Ce document décrit les rôles IAM (Identity and Access Management) qui permettent d'utiliser Data Catalog pour effectuer des recherches dans Google Cloud et y ajouter des tags ressources.
Terminologie IAM
- Autorisations
- Vérifié au moment de l'exécution pour vous permettre d'effectuer une opération ou un accès une ressource Google Cloud. Vous ne disposez pas d’autorisations directement, mais à la place, se voient attribuer des rôles contenant des autorisations.
- Rôles
- Un rôle est un ensemble d'autorisations prédéfini. Rôles personnalisés comprenant d'une collection personnalisée d'autorisations sont également autorisés.
Afficher les rôles Data Catalog
Dans la console Google Cloud, procédez comme suit:
Accédez à la page IAM et Admin > Rôles.
Dans le champ Filtre, sélectionnez Utilisé dans, saisissez
Data CatalogouData Lineage, puis appuyez sur Entrée.Cliquez sur un rôle pour afficher ses autorisations dans le volet de droite.
Par exemple, le rôle "Administrateur Data Catalog" dispose d'un accès complet Ressources Data Catalog.
Rôles Data Catalog prédéfinis
Certains rôles Data Catalog prédéfinis incluent le rôle Administrateur, lecteur Data Catalog et créateur de modèles de tag Data Catalog. Quelques exemples sont décrits dans les sections suivantes.
Pour obtenir la liste et la description des rôles et des rôles prédéfinis dans Data Catalog, les autorisations associées à chaque rôle, consultez Rôles Data Catalog
Rôle d'administrateur Data Catalog
Le rôle roles/datacatalog.admin a accès à toutes les
Ressources Data Catalog. Un administrateur Data Catalog peut
ajouter différents types d'utilisateurs à un projet Data Catalog.
Rôle de responsable de données Data Catalog
Le rôle roles/datacatalog.dataSteward vous permet d'ajouter, de modifier ou
supprimer les responsables des données et l'aperçu en texte enrichi pour une entrée de données, par exemple
table BigQuery.
Rôle "Lecteur Data Catalog"
Pour simplifier l'accès aux ressources Google Cloud,
Data Catalog fournit le rôle roles/datacatalog.viewer avec
autorisation de lecture des métadonnées pour toutes les ressources Google Cloud cataloguées.
Ce rôle accorde aussi les autorisations nécessaires pour afficher les tags Data Catalog des modèles et des tags.
Accordez le rôle de lecteur Data Catalog sur votre projet pour afficher Google Cloud ressources dans Data Catalog.
Rôle "Créateur de modèles de tag Data Catalog"
Le rôle roles/datacatalog.tagTemplateCreator vous permet de créer des modèles de tag.
Rôle d'administrateur de la recherche Data Catalog
Le rôle roles/datacatalog.searchAdmin vous permet de récupérer, via la recherche,
toutes les ressources Google Cloud
classées au sein d'un projet ou d'une organisation.
Rôle d'administrateur pour la configuration de migration Data Catalog
Le rôle roles/datacatalog.migrationConfigAdmin vous permet de définir et de récupérer
de configuration liée à la migration des ressources
Data Catalog vers Dataplex Catalog.
Rôles de traçabilité des données prédéfinis
Pour accéder à la traçabilité d'une entrée Data Catalog, vous devez :
à l'entrée concernée dans Data Catalog. Pour accéder au
Data Catalog, vous devez disposer du rôle "Lecteur" pour
ressource système ou
Lecteur Data Catalog
(roles/datacatalog.viewer) sur le projet qui stocke le
Entrée Data Catalog. Cette section décrit les rôles requis pour
afficher la traçabilité.
Rôle de lecteur de la traçabilité
Lecteur de la traçabilité des données
(roles/datalineage.viewer) vous permet d'afficher Dataplex
la traçabilité dans la console Google Cloud et lire les informations de traçabilité à l'aide
l'API Data Lineage. La
et les événements d'un processus donné sont tous stockés dans le même projet que
processus. Dans le cas de la traçabilité automatisée,
le processus, les exécutions et les événements
sont stockés dans le projet dans lequel la tâche ayant généré la traçabilité a été
en cours d'exécution. Il peut s'agir, par exemple, du projet dans lequel un job BigQuery a été
en cours d'exécution.
