Questo documento descrive i ruoli IAM (Identity and Access Management) che consentono agli utenti di utilizzare Data Catalog per cercare e taggare le risorse di Google Cloud.
Terminologia IAM
- Autorizzazioni
- Opzione selezionata in fase di runtime per consentire agli utenti di eseguire un'operazione o di accedere a una risorsa Google Cloud. Agli utenti non vengono concesse le autorizzazioni direttamente, ma vengono concessi ruoli contenenti le autorizzazioni.
- Ruoli
- Un ruolo è una raccolta predefinita di autorizzazioni. Sono consentiti anche ruoli personalizzati costituiti da una raccolta personalizzata di autorizzazioni.
Visualizza i ruoli di Data Catalog
Nella console Google Cloud, esegui questi passaggi:
Vai alla pagina IAM e amministrazione > Ruoli.
Nel campo Filtro, seleziona Utilizzato in, digita
Data CatalogoData Lineagee fai clic su Invio.Fai clic su un ruolo per visualizzarne le autorizzazioni nel riquadro a destra.
Ad esempio, il ruolo Amministratore Data Catalog ha accesso completo a tutte le risorse di Data Catalog.
Ruoli predefiniti di Data Catalog
Alcuni ruoli predefiniti di Data Catalog includono Data Catalog Admin, Visualizzatore Data Catalog e Data Catalog TagTemplate Creator. Alcuni di questi ruoli sono descritti nelle sezioni successive.
Per un elenco e una descrizione dei ruoli predefiniti di Data Catalog e delle autorizzazioni associate a ciascun ruolo, consulta Ruoli di Data Catalog.
Ruolo Amministratore Data Catalog
Il ruolo roles/datacatalog.admin ha accesso a tutte le risorse di Data Catalog. Un amministratore di Data Catalog può
aggiungere diversi tipi di utenti a un progetto Data Catalog.
Ruolo Gestore dati DataCatalog
Il ruolo roles/datacatalog.dataSteward consente di aggiungere, modificare o
eliminare i gestori dei dati e la panoramica RTF di una voce di dati come una
tabella BigQuery.
Ruolo Visualizzatore Data Catalog
Per semplificare l'accesso alle risorse Google Cloud,
Data Catalog fornisce il ruolo roles/datacatalog.viewer con
l'autorizzazione di lettura dei metadati per tutte le risorse Google Cloud catalogate.
Questo ruolo concede anche le autorizzazioni per visualizzare i modelli e i tag di tag di Data Catalog.
Concedi il ruolo di Visualizzatore Data Catalog sul tuo progetto per consentire agli utenti di visualizzare le risorse Google Cloud in Data Catalog.
Ruolo Creatore TagTemplate Data Catalog
Il ruolo roles/datacatalog.tagTemplateCreator consente agli utenti di creare modelli di tag.
Ruolo Amministratore ricerca DataCatalog
Il ruolo roles/datacatalog.searchAdmin consente agli utenti di recuperare, mediante ricerca, tutte le risorse Google Cloud catalogate all'interno di un progetto o di un'organizzazione.
Ruolo Amministratore configurazione migrazione DataCatalog
Il ruolo roles/datacatalog.migrationConfigAdmin consente agli utenti di impostare e recuperare la configurazione relativa alla migrazione delle risorse da Data Catalog a Dataplex Catalog.
Ruoli predefiniti per la derivazione dei dati
Per accedere al grafico della derivazione per qualsiasi voce di Data Catalog, l'utente deve accedere alla voce in Data Catalog. Per accedere alla voce di Data Catalog, l'utente deve avere un ruolo di visualizzatore nella risorsa di sistema o nel visualizzatore Data Catalog (roles/datacatalog.viewer) corrispondente nel progetto in cui è archiviata la voce di Data Catalog. In questa sezione vengono descritti i ruoli
necessari per visualizzare e manipolare il grafico delle derivazioni.
Ruolo Visualizzatore derivazione
Il ruolo Visualizzatore della derivazione dei dati (roles/datalineage.viewer) consente agli utenti di visualizzare i grafici di derivazione dei dati Dataplex nella console Google Cloud e leggere le informazioni sulla derivazione utilizzando l'API Data Lineage. Le esecuzioni e gli eventi di un determinato processo vengono tutti archiviati nello stesso progetto del processo. Nel caso della derivazione automatica, il processo, le esecuzioni e gli eventi vengono archiviati nel progetto in cui era in esecuzione il job che ha generato la derivazione. Potrebbe essere, ad esempio, il progetto in cui è stato eseguito un job BigQuery.
