En este documento, se describen los roles de Identity and Access Management (IAM) que permiten usar Data Catalog para buscar y etiquetar Google Cloud de Google Cloud.
Terminología de IAM
- Permisos
- Se verifica en el tiempo de ejecución para que puedas realizar una operación o acceder un recurso de Google Cloud. No se te otorgan permisos directamente, sino que se te otorgan funciones que contienen permisos.
- Funciones
- Una función es una colección predefinida de permisos. Roles personalizados, que consisten de una colección personalizada de permisos.
Cómo ver los roles de Data Catalog
En la consola de Google Cloud, sigue estos pasos:
Dirígete a la pestaña IAM y Administrador > Roles.
En el campo Filtro, selecciona Se usa en, escribe
Data CatalogoData Lineage, y haz clic en Intro.Haz clic en un rol para ver sus permisos en el panel derecho.
Por ejemplo, el rol Administrador de Data Catalog tiene acceso completo a todos Recursos de Data Catalog.
Roles predefinidos de Data Catalog
Algunos roles predefinidos de Data Catalog incluyen el administrador de Data Catalog, el visualizador de Data Catalog y el creador de TagTemplate de Data Catalog. Algunos de estos roles se describen en las secciones posteriores.
Para obtener una lista y una descripción de los roles predefinidos de Data Catalog y los permisos asociados con cada rol, consulta Roles de Data Catalog.
Rol Administrador de Data Catalog
El rol roles/datacatalog.admin tiene acceso a todos los recursos de Data Catalog. Un administrador de Data Catalog puede agregar diferentes tipos de usuarios a un proyecto de Data Catalog.
Rol de administrador de datos de Data Catalog
El rol roles/datacatalog.dataSteward te permite agregar, editar o
borrar los administradores de datos y la descripción general de texto enriquecido para una entrada de datos, como una
en la tabla de BigQuery.
Función de visualizador de Data Catalog
Para simplificar el acceso a los recursos de Google Cloud,
Data Catalog proporciona el rol roles/datacatalog.viewer con
permiso de lectura de metadatos para todos los recursos catalogados de Google Cloud.
Este rol también otorga los permisos para ver la etiqueta de Data Catalog plantillas y etiquetas.
Otorga el rol de visualizador de Data Catalog en tu proyecto para ver los recursos de Google Cloud en Data Catalog.
Función de creador de TagTemplate de Data Catalog.
El rol roles/datacatalog.tagTemplateCreator te permite crear plantillas de etiquetas.
Rol de administrador de búsqueda de Data Catalog
El rol de roles/datacatalog.searchAdmin te permite recuperar, a través de la búsqueda,
todos los recursos de Google Cloud catalogados dentro de un proyecto o una organización.
Rol Administrador de la configuración de migración de Data Catalog
El rol roles/datacatalog.migrationConfigAdmin te permite configurar y recuperar
configuración relacionada con la migración de recursos
Data Catalog en Dataplex Catalog
Roles predefinidos de linaje de datos
Para acceder al linaje de cualquier entrada de Data Catalog, debes tener acceso a la entrada en Data Catalog. Para acceder a la entrada de Data Catalog, necesitas un rol de visualización en el recurso del sistema correspondiente o el rol de visualizador de Data Catalog (roles/datacatalog.viewer) en el proyecto que almacena la entrada de Data Catalog. En esta sección, se describen los roles necesarios
para ver el linaje.
Rol de visualizador de linaje
El rol de Visualizador de linaje de datos (roles/datalineage.viewer) te permite ver el linaje de Dataplex en la consola de Google Cloud y leer la información del linaje con la API de Data Lineage. Las ejecuciones y los eventos de un proceso determinado se almacenan en el mismo proyecto que el proceso. En el caso del linaje automatizado, el proceso, las ejecuciones y los eventos se almacenan en el proyecto en el que se ejecutaba la tarea que generó el linaje. Podría ser, por ejemplo, el proyecto en el que se creó un trabajo de BigQuery
en ejecución.
