IAM de Data Catalog

En este documento, se describen las funciones de administración de identidades y accesos (IAM) que permiten a los usuarios usar Data Catalog para buscar y etiquetar recursos de Google Cloud.

Terminología de IAM.

Permisos
Se verifica en el entorno de ejecución para permitir que los usuarios realicen una operación o accedan a un recurso de Google Cloud. A los usuarios no se les otorgan permisos directamente, sino que se les otorgan funciones que contienen permisos.
Funciones
Una función es una colección predefinida de permisos. También se permiten las funciones personalizadas que constan de una colección personalizada de permisos.

Ver las funciones de Data Catalog

En Cloud Console, sigue estos pasos:

  1. Ir a la página IAM & Administrador > Funciones.

    Ir a Funciones

  2. En el campo Filtro, selecciona Usado en, escribe Data Catalog y presiona Intro.

  3. Haz clic en una de las funciones enumeradas para ver los permisos de la función en el panel derecho.

    Por ejemplo, la función de administrador de Data Catalog tiene acceso completo a todos los recursos de Data Catalog.

Funciones predefinidas de Data Catalog

Algunas funciones predefinidas de Data Catalog incluyen el administrador de Data Catalog, el visor de Data Catalog y el creador de plantillas de etiquetas de Data Catalog. Algunas de estas funciones se describen en las secciones posteriores.

Para obtener una lista y una descripción de las funciones predefinidas de Data Catalog y los permisos asociados a cada función, consulta Funciones de Data Catalog.

Función de administrador

La función roles/datacatalog.admin tiene acceso a todos los recursos de Data Catalog. Un administrador de Data Catalog puede agregar diferentes tipos de usuarios a un proyecto de Data Catalog.

Función de administrador de datos

La función roles/datacatalog.dataSteward te permite agregar, editar o borrar los administradores de datos y la descripción general de texto enriquecido en una entrada de datos, como una tabla de BigQuery.

Rol de visualizador

A fin de simplificar la obtención de acceso a los recursos de Google Cloud, Data Catalog proporciona la función roles/datacatalog.viewer con permisos de lectura de metadatos para todos los recursos de Google Cloud en el catálogo.

Esta función también otorga los permisos para ver las plantillas y etiquetas de las etiquetas de Data Catalog.

Otorga la función de visualizador de Data Catalog en tu proyecto para permitir que los usuarios vean los recursos de Google Cloud en Data Catalog.

Función de creador de plantillas de etiqueta

La función roles/datacatalog.tagTemplateCreator permite a los usuarios crear plantillas de etiquetas.

Funciones para ver las etiquetas públicas y privadas

Puedes buscar etiquetas públicas con una búsqueda simple. Puedes ver una entrada de datos, incluidas sus etiquetas públicas, siempre y cuando tengas los permisos necesarios para ver la entrada de datos. No se requieren permisos adicionales en la plantilla de la etiqueta. Si deseas ver los permisos necesarios para ver la entrada de datos, consulta la tabla de esta sección.

Sin embargo, recomendamos que también otorgues el permiso datacatalog.tagTemplates.get a los usuarios que se espera que busquen estas etiquetas públicas. Con este permiso, los usuarios también pueden usar el predicado de búsqueda tag: o la faceta de búsqueda de la plantilla de etiqueta en la página de búsqueda de Data Catalog.

Para las etiquetas privadas, necesitas ver los permisos de la plantilla y de la entrada de datos a fin de buscar la etiqueta y verla en la página de detalles de la entrada. Los usuarios deben usar el predicado de búsqueda tag: o la faceta de búsqueda de plantilla de etiqueta para encontrar las etiquetas; no se admite la búsqueda simple de etiquetas privadas.

El permiso de lectura necesario en la plantilla de etiqueta privada es datacatalog.tagTemplates.getTag.

En la siguiente tabla, se incluyen los permisos de lectura para las entradas públicas y privadas:

Recurso Permiso Rol
Conjuntos de datos, tablas, modelos, rutinas y conexiones de BigQuery bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/datacatalog.tagTemplateViewer
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
Temas de Pub/Sub pubsub.topics.get roles/datacatalog.tagTemplateViewer
roles/pubsub.viewer
(Vista previa pública) Servicios, bases de datos y tablas de Dataproc Metastore metastore.tables.get
metastore.databases.get
metastore.services.get
No hay funciones predefinidas disponibles.
Entradas personalizadas datacatalog.entries.get No hay funciones predefinidas disponibles.

