IAM Data Catalog

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questo documento descrive i ruoli di Identity and Access Management (IAM) che consentono agli utenti di utilizzare Data Catalog per cercare e taggare le risorse di Google Cloud.

Terminologia IAM

Autorizzazioni
Selezionata in fase di runtime per consentire agli utenti di eseguire un'operazione o accedere a una risorsa di Google Cloud. Agli utenti non vengono concesse direttamente le autorizzazioni, ma vengono assegnati ruoli che contengono autorizzazioni.
Ruoli
Un ruolo è un insieme predefinito di autorizzazioni. Sono inoltre consentiti i ruoli personalizzati composti da una raccolta personalizzata di autorizzazioni.

Visualizza i ruoli di Data Catalog

All'interno di Google Cloud Console, esegui questi passaggi:

  1. Vai alla pagina IAM e amministrazione > Ruoli.

    Vai a Ruoli

  2. Nel campo Filtro, seleziona Utilizzato in, digita Data Catalog e premi Invio.

  3. Fai clic su uno dei ruoli elencati per visualizzare le autorizzazioni del ruolo nel riquadro a destra.

    Ad esempio, il ruolo di amministratore di Data Catalog ha accesso completo a tutte le risorse di Data Catalog.

Ruoli predefiniti di Data Catalog

Alcuni ruoli predefiniti di Data Catalog includono l'amministratore di Data Catalog, il visualizzatore di Data Catalog e l'autore del modello di tag di Data Catalog. Alcuni di questi ruoli sono descritti nelle sezioni successive.

Per un elenco e una descrizione dei ruoli predefiniti di Data Catalog e delle autorizzazioni associate a ciascun ruolo, consulta Ruoli di Data Catalog.

Ruolo amministratore

Il ruolo roles/datacatalog.admin ha accesso a tutte le risorse di Data Catalog. Un amministratore di Data Catalog può aggiungere diversi tipi di utenti a un progetto Data Catalog.

Ruolo Gestore dati

Il ruolo roles/datacatalog.dataSteward consente di aggiungere, modificare o eliminare i gestori dati e la panoramica in formato RTF per una voce di dati, ad esempio una tabella BigQuery.

Ruolo Visualizzatore

Per semplificare l'accesso alle risorse Google Cloud, Data Catalog fornisce al ruolo roles/datacatalog.viewer l'autorizzazione di lettura dei metadati per tutte le risorse Google Cloud catalogate.

Questo ruolo concede anche le autorizzazioni per visualizzare i modelli di tag e i tag di Data Catalog.

Concedi il ruolo di visualizzatore Data Catalog sul tuo progetto per consentire agli utenti di visualizzare le risorse Google Cloud in Data Catalog.

Ruolo creatore modello di tag

Il ruolo roles/datacatalog.tagTemplateCreator consente agli utenti di creare modelli di tag.

Ruoli per visualizzare tag pubblici e privati

Puoi cercare i tag pubblici utilizzando la ricerca semplice. Puoi visualizzare una voce di dati, compresi i suoi tag pubblici, a condizione che tu disponga delle autorizzazioni necessarie per visualizzare la voce. Non sono richieste autorizzazioni aggiuntive sul modello di tag. Per le autorizzazioni necessarie per visualizzare la voce di dati, consulta la tabella in questa sezione.

Tuttavia, ti consigliamo di concedere anche l'autorizzazione datacatalog.tagTemplates.get agli utenti che potrebbero cercare questi tag pubblici. Questa autorizzazione consente agli utenti di utilizzare anche il predicato di ricerca tag: o di utilizzare il facet di ricerca del modello di tag nella pagina di ricerca di Data Catalog.

Per i tag privati, devi disporre delle autorizzazioni di visualizzazione sia sul modello di tag sia sulla voce di dati per cercare il tag e visualizzarlo nella pagina dei dettagli della voce. Per trovare i tag, gli utenti devono utilizzare il predicato di ricerca tag: o il facet di ricerca modello di tag; la semplice ricerca dei tag privati non è supportata.

L'autorizzazione di visualizzazione richiesta per il modello di tag privato è datacatalog.tagTemplates.getTag.

Le autorizzazioni di visualizzazione per la voce di dati relativa ai tag pubblici e privati sono incluse nella seguente tabella:

Risorsa Autorizzazione Ruolo
Set di dati, tabelle, routine, connessioni e dati BigQuery bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/datacatalog.tagTemplateViewer
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
Argomenti Pub/Sub pubsub.topics.get roles/datacatalog.tagTemplateViewer
roles/pubsub.viewer
(Anteprima pubblica) Servizi, database e tabelle Dataproc Metastore metastore.tables.get
metastore.databases.get
metastore.services.get
Nessun ruolo predefinito disponibile.
Voci personalizzate datacatalog.entries.get Nessun ruolo predefinito disponibile.