Necesitas diferentes roles para ver el linaje entre los activos y ver los metadatos de los activos. Para lo primero, necesitas Data Lineage Viewer (roles/datalineage.viewer).
Para el último, necesitas los mismos roles que se usan para acceder a las entradas de metadatos
en Data Catalog. Las siguientes dos subsecciones proporcionan más
en detalle.
Roles para ver el linaje entre dos activos
Para ver el linaje entre los activos, necesitas el rol de Visualizador de linaje de datos (roles/datalineage.viewer) en los siguientes proyectos:
- El proyecto en el que visualizas el linaje (conocido como proyecto activo) que es el proyecto en el menú desplegable de la parte superior de la consola de Google Cloud el proyecto desde el que se realizan las llamadas a la API. Normalmente, esta sería Proyecto de recursos de Data Catalog.
- Los proyectos en los que se registra el linaje (conocidos como proyecto de procesamiento). El linaje se almacena en el proyecto en el que se ejecutó el proceso correspondiente, como se describió anteriormente. Este proyecto puede ser diferente del proyecto que almacena el recurso para el que estás viendo el linaje.
Si quieres obtener más información para otorgar roles, consulta Administra el acceso. También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Según el caso de uso, otorga el rol de Visualizador de linaje de datos (roles/datalineage.viewer) a nivel de la carpeta o la organización para garantizar el acceso al linaje (consulta Otorga o revoca un solo rol).
Los roles necesarios para el linaje de datos solo se pueden otorgar a través de Google Cloud CLI.
Roles para ver los metadatos de los activos cuando se visualiza el linaje
Cuando los metadatos sobre un activo se almacenan en Data Catalog, solo puedes ver esos metadatos si tienes el rol de visualizador en el recurso del sistema correspondiente o el rol de visualizador de Data Catalog (roles/datacatalog.viewer) en el proyecto en el que se almacena la entrada de Data Catalog. Tú
puedan tener acceso a los recursos en el gráfico del linaje o en la lista mediante
de visualizador, pero no tiene acceso al linaje entre ellos. Este es el caso cuando no tienes el rol de Visualizador de linaje de datos (roles/datalineage.viewer) en el proyecto en el que se registró el linaje. En este caso, el
La API de Data Lineage y la consola de Google Cloud no muestran el linaje ni
no devuelve un error, para evitar que se filtre información sobre la existencia de
y el linaje de datos. Por lo tanto, la ausencia de linaje para un recurso no significa que haya
sin linaje para ese recurso, pero es posible que no tengas acceso a él.
Rol de productor de eventos de linaje de datos
El rol roles/datalineage.producer permite a los usuarios registrar manualmente la información del linaje con la API de Data Lineage.
Rol de editor de linaje de datos
El rol roles/datalineage.editor permite a los usuarios modificar manualmente la información del linaje con la API de linaje de datos.
Rol de administrador de linaje de datos
El rol roles/datalineage.admin permite a los usuarios realizar todas las operaciones de linaje que se enumeran en esta sección.
Roles para ver las etiquetas públicas y privadas
Puedes buscar etiquetas públicas con la búsqueda simple. Puedes ver una entrada de datos, incluidas sus etiquetas públicas, siempre y cuando tengas los permisos necesarios para ver la entrada de los datos. No se requieren permisos adicionales en la plantilla de la etiqueta. Para los permisos necesarios para ver la entrada de datos, consulta la tabla de esta sección.
Sin embargo, te recomendamos que también otorgues datacatalog.tagTemplates.get.
permiso a los usuarios que se espera que busquen estas etiquetas públicas. Este permiso permite a los usuarios usar el predicado de búsqueda tag: o la faceta de búsqueda de plantillas de etiquetas en la página de búsqueda de Data Catalog.
En el caso de las etiquetas privadas, necesitas permisos de lectura en la plantilla de etiquetas y en la entrada de datos para buscar la etiqueta y verla en la página de detalles de la entrada. Los usuarios deben usar el predicado de búsqueda tag: o el atributo de búsqueda de plantilla de etiqueta para encontrar las etiquetas. No se admite la búsqueda simple de etiquetas privadas.