Vous avez besoin de différents rôles pour visualiser la traçabilité entre les éléments et afficher les métadonnées
des éléments. Si vous optez pour la première version, vous avez besoin du lecteur de la traçabilité des données (roles/datalineage.viewer).
Dans ce dernier cas, vous devez disposer des mêmes rôles que ceux utilisés pour accéder aux entrées de métadonnées.
dans Data Catalog. Les deux sous-sections suivantes fournissent
dans les moindres détails.
Rôles permettant d'afficher la traçabilité entre deux éléments
Pour afficher la traçabilité entre les éléments, vous devez disposer du rôle Lecteur de la traçabilité des données (roles/datalineage.viewer)
sur les projets suivants:
- Le projet dans lequel vous consultez la traçabilité (appelé projet actif) qui correspond au projet dans la liste déroulante en haut de la console Google Cloud le projet à partir duquel les appels d'API sont effectués. Il s'agit normalement Projet de ressources Data Catalog
- Les projets dans lesquels la traçabilité est enregistrée (appelés projet de calcul). La traçabilité est stockée dans le projet dans lequel le processus correspondant a été exécuté, comme décrit ci-dessus. Ce projet peut être différent du projet qui stocke l'élément dont vous affichez la traçabilité.
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès. Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Selon le cas d'utilisation, accordez le rôle Lecteur de la traçabilité des données (roles/datalineage.viewer).
au niveau du dossier ou de l'organisation pour garantir l'accès à la traçabilité (consultez Attribuer ou révoquer un seul rôle).
Les rôles requis pour la traçabilité des données ne peuvent être accordés que via
la Google Cloud CLI.
Rôles permettant d'afficher les métadonnées des éléments lors de l'affichage de la traçabilité
Lorsque les métadonnées d'un élément sont stockées dans Data Catalog, vous ne pouvez
peuvent afficher ces métadonnées si vous disposez du rôle Lecteur pour la ressource système correspondante.
ou Lecteur Data Catalog (roles/datacatalog.viewer)
sur le projet dans lequel l'entrée Data Catalog est stockée. Toi
peut avoir accès aux éléments du graphique ou de la liste de traçabilité via des
les rôles de lecteur, mais pas d'accès à leur traçabilité. C’est le cas lorsque
vous ne disposez pas du rôle Lecteur de la traçabilité des données (roles/datalineage.viewer) ;
sur le projet dans lequel la traçabilité a été enregistrée. Dans ce cas,
L'API Data Lineage et la console Google Cloud n'affichent pas la traçabilité
ne renvoie pas d'erreur, pour éviter les fuites d'informations sur l'existence
la traçabilité. Par conséquent, l'absence de traçabilité pour un composant ne signifie pas
aucune traçabilité pour cet élément, mais que vous n'avez peut-être pas accès à cette traçabilité.
Rôle de producteur d'événements de traçabilité des données
Le rôle roles/datalineage.producer permet aux utilisateurs d'enregistrer manuellement la traçabilité
à l'aide de l'API Data Lineage.
Rôle d'éditeur de la traçabilité des données
Le rôle roles/datalineage.editor permet aux utilisateurs de modifier manuellement la traçabilité
à l'aide de l'API Data Lineage.
Rôle d'administrateur de la traçabilité des données
Le rôle roles/datalineage.admin permet aux utilisateurs d'effectuer toutes les opérations de traçabilité
présentées dans cette section.
Rôles permettant d'afficher les tags publics et privés
Vous pouvez rechercher des tags publics à l'aide d'une recherche simple. Vous pouvez afficher une entrée de données, y compris ses tags publics, à condition de disposer des autorisations nécessaires pour afficher la saisie de données. Aucune autorisation supplémentaire n'est requise sur le modèle de tag. Pour autorisations requises pour afficher l'entrée de données, consultez le tableau de cette section.
Toutefois, nous vous recommandons d'accorder également l'autorisation datacatalog.tagTemplates.get
autorisation aux utilisateurs censés
rechercher ces tags publics. Ce
permet aux utilisateurs d'utiliser aussi le prédicat de recherche tag: ou utiliser
l'attribut de recherche du modèle de tag sur la page de recherche de Data Catalog.