Funciones para buscar recursos de Google Cloud

Antes de buscar, descubrir o mostrar recursos de Google Cloud, Data Catalog comprueba que el usuario tenga asignada una función de IAM con los permisos de lectura de metadatos requeridos por BigQuery, Pub/Sub, Dataproc Metastore o algún otro sistema de origen para acceder al recurso.

Ejemplo: Data Catalog verifica que se haya otorgado al usuario una función con bigquery.tables.get permission antes de mostrar los metadatos de la tabla BigQuery.

En la siguiente tabla, se enumeran los permisos y las funciones asociadas que se necesitan para que un usuario use Data Catalog a fin de realizar búsquedas en los recursos de Google Cloud enumerados.

Recurso Permiso Rol
Conjuntos de datos, tablas, modelos, rutinas y conexiones de BigQuery bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
Consulta también el rol de visualizador de Data Catalog.
Temas de Pub/Sub pubsub.topics.get roles/pubsub.viewer
Consulte también la función de visualizador de Data Catalog.
Lakes, zonas, tablas y conjuntos de archivos de Dataplex dataplex.lakes.get
dataplex.zones.get
dataplex.entities.get
dataplex.entities.get
No hay funciones predefinidas disponibles.
(Vista previa pública) Servicios, bases de datos y tablas de Dataproc Metastore metastore.tables.get
metastore.databases.get
metastore.services.get
No hay funciones predefinidas disponibles.

Funciones para adjuntar etiquetas a recursos de Google Cloud

Para adjuntar etiquetas públicas y privadas a los recursos de Google Cloud, se requieren los mismos permisos.

Data Catalog permite a los usuarios extender metadatos en los recursos de Google Cloud adjuntando etiquetas. Una o más etiquetas que se pueden adjuntar a un recurso se definen en una plantilla de etiqueta.

Cuando un usuario intenta usar la plantilla de etiquetas para adjuntar una etiqueta a un recurso de Google Cloud, Data Catalog verifica que tenga los permisos necesarios para usar la plantilla de etiquetas y actualizar los metadatos de recursos. Los permisos se otorgan mediante funciones de IAM, como se muestra en la siguiente tabla.

En la siguiente tabla, se enumeran los permisos y las funciones asociadas necesarias para que un usuario use Data Catalog a fin de adjuntar etiquetas públicas y privadas a los recursos de Google Cloud enumerados.

En cada fila de la siguiente tabla, solo se enumeran los permisos necesarios para etiquetar recursos. Las funciones correspondientes pueden otorgar permisos adicionales. Haga clic en cada función para ver todos los permisos asociados.

El propietario de una entrada de datos tiene el permiso datacatalog.entries.updateTag de forma predeterminada. A todos los demás usuarios se les debe otorgar la función datacatalog.tagEditor.

Recurso Permisos Rol
Conjuntos de datos, tablas, modelos, rutinas y conexiones de BigQuery datacatalog.tagTemplates.use
AND
bigquery.datasets.updateTag
bigquery.tables.updateTag
bigquery.models.updateTag
bigquery.routines.updateTag
bigquery.connections.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/bigquery.dataEditor
Temas de Pub/Sub datacatalog.tagTemplates.use
pubsub.topics.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/pubsub.editor
Lakes, zonas, tablas y conjuntos de archivos de Dataplex datacatalog.tagTemplates.use
dataplex.lakes.update
dataplex.zones.update
dataplex.entities.update
dataplex.entities.update
No hay funciones predefinidas disponibles.
(Vista previa pública) Servicios, bases de datos y tablas de Dataproc Metastore datacatalog.tagTemplates.use
metastore.tables.update
metastore.databases.update
metastore.services.update
No hay funciones predefinidas disponibles.

Funciones personalizadas para los recursos de Google Cloud

Las funciones predefinidas del editor para entradas de datos de otros sistemas de Google Cloud podrían proporcionar un acceso de escritura más amplio de lo necesario. Usa funciones personalizadas para especificar los permisos *.updateTag solo en un recurso de Google Cloud.

Más información