Sono necessari ruoli diversi per visualizzare la derivazione tra le risorse nel grafico e per visualizzare i metadati delle risorse sul grafico. Per il primo è necessario il Visualizzatore della derivazione dei dati (roles/datalineage.viewer). Per il secondo, sono necessari gli stessi ruoli utilizzati per accedere alle voci di metadati in Data Catalog. Le due sottosezioni seguenti forniscono ulteriori dettagli.
Ruoli per visualizzare la derivazione tra due risorse
Per visualizzare la derivazione tra gli asset nel grafico della derivazione, l'utente deve avere il Visualizzatore della derivazione dei dati (roles/datalineage.viewer) nei seguenti progetti:
- Il progetto da cui l'utente sta visualizzando la derivazione (noto come progetto attivo), ovvero il progetto nel menu a discesa nella parte superiore della console Google Cloud o il progetto da cui vengono effettuate le chiamate API. In genere si tratta del progetto di risorsa di Data Catalog.
- I progetti in cui viene registrata la derivazione (noti come progetto di computing). La derivazione viene archiviata nel progetto in cui è stato eseguito il processo corrispondente, come descritto sopra. Questo progetto può essere diverso da quello in cui è archiviato l'asset per cui l'utente sta visualizzando la derivazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso. Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
A seconda del caso d'uso,potresti dover concedere il ruolo Visualizzatore della derivazione dei dati (roles/datalineage.viewer) a livello di cartella o organizzazione per garantire che a un utente sia garantito l'accesso al grafico di derivazione completo (vedi Concedere o revocare un singolo ruolo). I ruoli richiesti per la derivazione dei dati possono essere concessi solo tramite Google Cloud CLI.
Ruoli per visualizzare i metadati delle risorse nel grafico della derivazione
Quando i metadati relativi a una risorsa nel grafico sono archiviati in Data Catalog, l'utente può visualizzarli solo se dispone di un ruolo di visualizzatore per la risorsa di sistema corrispondente o per il Visualizzatore Data Catalog (roles/datacatalog.viewer) nel progetto in cui è archiviata la voce Data Catalog.
L'accesso ai metadati delle risorse sul grafico è indipendente dall'accesso alla derivazione. È possibile che l'utente abbia accesso agli asset nel grafico tramite i ruoli di visualizzatore appropriati, ma non possa accedere alla derivazione tra loro. Questo si verifica quando l'utente non ha un Visualizzatore della derivazione dei dati (roles/datalineage.viewer) nel progetto in cui è stata registrata la derivazione. In questo caso, l'API e la UI Data Lineage non mostreranno la derivazione e non restituiranno alcun errore, per evitare la fuga di informazioni sull'esistenza della derivazione. Pertanto, l'assenza di una derivazione per una risorsa non significa che non esista una derivazione per quell'asset. L'utente potrebbe non avere accesso a questa derivazione.
Ruolo Producer eventi di derivazione dati
Il ruolo roles/datalineage.producer consente agli utenti di registrare manualmente le informazioni sulla derivazione
utilizzando l'API Data Lineage.
Ruolo di Editor di Data Lineage
Il ruolo roles/datalineage.editor consente agli utenti di modificare manualmente le informazioni di derivazione
utilizzando l'API Data Lineage.
Ruolo Amministratore di derivazione dei dati
Il ruolo roles/datalineage.admin consente agli utenti di eseguire tutte le operazioni di derivazione elencate in questa sezione.
Ruoli per visualizzare i tag pubblici e privati
Puoi cercare tag pubblici mediante una semplice ricerca. Puoi visualizzare una voce di dati, inclusi i relativi tag pubblici, purché tu disponga delle autorizzazioni necessarie per visualizzare la voce di dati. Non sono richieste autorizzazioni aggiuntive per il modello di tag. Per le autorizzazioni necessarie per visualizzare la voce dati, consulta la tabella in questa sezione.