Pour les tags privés, vous devez disposer de droits d'affichage à la fois sur le modèle de tag et sur entrée de données pour rechercher la balise et l'afficher sur la page des détails de l'entrée. Les utilisateurs doivent utiliser le prédicat de recherche tag: ou l'attribut de recherche du modèle de tag pour trouver les tags, La recherche simple de tags privés n'est pas prise en charge.
Remarques :
L'autorisation d'affichage requise sur le modèle de tag privé est
datacatalog.tagTemplates.getTagLes autorisations d'affichage sur les entrées de données pour les tags publics et privés est inclus dans le tableau suivant.
| Ressource | Permission | Rôle |
|---|---|---|
| Ensembles de données, tables, modèles, routines et connexions BigQuery | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/datacatalog.tagTemplateViewerroles/bigquery.metadataViewerroles/bigquery.connectionUser |
| Sujets Pub/Sub | pubsub.topics.get |
roles/datacatalog.tagTemplateViewerroles/pubsub.viewer |
| Instances, bases de données, tables et vues Spanner | Instance: spanner.instances.getDatabase:spanner.databases.getTable: spanner.databases.getViews: spanner.databases.getdatacatalog.tagTemplates.getTag |
Aucun rôle prédéfini n'est disponible. |
| Instances et tables Bigtable | bigtable.instances.getbigtable.tables.getdatacatalog.tagTemplates.getTag |
roles/datacatalog.tagTemplateViewerroles/bigtable.viewer |
| Services, bases de données et tables Dataproc Metastore | metastore.tables.getmetastore.databases.getmetastore.services.get |
roles/datacatalog.tagTemplateViewerroles/metastore.metadataViewer |
| Entrées personnalisées | datacatalog.entries.get |
Aucun rôle prédéfini n'est disponible. |
Rôles pour rechercher des ressources Google Cloud
Avant de rechercher, de découvrir ou d'afficher des ressources Google Cloud, Data Catalog vérifie que vous disposez d'un avec les autorisations de lecture de métadonnées requises par BigQuery, Pub/Sub, Dataproc Metastore ou un autre système source pour accéder à la ressource.
Exemple:Data Catalog vérifie que vous avez obtenu
un rôle avec bigquery.tables.get permission avant d'afficher
Métadonnées de table BigQuery.
Le tableau suivant répertorie les autorisations et les rôles associés nécessaires pour utiliser Data Catalog pour effectuer des recherches dans les ressources.
| Ressource | Permission | Rôle |
|---|---|---|
| Ensembles de données, tables, modèles, routines et connexions BigQuery | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/bigquery.metadataViewerroles/bigquery.connectionUserVoir également Rôle de lecteur Data Catalog |
| Sujets Pub/Sub | pubsub.topics.get |
roles/pubsub.viewerVoir également Rôle de lecteur Data Catalog |
| Bases de données et tables Spanner | Instance: spanner.instances.getBase de données: spanner.databases.getVues: spanner.databases.get |
Aucun rôle prédéfini n'est disponible. |
| Instances et tables Bigtable | bigtable.instances.getbigtable.tables.get |
roles/bigtable.viewerVoir également Rôle de lecteur Data Catalog |
| Lacs, zones, tables et ensembles de fichiers Dataplex | dataplex.lakes.getdataplex.zones.get dataplex.entities.getdataplex.entities.get |
Aucun rôle prédéfini n'est disponible. |
| Services, bases de données et tables Dataproc Metastore | metastore.tables.getmetastore.databases.get metastore.services.get |
roles/metastore.metadataViewer |
Rôles permettant d'associer des tags aux ressources Google Cloud
Pour associer des tags publics et privés à des ressources Google Cloud, vous devez disposer des mêmes autorisations.
Data Catalog permet aux utilisateurs d'étendre les métadonnées sur Google Cloud ressources en lui associant des tags. Un ou plusieurs tags pouvant être associés à une ressource sont définis dans un modèle de tag.
