En este documento, se describen las funciones de Identity and Access Management (IAM) que permiten a los usuarios usar Data Catalog para buscar y etiquetar recursos de Google Cloud.
Terminología de IAM
- Permisos
- Se verifica en el entorno de ejecución para permitir que los usuarios realicen una operación o accedan a un recurso de Google Cloud. A los usuarios no se les otorgan permisos directamente, sino que se les otorgan funciones que contienen permisos.
- Funciones
- Una función es una colección predefinida de permisos. También se permiten los roles personalizados que constan de una colección personalizada de permisos.
Ver roles de Data Catalog
En la consola de Google Cloud, sigue estos pasos:
Ve a la página IAM y administración > Roles.
En el campo Filtro, selecciona Usado en, escribe
Data CatalogoData Lineage, y haz clic en Intro.Haz clic en un rol para ver los permisos del rol en el panel de la derecha.
Por ejemplo, la función de administrador de Data Catalog tiene acceso completo a todos los recursos de Data Catalog.
Roles predefinidos de Data Catalog
Algunas funciones predefinidas de Data Catalog incluyen el administrador, el visualizador de Data Catalog y el creador de TagTemplate de Data Catalog. Algunas de estas funciones se describen en las secciones posteriores.
Para obtener una lista y una descripción de las funciones predefinidas de Data Catalog y los permisos asociados con cada función, consulta Funciones de Data Catalog.
Rol Administrador de Data Catalog
La función roles/datacatalog.admin tiene acceso a todos los recursos de Data Catalog. Un administrador de Data Catalog puede agregar diferentes tipos de usuarios a un proyecto de Data Catalog.
Función de administrador de datos de DataCatalog
La función roles/datacatalog.dataSteward te permite agregar, editar o borrar los administradores de datos y la descripción general de texto enriquecido para una entrada de datos, como una tabla de BigQuery.
Función de visualizador de Data Catalog
Para simplificar la obtención del acceso a los recursos de Google Cloud, Data Catalog proporciona la función roles/datacatalog.viewer con permiso de lectura de metadatos para todos los recursos de Google Cloud catalogados.
Esta función también otorga los permisos para ver las plantillas y etiquetas de etiquetas de Data Catalog.
Otorga la función de visualizador de Data Catalog en tu proyecto para permitir que los usuarios vean los recursos de Google Cloud en Data Catalog.
Función de creador de TagTemplate de Data Catalog.
El rol roles/datacatalog.tagTemplateCreator permite a los usuarios crear plantillas de etiquetas.
Rol Administrador de búsqueda de Data Catalog
La función roles/datacatalog.searchAdmin permite a los usuarios recuperar, a través de la búsqueda, todos los recursos de Google Cloud catalogados dentro de un proyecto o una organización.
Funciones predefinidas del linaje de datos
Para acceder al gráfico de linaje de cualquier entrada de Data Catalog, el usuario necesita acceso a la entrada en Data Catalog. Para acceder a la entrada de Data Catalog, el usuario necesita una función de visualizador en el recurso del sistema correspondiente o el Visualizador de Data Catalog (roles/datacatalog.viewer) en el proyecto que almacena la entrada de Data Catalog. En esta sección, se describen las funciones necesarias para ver y manipular el gráfico de linaje.
Rol de visualizador de linaje
El rol de Visualizador de linaje de datos
(roles/datalineage.viewer) permite a los usuarios ver los gráficos de linaje de Dataplex
en la consola de Google Cloud y leer la información del linaje con
la API de Data Lineage. Las ejecuciones y los eventos de un proceso determinado se almacenan en el mismo proyecto que el proceso. En el caso del linaje automatizado, el proceso, las ejecuciones y los eventos se almacenan en el proyecto en el que se ejecutaba el trabajo que generó el linaje. Este podría ser, por ejemplo, el proyecto en el que se ejecutaba un trabajo de BigQuery.