Tuttavia, ti consigliamo di concedere l'autorizzazione datacatalog.tagTemplates.get anche agli utenti che devono cercare questi tag pubblici. Questa autorizzazione consente agli utenti di utilizzare anche il tag del predicato di ricerca o di utilizzare il facet di ricerca del modello di tag nella pagina di ricerca di Data Catalog.
Per i tag privati, devi disporre delle autorizzazioni di visualizzazione sia sul modello di tag sia sulla voce di dati per cercare il tag e visualizzarlo nella pagina dei dettagli della voce. Per trovare i tag, gli utenti devono utilizzare il predicato di ricerca tag: o il facet di ricerca modello di tag. La semplice ricerca di tag privati non è supportata.
Note
L'autorizzazione di visualizzazione necessaria per il modello di tag privato è
datacatalog.tagTemplates.getTag.Le autorizzazioni di visualizzazione per la voce di dati per i tag pubblici e privati sono incluse nella seguente tabella.
| Risorsa | Autorizzazione | Ruolo |
|---|---|---|
| Set di dati, tabelle, modelli, routine e connessioni BigQuery | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/datacatalog.tagTemplateViewerroles/bigquery.metadataViewerroles/bigquery.connectionUser |
| argomenti Pub/Sub | pubsub.topics.get |
roles/datacatalog.tagTemplateViewerroles/pubsub.viewer |
| Istanze, database, tabelle e viste Spanner | Instance: spanner.instances.getDatabase:spanner.databases.getTable: spanner.databases.getViews: spanner.databases.getdatacatalog.tagTemplates.getTag |
Nessun ruolo predefinito disponibile. |
| Istanze e tabelle Bigtable | bigtable.instances.getbigtable.tables.getdatacatalog.tagTemplates.getTag |
roles/datacatalog.tagTemplateViewerroles/bigtable.viewer |
| Servizi, database e tabelle Dataproc Metastore | metastore.tables.getmetastore.databases.getmetastore.services.get |
roles/datacatalog.tagTemplateViewerroles/metastore.metadataViewer |
| Voci personalizzate | datacatalog.entries.get |
Nessun ruolo predefinito disponibile. |
Ruoli per cercare risorse Google Cloud
Prima di cercare, scoprire o visualizzare le risorse Google Cloud, Data Catalog controlla che all'utente sia stato concesso un ruolo IAM con le autorizzazioni di lettura dei metadati richieste da BigQuery, Pub/Sub, Dataproc Metastore o un altro sistema di origine per accedere alla risorsa.
Esempio: Data Catalog controlla che all'utente sia stato concesso un ruolo con bigquery.tables.get permission prima di visualizzare i metadati della tabella BigQuery.
La tabella seguente elenca le autorizzazioni e i ruoli associati necessari a un utente per utilizzare Data Catalog per cercare le risorse Google Cloud elencate.
| Risorsa | Autorizzazione | Ruolo |
|---|---|---|
| Set di dati, tabelle, modelli, routine e connessioni BigQuery | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/bigquery.metadataViewerroles/bigquery.connectionUserVedi anche il ruolo Visualizzatore Data Catalog |
| argomenti Pub/Sub | pubsub.topics.get |
roles/pubsub.viewerVedi anche il ruolo Visualizzatore Data Catalog |
| Database e tabelle Spanner | Istanza: spanner.instances.getDatabase: spanner.databases.getVisualizzazioni: spanner.databases.get |
Nessun ruolo predefinito disponibile. |
| Istanze e tabelle Bigtable | bigtable.instances.getbigtable.tables.get |
roles/bigtable.viewerVedi anche il ruolo Visualizzatore Data Catalog |
| Lake, zone, tabelle e set di file Dataplex | dataplex.lakes.getdataplex.zones.get dataplex.entities.getdataplex.entities.get |
Nessun ruolo predefinito disponibile. |
| Servizi, database e tabelle Dataproc Metastore | metastore.tables.getmetastore.databases.get metastore.services.get |
roles/metastore.metadataViewer |
Ruoli per collegare i tag alle risorse Google Cloud
Per collegare tag pubblici e privati alle risorse Google Cloud, sono necessarie le stesse autorizzazioni.
Data Catalog consente agli utenti di estendere i metadati sulle risorse Google Cloud collegando dei tag. Uno o più tag che possono essere associati a una risorsa sono definiti in un modello di tag.