Ruoli per la ricerca nelle risorse Google Cloud

Prima di cercare, individuare o visualizzare le risorse Google Cloud, Data Catalog controlla che all'utente sia stato concesso un ruolo IAM con le autorizzazioni di lettura dei metadati richieste da BigQuery, Pub/Sub, Dataproc Metastore o altro sistema di origine per accedere alla risorsa.

Esempio: Data Catalog controlla che all'utente sia stato concesso un ruolo con bigquery.tables.get permission prima di visualizzare i metadati della tabella BigQuery.

La tabella seguente elenca le autorizzazioni e i ruoli associati necessari a un utente per utilizzare Data Catalog per eseguire ricerche nelle risorse Google Cloud elencate.

Risorsa Autorizzazione Ruolo
Set di dati, tabelle, routine, connessioni e dati BigQuery bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
Vedi anche il ruolo Visualizzatore Data Catalog
Argomenti Pub/Sub pubsub.topics.get roles/pubsub.viewer
Vedi anche il ruolo Visualizzatore Data Catalog
Lake, zone, tabelle e set di file Dataplex dataplex.lakes.get
dataplex.zones.get
dataplex.entities.get
dataplex.entities.get
Nessun ruolo predefinito disponibile.
(Anteprima pubblica) Servizi, database e tabelle Dataproc Metastore metastore.tables.get
metastore.databases.get
metastore.services.get
Nessun ruolo predefinito disponibile.

Ruoli per collegare i tag alle risorse Google Cloud

Per collegare tag pubblici e privati alle risorse Google Cloud, sono necessarie le stesse autorizzazioni.

Data Catalog consente agli utenti di estendere i metadati sulle risorse Google Cloud collegando tag. Uno o più tag che possono essere associati a una risorsa sono definiti in un modello di tag.

Quando un utente tenta di utilizzare il modello di tag per collegare un tag a una risorsa di Google Cloud, Data Catalog verifica che l'utente disponga delle autorizzazioni necessarie per utilizzare il modello di tag e aggiornare i metadati della risorsa. Le autorizzazioni vengono concesse tramite i ruoli IAM, come illustrato nella tabella seguente.

La tabella seguente elenca le autorizzazioni e i ruoli associati necessari a un utente per utilizzare Data Catalog per collegare i tag pubblici e privati alle risorse Google Cloud elencate.

Ogni riga della tabella seguente elenca solo le autorizzazioni necessarie per taggare le risorse. I ruoli corrispondenti potrebbero concedere autorizzazioni aggiuntive. Fai clic su ciascun ruolo per visualizzare tutte le autorizzazioni associate.

Il proprietario di una voce di dati ha l'autorizzazione datacatalog.entries.updateTag per impostazione predefinita. A tutti gli altri utenti deve essere concesso il ruolo datacatalog.tagEditor.

Risorsa Autorizzazioni Ruolo
Set di dati, tabelle, routine, connessioni e dati BigQuery datacatalog.tagTemplates.use
E
bigquery.datasets.updateTag
bigquery.tables.updateTag
bigquery.models.updateTag
bigquery.routines.updateTag
bigquery.connections.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/bigquery.dataEditor
Argomenti Pub/Sub datacatalog.tagTemplates.use
pubsub.topics.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/pubsub.editor
Lake, zone, tabelle e set di file Dataplex datacatalog.tagTemplates.use
dataplex.lakes.update
dataplex.zones.update
dataplex.entities.update
dataplex.entities.update
Nessun ruolo predefinito disponibile.
(Anteprima pubblica) Servizi, database e tabelle Dataproc Metastore datacatalog.tagTemplates.use
metastore.tables.update
metastore.databases.update
metastore.services.update
Nessun ruolo predefinito disponibile.

Ruoli personalizzati per le risorse Google Cloud

I ruoli di editor predefiniti per le voci di dati provenienti da altri sistemi Google Cloud potrebbero fornire un accesso di scrittura più ampio del necessario. Utilizza i ruoli personalizzati per specificare le autorizzazioni *.updateTag solo per una risorsa Google Cloud.

Ruoli per modificare la panoramica RTF e gli amministratori dati in Data Catalog

Gli utenti devono avere i ruoli seguenti per allegare la panoramica del testo RTF e assegnare i gestori dei dati alle voci in Data Catalog:

Risorsa Autorizzazioni Ruolo
Progetti GCP datacatalog.entries.updateOverview
datacatalog.entries.updateContacts
roles/datacatalog.dataSteward

Per ulteriori informazioni