Notas:
El permiso de vista necesario en la plantilla de etiquetas privadas es
datacatalog.tagTemplates.getTag.En la siguiente tabla, se incluyen los permisos de vista en la entrada de datos para las etiquetas públicas y privadas.
| Recurso | Permiso | Función |
|---|---|---|
| Conjuntos de datos, tablas, modelos, rutinas y conexiones de BigQuery | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/datacatalog.tagTemplateViewerroles/bigquery.metadataViewerroles/bigquery.connectionUser |
| Temas de Pub/Sub | pubsub.topics.get |
roles/datacatalog.tagTemplateViewerroles/pubsub.viewer |
| Instancias, bases de datos, tablas y vistas de Spanner | Instance: spanner.instances.getDatabase:spanner.databases.getTable: spanner.databases.getViews: spanner.databases.getdatacatalog.tagTemplates.getTag |
No hay roles predefinidos disponibles. |
| Instancias y tablas de Bigtable | bigtable.instances.getbigtable.tables.getdatacatalog.tagTemplates.getTag |
roles/datacatalog.tagTemplateViewerroles/bigtable.viewer |
| Servicios, base de datos y tablas de Dataproc Metastore | metastore.tables.getmetastore.databases.getmetastore.services.get |
roles/datacatalog.tagTemplateViewerroles/metastore.metadataViewer |
| Entradas personalizadas | datacatalog.entries.get |
No hay roles predefinidos disponibles. |
Roles para buscar recursos de Google Cloud
Antes de buscar, descubrir o mostrar recursos de Google Cloud, Data Catalog comprueba que se te haya otorgado un rol de IAM con los permisos de lectura de metadatos requeridos por BigQuery, Pub/Sub, Dataproc Metastore o algún otro sistema de origen para acceder al recurso.
Ejemplo: Data Catalog verifica que se te haya otorgado un rol con bigquery.tables.get permission antes de mostrar los metadatos de la tabla de BigQuery.
En la siguiente tabla, se enumeran los permisos y los roles asociados necesarios para usar Data Catalog y buscar en los recursos de Google Cloud enumerados.
| Recurso | Permiso | Función |
|---|---|---|
| Conjuntos de datos, tablas, modelos, rutinas y conexiones de BigQuery | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/bigquery.metadataViewerroles/bigquery.connectionUserConsulta también el rol Visualizador de Data Catalog |
| Temas de Pub/Sub | pubsub.topics.get |
roles/pubsub.viewerConsulta también el rol de visualizador de Data Catalog. |
| Bases de datos y tablas de Spanner | Instancia: spanner.instances.getBase de datos: spanner.databases.getVistas: spanner.databases.get |
No hay roles predefinidos disponibles. |
| Instancias y tablas de Bigtable | bigtable.instances.getbigtable.tables.get |
roles/bigtable.viewerConsulta también el rol de visualizador de Data Catalog |
| Lakes, zonas, tablas y conjuntos de archivos de Dataplex | dataplex.lakes.getdataplex.zones.get dataplex.entities.getdataplex.entities.get |
No hay roles predefinidos disponibles. |
| Servicios, base de datos y tablas de Dataproc Metastore | metastore.tables.getmetastore.databases.get metastore.services.get |
roles/metastore.metadataViewer |
Roles para adjuntar etiquetas a recursos de Google Cloud
Se requieren los mismos permisos para adjuntar etiquetas públicas y privadas a los recursos de Google Cloud.
Data Catalog permite a los usuarios ampliar los metadatos en los recursos de Google Cloud mediante etiquetas adjuntas. Una o más etiquetas que se pueden adjuntar a un recurso se definen en una plantilla de etiqueta.
Cuando un usuario intenta usar la plantilla de etiqueta para adjuntar una etiqueta a un recurso de Google Cloud, Data Catalog verifica que tengas los permisos necesarios para usar la plantilla de etiqueta y actualizar los metadatos del recurso. Los permisos se otorgan a través de roles de IAM, como se muestra a continuación desde una tabla de particiones.