Quando un utente tenta di utilizzare il modello di tag per collegare un tag a una risorsa Google Cloud, Data Catalog controlla che l'utente disponga delle autorizzazioni necessarie per utilizzare il modello di tag e aggiornare i metadati delle risorse. Le autorizzazioni vengono concesse tramite i ruoli IAM, come illustrato nella tabella seguente.
La tabella seguente elenca le autorizzazioni e i ruoli associati necessari a un utente per utilizzare Data Catalog per collegare tag pubblici e privati alle risorse Google Cloud elencate.
Ogni riga nella tabella seguente elenca le autorizzazioni necessarie per taggare le risorse. I ruoli corrispondenti possono concedere autorizzazioni aggiuntive. Fai clic su ciascun ruolo per visualizzare tutte le autorizzazioni associate.
Note
Il proprietario di una voce di dati dispone dell'autorizzazione
datacatalog.entries.updateTagper impostazione predefinita. A tutti gli altri utenti deve essere concesso il ruolo datacatalog.tagEditor.L'autorizzazione
datacatalog.tagTemplates.useè richiesta anche per tutte le risorse elencate nella tabella.
| Risorsa | Autorizzazioni | Ruolo |
|---|---|---|
| Set di dati, tabelle, modelli, routine e connessioni BigQuery |
bigquery.datasets.updateTagbigquery.tables.updateTagbigquery.models.updateTagbigquery.routines.updateTagbigquery.connections.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigquery.dataEditor |
| argomenti Pub/Sub | pubsub.topics.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/pubsub.editor |
| database e tabelle Spanner. | Istanza: spanner.instances.UpdateTagDatabase: spanner.databases.UpdateTagTabella: spanner.databases.UpdateTagVisualizzazioni: spanner.databases.UpdateTag |
Nessun ruolo predefinito disponibile. |
| Istanze e tabelle Bigtable | bigtable.instances.updatebigtable.tables.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigtable.admin |
| Lake, zone, tabelle e set di file Dataplex | dataplex.lakes.updatedataplex.zones.update dataplex.entities.updatedataplex.entities.update |
Nessun ruolo predefinito disponibile. |
| Servizi, database e tabelle Dataproc Metastore | metastore.tables.updatemetastore.databases.update metastore.services.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/metastore.editorroles/metastore.metadataEditor |
Ruoli personalizzati per le risorse Google Cloud
I ruoli di editor predefiniti per le voci di dati di altri sistemi Google Cloud potrebbero fornire un accesso in scrittura più ampio di quello richiesto. Utilizza i ruoli personalizzati per specificare le autorizzazioni *.updateTag solo per una risorsa Google Cloud.
Ruoli per modificare la panoramica rich text e i gestori dati in Data Catalog
Gli utenti devono disporre dei seguenti ruoli per collegare la panoramica rich text e assegnare i data steward alle voci in Data Catalog:
| Risorsa | Autorizzazioni | Ruolo |
|---|---|---|
| Progetti Google Cloud | datacatalog.entries.updateOverview datacatalog.entries.updateContacts |
roles/datacatalog.dataSteward |
Ruoli per modificare la configurazione della migrazione in Data Catalog
Gli utenti devono avere i ruoli seguenti per impostare e recuperare la configurazione relativa alla migrazione da Data Catalog a Dataplex:
| Risorsa | Autorizzazioni | Ruolo |
|---|---|---|
| Organizzazioni e progetti Google Cloud | datacatalog.migrationConfig.set datacatalog.migrationConfig.get |
roles/datacatalog.migrationConfigAdmin |
Federazione delle identità in Data Catalog
La federazione delle identità consente di utilizzare un provider di identità (IdP) esterno per autenticare e autorizzare gli utenti ai servizi Google Cloud con IAM.
Data Catalog supporta la federazione delle identità con le seguenti limitazioni:
- I metodi SearchCatalog e StarEntry dell'API Data Catalog supportano solo la Federazione delle identità per la forza lavoro e non sono disponibili per la Federazione delle identità per i carichi di lavoro
- Dataplex non supporta la console Google Cloud per gli utenti della federazione delle identità
Per maggiori informazioni
- Ruoli Dataplex
- Ruoli di Data Catalog
- Controllo dell'accesso a BigQuery
- Controllo accesso Pub/Sub
- Controllo dell'accesso a Dataproc Metastore