Necesitas diferentes roles para ver el linaje entre los recursos en el gráfico y para ver los metadatos de los recursos en el gráfico. Para el primero, necesitas Visualizador de linaje de datos (roles/datalineage.viewer). Para el segundo, necesitas los mismos roles que se usan para acceder a las entradas de metadatos en Data Catalog. Las siguientes dos subsecciones proporcionan más detalles.
Funciones para ver el linaje entre dos recursos
Para ver el linaje entre los recursos en el gráfico de linaje, el usuario debe tener el Visualizador de linaje de datos (roles/datalineage.viewer) en los siguientes proyectos:
- Es el proyecto desde el que el usuario ve el linaje (conocido como proyecto activo), que es el proyecto del menú desplegable ubicado en la parte superior de la consola de Google Cloud o el proyecto desde el que se realizan las llamadas a la API. Por lo general, este sería el proyecto de recursos de Data Catalog.
- Los proyectos en los que se registra el linaje (conocidos como proyecto de procesamiento). El linaje se almacena en el proyecto en el que se ejecutó el proceso correspondiente, como se describió anteriormente. Este proyecto puede ser diferente del que almacena el recurso para el que el usuario ve el linaje.
Si quieres obtener más información para otorgar funciones, consulta Administra el acceso. Es posible que también puedas obtener los permisos necesarios mediante los roles personalizados o bien otros roles predefinidos.
Según el caso de uso,es posible que debas otorgar Visualizador del linaje de datos (roles/datalineage.viewer) a nivel de la organización o la carpeta para garantizar que el usuario tenga la garantía de acceder al gráfico de linaje completo (consulta Cómo otorgar o revocar un solo rol). Los roles necesarios para el linaje de datos se pueden otorgar solo a través de Google Cloud CLI.
Funciones para ver los metadatos de los recursos en el gráfico de linaje
Cuando los metadatos sobre un recurso del gráfico se almacenan en Data Catalog, el usuario solo puede verlos si tiene un rol de visualizador en el recurso del sistema o el Visualizador de Data Catalog (roles/datacatalog.viewer) correspondiente en el proyecto en el que se almacena la entrada de Data Catalog.
El acceso a los metadatos de los elementos del gráfico es independiente del acceso al linaje. Es posible que el usuario tenga acceso a los recursos del gráfico a través de los roles de visualizadores adecuados, pero que no pueda acceder al linaje entre ellos. Este es el caso cuando el usuario no tiene Visualizador de linaje de datos (roles/datalineage.viewer) en el proyecto en el que se registró el linaje. En este caso, la API y la IU de Data Lineage no mostrarán el linaje ni mostrarán ningún error para evitar que se filtre información sobre la existencia del linaje. Por lo tanto, la ausencia de linaje para un recurso no significa que no haya linaje para ese recurso. Es posible que el usuario no tenga acceso a ese linaje.
Función de productor de eventos de linaje de datos
La función roles/datalineage.producer permite a los usuarios registrar de forma manual la información de linaje con la API de linaje de datos.
Rol de Editor de linaje de datos
La función roles/datalineage.editor permite a los usuarios modificar de forma manual la información de linaje con la API de linaje de datos.
Función de administrador de linaje de datos
El rol roles/datalineage.admin permite a los usuarios realizar todas las operaciones de linaje que se enumeran en esta sección.
Funciones para ver las etiquetas públicas y privadas
Puedes buscar etiquetas públicas con una búsqueda simple. Puedes ver una entrada de datos, incluidas sus etiquetas públicas, siempre que tengas los permisos necesarios para verla. No se requieren permisos adicionales en la plantilla de la etiqueta. Si deseas conocer los permisos necesarios para ver la entrada de datos, consulta la tabla de esta sección.
Sin embargo, te recomendamos que también otorgues el permiso datacatalog.tagTemplates.get a los usuarios que se espera que busquen estas etiquetas públicas. Con este permiso, los usuarios también pueden usar el predicado de búsqueda tag: o la faceta de búsqueda de la plantilla de etiqueta en la página de búsqueda de Data Catalog.