Lorsqu'un utilisateur tente d'utiliser le modèle de tag pour associer un tag à un ressource Google Cloud, Data Catalog vérifie que vous avez Les autorisations requises pour utiliser le modèle de tag et mettre à jour la ressource de métadonnées. Les autorisations sont accordées via des rôles IAM, comme indiqué ci-dessous tableau.
Le tableau suivant répertorie les autorisations et les rôles associés nécessaires pour d'associer des tags publics et privés à l'aide de Data Catalog aux ressources Google Cloud répertoriées.
Chaque ligne du tableau suivant liste les autorisations nécessaires pour taguer des ressources. Les rôles correspondants peuvent accorder des autorisations supplémentaires. Cliquez sur chaque rôle pour afficher toutes les autorisations associées.
Remarques :
Le propriétaire d'une entrée de données dispose de l'autorisation
datacatalog.entries.updateTagpar défaut. Tous les autres utilisateurs doivent disposer du rôle datacatalog.tagEditor. rôle de ressource.L'autorisation
datacatalog.tagTemplates.useest également requise pour tous les ressources répertoriées dans le tableau.
| Ressource | Permissions | Rôle |
|---|---|---|
| Ensembles de données, tables, modèles, routines et connexions BigQuery |
bigquery.datasets.updateTagbigquery.tables.updateTagbigquery.models.updateTagbigquery.routines.updateTagbigquery.connections.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigquery.dataEditor |
| Sujets Pub/Sub | pubsub.topics.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/pubsub.editor |
| Bases de données et tables Spanner. | Instance: spanner.instances.UpdateTagBase de données: spanner.databases.UpdateTagTable: spanner.databases.UpdateTagVues: spanner.databases.UpdateTag |
Aucun rôle prédéfini n'est disponible. |
| Instances et tables Bigtable | bigtable.instances.updatebigtable.tables.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigtable.admin |
| Lacs, zones, tables et ensembles de fichiers Dataplex | dataplex.lakes.updatedataplex.zones.update dataplex.entities.updatedataplex.entities.update |
Aucun rôle prédéfini n'est disponible. |
| Services, bases de données et tables Dataproc Metastore | metastore.tables.updatemetastore.databases.update metastore.services.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/metastore.editorroles/metastore.metadataEditor |
Rôles personnalisés pour les ressources Google Cloud
Rôles d'éditeur prédéfinis pour les entrées de données provenant d'autres systèmes Google Cloud
peut fournir un accès en écriture plus large que nécessaire. Utilisez
des rôles personnalisés pour spécifier
Autorisations *.updateTag uniquement sur une ressource Google Cloud.
Rôles permettant de modifier la présentation du texte enrichi et les responsables des données dans Data Catalog
Les utilisateurs doivent disposer des rôles suivants pour joindre une présentation en texte enrichi et attribuer des données responsables des entrées dans Data Catalog:
| Ressource | Permissions | Rôle |
|---|---|---|
| Projets Google Cloud | datacatalog.entries.updateOverview datacatalog.entries.updateContacts |
roles/datacatalog.dataSteward |
Rôles permettant de modifier la configuration de la migration dans Data Catalog
Les utilisateurs doivent disposer des rôles suivants pour définir et récupérer la configuration associée à Migration de Data Catalog vers Dataplex:
| Ressource | Permissions | Rôle |
|---|---|---|
| Projets et organisations Google Cloud | datacatalog.migrationConfig.set datacatalog.migrationConfig.get |
roles/datacatalog.migrationConfigAdmin |
Fédération d'identité dans Data Catalog
La fédération d'identité vous permet d'utiliser un fournisseur d'identité externe (IdP) pour : à authentifier et à autoriser les utilisateurs à accéder aux services Google Cloud Cloud IAM.
Data Catalog prend en charge la fédération d'identité avec les éléments suivants : Limites:
- API Data Catalog SearchCatalog et StarEntry ne sont compatibles qu'avec la fédération des identités des employés et ne sont pas disponibles pour la fédération d'identité de charge de travail
- Dataplex n'est pas compatible avec la console Google Cloud pour les utilisateurs de la fédération d'identité
Pour en savoir plus
- Rôles Dataplex
- Rôles Data Catalog
- Contrôle des accès dans BigQuery
- Contrôle des accès Pub/Sub
- Contrôle des accès à Dataproc Metastore