Questo documento descrive i ruoli IAM (Identity and Access Management) che ti consentono di utilizzare Data Catalog per cercare e taggare le risorse Google Cloud.
Terminologia IAM
- Autorizzazioni
- Verificato in fase di esecuzione per consentirti di eseguire un'operazione o accedere a una risorsa Google Cloud. Non ti vengono concesse autorizzazioni direttamente, ma ti vengono assegnati ruoli che contengono autorizzazioni.
- Ruoli
- Un ruolo è una raccolta predefinita di autorizzazioni. Ruoli personalizzati costituiti di autorizzazioni di un insieme personalizzato.
Visualizza i ruoli di Data Catalog
Nella console Google Cloud, svolgi i seguenti passaggi:
Vai alla pagina IAM e amministrazione > Ruoli.
Nel campo Filtro, seleziona Utilizzato in, digita
Data CatalogoData Lineagee fai clic su Invio.Fai clic su un ruolo per visualizzarne le autorizzazioni nel riquadro a destra.
Ad esempio, il ruolo Amministratore Data Catalog ha accesso completo a tutti Risorse di Data Catalog.
Ruoli predefiniti di Data Catalog
Alcuni ruoli predefiniti di Data Catalog includono Data Catalog Amministratore, Visualizzatore Data Catalog e Creatore TagTemplate Data Catalog. Alcuni di questi ruoli sono descritti nelle sezioni successive.
Per un elenco e una descrizione dei ruoli predefiniti di Data Catalog e delle autorizzazioni associate a ciascun ruolo, consulta Ruoli di Data Catalog.
Ruolo Amministratore Data Catalog
Il ruolo roles/datacatalog.admin ha accesso a tutti
Risorse di Data Catalog. Un amministratore di Data Catalog può
aggiungere diversi tipi di utenti a un progetto Data Catalog.
Ruolo Gestore dati di Data Catalog
Il ruolo roles/datacatalog.dataSteward ti consente di aggiungere, modificare o eliminare i responsabili dei dati e la panoramica del testo avanzato per una voce di dati, ad esempio una tabella BigQuery.
Ruolo Visualizzatore Data Catalog
Per semplificare l'accesso alle risorse Google Cloud, Data Catalog fornisce al ruolo roles/datacatalog.viewer l'autorizzazione di lettura dei metadati per tutte le risorse Google Cloud catalogate.
Questo ruolo concede anche le autorizzazioni per visualizzare i modelli e i tag di Data Catalog.
Concedi il ruolo di Visualizzatore Data Catalog sul tuo progetto per visualizzare Google Cloud in Data Catalog.
Ruolo Data Catalog TagTemplate Creator
Il ruolo roles/datacatalog.tagTemplateCreator ti consente di creare modelli di tag.
Ruolo Amministratore ricerca in Data Catalog
Il ruolo roles/datacatalog.searchAdmin ti consente di recuperare, tramite la ricerca,
a tutte le risorse Google Cloud catalogate all'interno di un progetto o di un'organizzazione.
Ruolo Data Catalog Migration Config Admin
Il ruolo roles/datacatalog.migrationConfigAdmin ti consente di impostare e recuperare la configurazione relativa alla migrazione delle risorse da Data Catalog a Dataplex Catalog.
Ruoli predefiniti per la derivazione dei dati
Per accedere alla derivazione per qualsiasi voce di Data Catalog, devi
alla voce in Data Catalog. Per accedere alla voce del Catalogo di dati, devi disporre del ruolo Visualizzatore nella corrispondente risorsa di sistema o del ruolo Visualizzatore del Catalogo di dati (roles/datacatalog.viewer) nel progetto che memorizza la voce del Catalogo di dati. Questa sezione descrive i ruoli necessari per visualizzare la sequenza.
Ruolo Visualizzatore derivazione
Il visualizzatore Data Lineage
Il ruolo (roles/datalineage.viewer) ti consente di visualizzare Dataplex
la derivazione nella console Google Cloud e leggere le informazioni di derivazione utilizzando
l'API Data Lineage. Le esecuzioni e gli eventi di un determinato processo sono tutti archiviati nello stesso progetto del processo. Nel caso della genealogia automatica,
la procedura, le esecuzioni e gli eventi
vengono archiviati nel progetto in cui è stato eseguito il job che ha generato la genealogia. Potrebbe essere, ad esempio, il progetto in cui è stato eseguito
in esecuzione.
