolicy de la lista mediante el método projects.locations.dataExchanges.getIamPolicy:
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID:getIamPolicy
```
Reemplaza lo siguiente:
- PROJECT_ID: es el ID del proyecto, por ejemplo, my-project-1.
- LOCATION: la ubicación de tu intercambio de datos.
- DATAEXCHANGE_ID: el ID del intercambio de datos.
Analytics Hub muestra la política actual.
Para agregar o quitar miembros y sus roles asociados de Identity and Access Management (IAM), edita la política con un editor de texto. Usa el siguiente formato para agregar miembros:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
Por ejemplo, para otorgar la función roles/analyticshub.subscriber a group:subscribers@example.com, agrega la siguiente vinculación a la política:
```
{
 "members": [
   "group:subscribers@example.com"
 ],
 "role":"roles/analyticshub.subscriber"
}
```
Escribe la política actualizada mediante el método projects.locations.dataExchanges.setIamPolicy. En el cuerpo de la solicitud, proporciona la política de IAM actualizada del paso anterior.
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID:setIamPolicy
```
En el cuerpo de la solicitud, proporciona los detalles de la ficha. Si la solicitud se realiza de forma correcta, el cuerpo de la respuesta contendrá detalles de la ficha.

Puedes borrar y actualizar roles para un intercambio de datos a través del mismo panel de IAM, que se explica en los pasos anteriores.

Otorga el rol para una ficha

A fin de otorgar el rol para una ficha, sigue estos pasos:

Console

En la consola de Google Cloud, ve a la página Analytics Hub.

Ir a Analytics Hub
Haz clic en el nombre del intercambio de datos que contiene la ficha.
Haz clic en la ficha a la que deseas agregar usuarios.
Haz clic en Establecer permisos.
Para agregar principales, haz clic en Agregar principal.
En el campo Principales nuevos, agrega el correo electrónico de la identidad a la que deseas otorgar acceso.
En Selecciona un rol, mantén el puntero sobre Analytics Hub y, luego, selecciona uno de los siguientes roles:
- Administrador de Analytics Hub
- Publicador de Analytics Hub
- Administrador de fichas de Analytics Hub
- Suscriptor de Analytics Hub
- Visualizador de Analytics Hub
Haz clic en Guardar.

API

Lee la política existente con el método getIamPolicy de la lista mediante el método projects.locations.dataExchanges.listings.getIamPolicy:
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID/listings/LISTING_ID:getIamPolicy
```
Reemplaza lo siguiente:
- PROJECT_ID: es el ID del proyecto, por ejemplo, my-project-1.
- LOCATION: la ubicación del intercambio de datos que contiene la ficha.
- DATAEXCHANGE_ID: el ID del intercambio de datos.
- LISTING_ID: el ID de la ficha.
Analytics Hub muestra la política actual.
Para agregar o quitar miembros y sus roles asociados de Identity and Access Management (IAM), edita la política con un editor de texto. Usa el siguiente formato para agregar miembros:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
Por ejemplo, para otorgar la función roles/analyticshub.publisher a group:publishers@example.com, agrega la siguiente vinculación a la política:
```
{
 "members": [
   "group:publishers@example.com"
 ],
 "role":"roles/analyticshub.publisher"
}
```
Escribe la política actualizada mediante el método projects.locations.dataExchanges.listings.setIamPolicy. En el cuerpo de la solicitud, proporciona la política de IAM actualizada del paso anterior.
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID/listings/LISTING-ID:setIamPolicy
```
En el cuerpo de la solicitud, proporciona los detalles de la ficha. Si la solicitud se realiza de forma correcta, el cuerpo de la respuesta contendrá detalles de la ficha.

Puedes borrar y actualizar roles para una ficha a través del mismo panel de IAM, que se explica en los pasos anteriores.

¿Qué sigue?

Lee sobre IAM.
Obtén información sobre los roles de IAM de BigQuery.
Ve una lista de los roles de IAM de Analytics Hub.
Obtén información sobre Analytics Hub.
Obtén información sobre cómo administrar los intercambios de datos.
Obtén información sobre cómo administrar fichas.
Obtén información sobre cómo ver fichas y suscribirte a ellas.
Obtén más información sobre el registro de auditoría de Analytics Hub.