Administración de identidades y accesos (IAM) de Data Catalog

Data Catalog proporciona y admite las siguientes funciones:

  • Búsqueda y descubrimiento centralizados. Data Catalog cataloga metadatos para recursos de Google Cloud, como BigQuery y Pub/Sub.
  • Etiquetado de recursos. Data Catalog puede crear y adjuntar metadatos (etiquetas) en los recursos de Google Cloud.

En este documento, se describen las funciones de administración de identidades y accesos de Data Catalog (IAM) que permiten a los usuarios usar Data Catalog para buscar y etiquetar recursos de Google Cloud.

Terminología de IAM.

Permisos
Se marcan en el entorno de ejecución para permitir al usuario realizar una operación o acceder a un recurso de Google Cloud. A los usuarios no se les otorgan permisos directamente, sino que se les otorgan funciones que contienen permisos.
Funciones
Una función es una colección predefinida de permisos. También se pueden permitir funciones personalizadas que consisten en una colección personalizada de permisos.

Busca recursos de Google Cloud

Antes de buscar, descubrir o mostrar recursos de Google Cloud, Data Catalog comprueba que el usuario tenga asignada una función de IAM con los permisos de lectura de metadatos requeridos por BigQuery, Pub/Sub o algún otro sistema de origen para acceder al recurso.

Ejemplo: Data Catalog verifica que se haya otorgado al usuario una función con bigquery.tables.get permission antes de mostrar los metadatos de la tabla BigQuery.

En la tabla a continuación, se enumeran los permisos de BigQuery y Pub/Sub y la función asociada necesaria para que un usuario use Data Catalog con el fin de buscar en el recurso de Google Cloud enumerado.

Recurso Permiso Función
Tablas, modelos y conjuntos de datos de BigQuery bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
roles/bigquery.metadataViewer
Consulte también lafunción de visualizador de Data Catalog.
Temas de Pub/Sub pubsub.topics.get roles/pubsub.viewer
Consulte también la función de visualizador de Data Catalog.

Función de visualizador de Data Catalog

A fin de simplificar el acceso a los recursos de Google Cloud, Data Catalog proporciona una función Visualizador del catálogo de datos (roles/datacatalog.viewer) con permiso de lectura de metadatos para todos los recursos catalogados de Google Cloud. Esta función también otorga los permisos para ver las plantillas y etiquetas de etiquetas de Data Catalog. En el futuro, esta función puede ampliarse para otorgar permisos adicionales cuando se puedan buscar nuevos tipos de recursos en Data Catalog.

Adjunta etiquetas a los recursos de Google Cloud

Data Catalog permite a los usuarios ampliar los metadatos en los recursos de Google Cloud mediante etiquetas adjuntas. Una o más etiquetas que se pueden adjuntar a un recurso se definen en una plantilla de etiqueta . Cuando un usuario intenta usar la plantilla de etiqueta para adjuntar una etiqueta a un recurso de Google Cloud, Data Catalog verifica que se le hayan otorgado permisos para usar la plantilla de etiqueta y actualizar los metadatos del recurso. Los permisos se otorgan a través de funciones de IAM, como se muestra en la tabla a continuación.

Cada fila enumera solo los permisos necesarios para etiquetar recursos. Las funciones correspondientes pueden otorgar permisos adicionales. Haga clic en cada función para ver todos los permisos asociados.

Recurso Permisos Función
Tablas, modelos y conjuntos de datos de BigQuery datacatalog.tagTemplates.use Y
bigquery.datasets.updateTag
bigquery.tables.updateTag
bigquery.models.updateTag
roles/datacatalog.tagTemplateUser
roles/bigquery.dataEditor
Temas de Pub/Sub datacatalog.tagTemplates.use
pubsub.topics.updateTag
roles/datacatalog.tagTemplateUser
roles/pubsub.editor

Función de creador de TagTemplate de Data Catalog.

La función creador de TagTemplate de Data Catalog permite a los usuarios crear plantillas de etiquetas.

Visualiza etiquetas en recursos de Google Cloud

Data Catalog permite a los usuarios ver las etiquetas adjuntas a los recursos de Google Cloud solo si el usuario tiene permisos en el recurso para ver sus metadatos y permisos en la plantilla de etiqueta para ver las etiquetas correspondientes. Los permisos se otorgan a través de funciones de IAM, como se explica en la tabla a continuación.

Cada fila enumera solo los permisos necesarios para ver las etiquetas, mientras que las funciones correspondientes pueden otorgar permisos adicionales. Haga clic en cada función para ver todos los permisos asociados.

Recurso Permisos Función
Tablas, modelos y conjuntos de datos de BigQuery datacatalog.tagTemplates.getTag Y
bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
roles/datacatalog.tagTemplateViewer
roles/bigquery.metadataViewer
Temas de Pub/Sub datacatalog.tagTemplates.getTag
pubsub.topics.get
roles/datacatalog.tagTemplateViewer
roles/pubsub.viewer

Más información