Gestion de l'authentification et des accès (IAM) dans Data Catalog

Data Catalog fournit et accepte les fonctionnalités suivantes :

  • Recherche et découverte centralisées : Data Catalog propose un catalogue des métadonnées des ressources Google Cloud, telles que BigQuery et Pub/Sub.
  • Ajout de tags aux ressources : Data Catalog peut créer et associer des métadonnées (tags) sur les ressources Google Cloud.

Ce document décrit les rôles IAM (Identity and Access Management) qui permettent aux utilisateurs de rechercher des ressources Google Cloud et d'y ajouter des tags à l'aide de Data Catalog.

Terminologie IAM

Permissions
Vérifiées au moment de l'exécution pour permettre à l'utilisateur d'effectuer une opération ou d'accéder à une ressource Google Cloud. Les autorisations ne sont pas directement octroyées aux utilisateurs. À la place, ils se voient octroyer des rôles qui leur accordent des autorisations.
Rôle
Un rôle est un ensemble d'autorisations prédéfini. Des rôles personnalisés constitués d'un ensemble d'autorisations prédéfini peuvent également être autorisés.

Rechercher dans les ressources Google Cloud

Avant de rechercher, découvrir ou afficher des ressources Google Cloud, Data Catalog vérifie que l'utilisateur dispose d'un rôle IAM avec les autorisations de lecture des métadonnées requises par BigQuery, Pub/Sub ou tout autre système source permettant d'accéder à la ressource.

Exemple : Data Catalog vérifie que l'utilisateur s'est vu attribuer un rôle avec bigquery.tables.get permission avant d'afficher les métadonnées de la table BigQuery.

Le tableau ci-dessous répertorie les autorisations BigQuery et Pub/Sub, et le rôle associé nécessaire pour qu'un utilisateur puisse utiliser Data Catalog pour rechercher la ressource Google Cloud répertoriée.

Ressource Permission Rôle
Ensembles de données, tables et modèles BigQuery bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
roles/bigquery.metadataViewer
Consultez également la section Rôle "Lecteur Data Catalog".
Sujets Pub/Sub pubsub.topics.get roles/pubsub.viewer
Consultez également la section Rôle "Lecteur Data Catalog".

Rôle "Lecteur Data Catalog"

Pour simplifier l'accès aux ressources Google Cloud, Data Catalog fournit le rôle Lecteur Data Catalog (roles/datacatalog.viewer) avec une autorisation de lecture des métadonnées pour toutes les ressources Google Cloud répertoriées. Ce rôle permet également d'afficher les tags et les modèles de tag de Data Catalog. À l'avenir, ce rôle pourra être étendu pour accorder des autorisations supplémentaires lorsque de nouveaux types de ressources peuvent être recherchés dans Data Catalog.

Associer des tags à des ressources Google Cloud

Data Catalog permet aux utilisateurs d'associer des tags aux métadonnées des ressources Google Cloud. Un ou plusieurs tags pouvant être associés à une ressource sont définis dans un modèle de tag. Lorsqu'un utilisateur peut utiliser le modèle de tag pour associer un tag à une ressource Google Cloud, Data Catalog vérifie que l'utilisateur dispose des autorisations nécessaires pour utiliser le modèle de tag et mettre à jour les métadonnées de la ressource. Les autorisations sont accordées via les rôles IAM, comme indiqué dans le tableau ci-dessous.

Chaque ligne répertorie uniquement les autorisations nécessaires pour ajouter des tags aux ressources. Les rôles correspondants peuvent accorder des autorisations supplémentaires. Cliquez sur chaque rôle pour afficher toutes les autorisations associées.

Resource Permissions Rôle
Ensembles de données, tables et modèles BigQuery datacatalog.tagTemplates.use ET
bigquery.datasets.updateTag
bigquery.tables.updateTag
bigquery.models.updateTag
roles/datacatalog.tagTemplateUser
roles/bigquery.dataEditor
Sujets Pub/Sub datacatalog.tagTemplates.use
pubsub.topics.updateTag
roles/datacatalog.tagTemplateUser
roles/pubsub.editor

Rôle "Créateur de modèles de tag Data Catalog"

Le rôle Créateur de modèles de tag Data Catalog permet aux utilisateurs de créer des modèles de tag.

Afficher les tags sur les ressources Google Cloud

Data Catalog permet aux utilisateurs d'afficher les tags associés aux ressources Google Cloud uniquement si l'utilisateur dispose des autorisations nécessaires sur la ressource pour afficher ses métadonnées et des autorisations nécessaires sur le modèle de tag pour consulter les tags correspondants. Les autorisations sont accordées via les rôles IAM, comme indiqué dans le tableau ci-dessous.

Chaque ligne répertorie uniquement les autorisations nécessaires pour afficher les tags, tandis que les rôles correspondants peuvent accorder des autorisations supplémentaires. Cliquez sur chaque rôle pour afficher toutes les autorisations associées.

Resource Permissions Rôle
Ensembles de données, tables et modèles BigQuery datacatalog.tagTemplates.getTag ET
bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
roles/datacatalog.tagTemplateViewer
roles/bigquery.metadataViewer
Sujets Pub/Sub datacatalog.tagTemplates.getTag
pubsub.topics.get
roles/datacatalog.tagTemplateViewer
roles/pubsub.viewer

Pour en savoir plus