En el caso de las etiquetas privadas, necesitas permisos de lectura en la plantilla de etiqueta y en la entrada de datos para buscar la etiqueta y verla en la página de detalles de la entrada. Los usuarios deben usar el predicado de búsqueda tag: o la faceta de búsqueda de la plantilla de etiqueta para encontrar las etiquetas. No se admite la búsqueda simple de etiquetas privadas.
Notas:
El permiso de lectura necesario en la plantilla de etiqueta privada es
datacatalog.tagTemplates.getTag.En la siguiente tabla, se incluyen los permisos de lectura de la entrada de datos para las etiquetas públicas y privadas.
| Recurso | Permiso | Rol |
|---|---|---|
| Conjuntos de datos, tablas, modelos, rutinas y conexiones de BigQuery | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/datacatalog.tagTemplateViewerroles/bigquery.metadataViewerroles/bigquery.connectionUser |
| Temas de Pub/Sub | pubsub.topics.get |
roles/datacatalog.tagTemplateViewerroles/pubsub.viewer |
| Instancias, bases de datos, tablas y vistas de Spanner | Instance: spanner.instances.getDatabase:spanner.databases.getTable: spanner.databases.getViews: spanner.databases.getdatacatalog.tagTemplates.getTag |
No hay roles predefinidos disponibles. |
| Instancias y tablas de Bigtable | bigtable.instances.getbigtable.tables.getdatacatalog.tagTemplates.getTag |
roles/datacatalog.tagTemplateViewerroles/bigtable.viewer |
| Servicios, base de datos y tablas de Dataproc Metastore | metastore.tables.getmetastore.databases.getmetastore.services.get |
roles/datacatalog.tagTemplateViewerroles/metastore.metadataViewer |
| Entradas personalizadas | datacatalog.entries.get |
No hay roles predefinidos disponibles. |
Funciones para buscar recursos de Google Cloud
Antes de buscar, descubrir o mostrar recursos de Google Cloud, Data Catalog comprueba que el usuario tenga asignada una función de IAM con los permisos de lectura de metadatos requeridos por BigQuery, Pub/Sub, Dataproc Metastore o algún otro sistema de origen para acceder al recurso.
Ejemplo: Data Catalog verifica que se haya otorgado al usuario una función con bigquery.tables.get permission antes de mostrar los metadatos de la tabla BigQuery.
En la siguiente tabla, se enumeran los permisos y las funciones asociadas necesarias para que un usuario use Data Catalog a fin de buscar en los recursos de Google Cloud enumerados.
| Recurso | Permiso | Rol |
|---|---|---|
| Conjuntos de datos, tablas, modelos, rutinas y conexiones de BigQuery | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/bigquery.metadataViewerroles/bigquery.connectionUserConsulta también el rol de visualizador de Data Catalog |
| Temas de Pub/Sub | pubsub.topics.get |
roles/pubsub.viewerConsulta también el rol de visualizador de Data Catalog |
| Tablas y bases de datos de Spanner | Instancia: spanner.instances.getBase de datos: spanner.databases.getVistas: spanner.databases.get |
No hay roles predefinidos disponibles. |
| Instancias y tablas de Bigtable | bigtable.instances.getbigtable.tables.get |
roles/bigtable.viewerConsulta también el rol de visualizador de Data Catalog |
| Lakes, zonas, tablas y conjuntos de archivos de Dataplex | dataplex.lakes.getdataplex.zones.get dataplex.entities.getdataplex.entities.get |
No hay roles predefinidos disponibles. |
| Servicios, base de datos y tablas de Dataproc Metastore | metastore.tables.getmetastore.databases.get metastore.services.get |
roles/metastore.metadataViewer |
Funciones para adjuntar etiquetas a los recursos de Google Cloud
Se requieren los mismos permisos para adjuntar etiquetas públicas y privadas a los recursos de Google Cloud.