La siguiente tabla muestra los permisos y los roles asociados necesarios para un usuario debe usar Data Catalog para adjuntar etiquetas públicas y privadas a los recursos enumerados de Google Cloud.
En cada fila de la siguiente tabla, se indican los permisos necesarios para etiquetar recursos. Las funciones correspondientes pueden otorgar permisos adicionales. Haga clic en cada función para ver todos los permisos asociados.
Notas:
El propietario de una entrada de datos tiene el permiso
datacatalog.entries.updateTagde forma predeterminada. A todos los demás usuarios se les debe otorgar el rol datacatalog.tagEditor. en el área de la seguridad en la nube.El permiso
datacatalog.tagTemplates.usetambién es necesario para todos los recursos que se enumeran en la tabla.
| Recurso | Permisos | Rol |
|---|---|---|
| Conjuntos de datos, tablas, modelos, rutinas y conexiones de BigQuery |
bigquery.datasets.updateTagbigquery.tables.updateTagbigquery.models.updateTagbigquery.routines.updateTagbigquery.connections.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigquery.dataEditor |
| Temas de Pub/Sub | pubsub.topics.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/pubsub.editor |
| Bases de datos y tablas de Spanner | Instancia: spanner.instances.UpdateTagBase de datos: spanner.databases.UpdateTagTabla: spanner.databases.UpdateTagVistas: spanner.databases.UpdateTag |
No hay roles predefinidos disponibles. |
| Tablas e instancias de Bigtable | bigtable.instances.updatebigtable.tables.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigtable.admin |
| Lakes, zonas, tablas y conjuntos de archivos de Dataplex | dataplex.lakes.updatedataplex.zones.update dataplex.entities.updatedataplex.entities.update |
No hay roles predefinidos disponibles. |
| Servicios, base de datos y tablas de Dataproc Metastore | metastore.tables.updatemetastore.databases.update metastore.services.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/metastore.editorroles/metastore.metadataEditor |
Roles personalizados para los recursos de Google Cloud
Roles de editor predefinidos para entradas de datos de otros sistemas de Google Cloud
podría proporcionar un acceso de escritura más amplio
que el necesario. Usa roles personalizados para especificar permisos *.updateTag solo en un recurso de Google Cloud.
Roles para modificar la descripción general de texto enriquecido y los administradores de datos en Data Catalog
Los usuarios necesitan los siguientes roles para adjuntar una descripción general de texto enriquecido y asignar custodios de datos a las entradas de Data Catalog:
| Recurso | Permisos | Rol |
|---|---|---|
| Proyectos de Google Cloud | datacatalog.entries.updateOverview datacatalog.entries.updateContacts |
roles/datacatalog.dataSteward |
Roles para modificar la configuración de migración en Data Catalog
Los usuarios necesitan los siguientes roles para establecer y recuperar parámetros de configuración relacionados con Migración de Data Catalog a Dataplex:
| Recurso | Permisos | Rol |
|---|---|---|
| Proyectos y organizaciones de Google Cloud | datacatalog.migrationConfig.set datacatalog.migrationConfig.get |
roles/datacatalog.migrationConfigAdmin |
Federación de identidades en Data Catalog
La federación de identidades te permite usar un proveedor de identidad (IdP) externo para autenticar y autorizar usuarios a los servicios de Google Cloud con IAM.
Data Catalog admite la federación de identidades con lo siguiente: limitaciones:
- Los métodos SearchCatalog y StarEntry de la API de Data Catalog solo admiten la federación de identidades de personal y no están disponibles para la federación de identidades de carga de trabajo.
- Dataplex no es compatible con la consola de Google Cloud para los usuarios de federación de identidades
Más información
- Roles de Dataplex
- Funciones de Data Catalog
- Control de acceso de BigQuery
- Control de acceso de Pub/Sub
- Control de acceso de Dataproc Metastore