Data Catalog permite a los usuarios extender los metadatos en los recursos de Google Cloud adjuntando etiquetas. Una o más etiquetas que se pueden adjuntar a un recurso se definen en una plantilla de etiqueta.
Cuando un usuario intenta usar la plantilla de etiqueta para adjuntar una etiqueta a un recurso de Google Cloud, Data Catalog verifica que tenga los permisos necesarios para usar la plantilla de etiqueta y actualizar los metadatos del recurso. Los permisos se otorgan a través de roles de IAM, como se muestra en la siguiente tabla.
En la siguiente tabla, se enumeran los permisos y las funciones asociadas necesarias para que un usuario use Data Catalog a fin de adjuntar etiquetas públicas y privadas a los recursos de Google Cloud enumerados.
Cada fila de la siguiente tabla enumera los permisos necesarios para etiquetar recursos. Las funciones correspondientes pueden otorgar permisos adicionales. Haga clic en cada función para ver todos los permisos asociados.
Notas:
El propietario de una entrada de datos tiene el permiso
datacatalog.entries.updateTagde forma predeterminada. Todos los demás usuarios deben tener el rol datacatalog.tagEditor.El permiso
datacatalog.tagTemplates.usetambién es obligatorio para todos los recursos que se enumeran en la tabla.
| Recurso | Permisos | Rol |
|---|---|---|
| Conjuntos de datos, tablas, modelos, rutinas y conexiones de BigQuery |
bigquery.datasets.updateTagbigquery.tables.updateTagbigquery.models.updateTagbigquery.routines.updateTagbigquery.connections.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigquery.dataEditor |
| Temas de Pub/Sub | pubsub.topics.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/pubsub.editor |
| Tablas y bases de datos de Spanner. | Instancia: spanner.instances.UpdateTagBase de datos: spanner.databases.UpdateTagTabla: spanner.databases.UpdateTagVistas: spanner.databases.UpdateTag |
No hay roles predefinidos disponibles. |
| Instancias y tablas de Bigtable | bigtable.instances.updatebigtable.tables.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigtable.admin |
| Lakes, zonas, tablas y conjuntos de archivos de Dataplex | dataplex.lakes.updatedataplex.zones.update dataplex.entities.updatedataplex.entities.update |
No hay roles predefinidos disponibles. |
| Servicios, base de datos y tablas de Dataproc Metastore | metastore.tables.updatemetastore.databases.update metastore.services.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/metastore.editorroles/metastore.metadataEditor |
Roles personalizados para los recursos de Google Cloud
Los roles de editor predefinidos para entradas de datos de otros sistemas de Google Cloud pueden proporcionar un acceso de escritura más amplio que el necesario. Usa funciones personalizadas para especificar los permisos *.updateTag solo en un recurso de Google Cloud.
Funciones para modificar la descripción general de texto enriquecido y los administradores de datos en Data Catalog
Los usuarios necesitan las siguientes funciones para adjuntar una descripción general de texto enriquecido y asignar administradores de datos a las entradas de Data Catalog:
| Recurso | Permisos | Rol |
|---|---|---|
| Proyectos de Google Cloud | datacatalog.entries.updateOverview datacatalog.entries.updateContacts |
roles/datacatalog.dataSteward |
Federación de identidades en Data Catalog
La federación de identidades te permite usar un proveedor de identidad externo (IdP) para autenticar y autorizar a los usuarios a los servicios de Google Cloud con IAM.
Data Catalog admite la federación de identidades con las siguientes limitaciones:
- Los métodos SearchCatalog y StarEntry de la API de Data Catalog solo admiten la federación de identidades de personal y no están disponibles para la federación de identidades para cargas de trabajo.
- Dataplex no admite la consola de Google Cloud para los usuarios de la federación de identidades
Para más información
- Roles de Dataplex
- Funciones de Data Catalog
- Control de acceso de BigQuery
- Control de acceso de Pub/Sub
- Control de acceso de Dataproc Metastore