Devi avere ruoli diversi per visualizzare la derivazione tra le risorse e per visualizzare i metadati
delle risorse. Nel primo caso, hai bisogno del Visualizzatore della derivazione dei dati (roles/datalineage.viewer).
Il secondo, richiede gli stessi ruoli utilizzati per accedere alle voci di metadati.
in Data Catalog. Le due sottosezioni seguenti forniscono ulteriori
dettaglio.
Ruoli per visualizzare la derivazione tra due risorse
Per visualizzare la derivazione tra gli asset, devi disporre del ruolo Visualizzatore della derivazione dei dati (roles/datalineage.viewer)
per i seguenti progetti:
- Il progetto in cui stai visualizzando la derivazione (noto come progetto attivo), cioè il progetto nel menu a discesa nella parte superiore della console Google Cloud oppure il progetto da cui vengono effettuate le chiamate API. Normalmente si tratta Progetto di risorsa di Data Catalog.
- I progetti in cui viene registrato il lignaggio (noti come progetti di calcolo). La derivazione è archiviata nel progetto in cui era eseguito, come descritto sopra. Questo progetto può essere diverso dal progetto che archivia l'asset per cui stai visualizzando la derivazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso. Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
A seconda del caso d'uso, concedi il Visualizzatore della derivazione dei dati (roles/datalineage.viewer)
a livello di cartella o organizzazione per garantire l'accesso alla derivazione (vedi Concedere o revocare un singolo ruolo).
I ruoli richiesti per la struttura dei dati possono essere concessi solo tramite
Google Cloud CLI.
Ruoli per visualizzare i metadati delle risorse quando si visualizza la cronologia
Quando i metadati di un asset sono archiviati in Data Catalog, puoi visualizzarli solo se disponi del ruolo Visualizzatore per la risorsa di sistema corrispondente o del ruolo Visualizzatore di Data Catalog (roles/datacatalog.viewer) nel progetto in cui è archiviata la voce di Data Catalog. Potresti avere accesso agli asset nell'elenco o nel grafico della struttura gerarchica tramite i ruoli di visualizzatore appropriati, ma non avere accesso alla struttura gerarchica tra di loro. Questo accade quando non disponi del ruolo Visualizzatore della struttura di dati (roles/datalineage.viewer) nel progetto in cui è stata registrata la struttura. In questo caso,
L'API Data Lineage e la console Google Cloud non mostrano la derivazione
non restituisca un errore, per evitare la divulgazione di informazioni sull'esistenza di
la derivazione. Pertanto, l'assenza di una derivazione per una risorsa non significa che ci sia
nessuna derivazione per l'asset, ma potresti non avere accesso a quella derivazione.
Ruolo Data Lineage Events Producer
Il ruolo roles/datalineage.producer consente agli utenti di registrare manualmente le informazioni sulla sequenza utilizzando l'API Data Lineage.
Ruolo Data Lineage Editor
Il ruolo roles/datalineage.editor consente agli utenti di modificare manualmente la derivazione
utilizzando l'API Data Lineage.
Ruolo Data Lineage Administrator
Il ruolo roles/datalineage.admin consente agli utenti di eseguire tutte le operazioni di derivazione
elencati in questa sezione.
Ruoli per visualizzare i tag pubblici e privati
Puoi cercare tag pubblici mediante una semplice ricerca. Puoi visualizzare una voce di dati, inclusi i relativi tag pubblici, a condizione di disporre delle autorizzazioni necessarie per visualizzarla. Non sono richieste autorizzazioni aggiuntive per il modello di tag. Per autorizzazioni necessarie per visualizzare la voce di dati, consultare la tabella in questa sezione.
Tuttavia, consigliamo di concedere l'autorizzazione datacatalog.tagTemplates.get anche agli utenti che dovrebbero cercare questi tag pubblici. Questa permission consente agli utenti di utilizzare anche il predicato di ricerca tag: o di utilizzare il facet di ricerca dei modelli di tag nella pagina di ricerca di Data Catalog.
Per i tag privati, devi disporre delle autorizzazioni di visualizzazione sia sul modello di tag che sulla dati per cercare il tag e visualizzarlo nella pagina dei dettagli della voce. Gli utenti devono utilizzare il predicato di ricerca tag: o la frazione di ricerca del modello di tag per trovare i tag. La ricerca semplice dei tag privati non è supportata.
Note:
L'autorizzazione di visualizzazione necessaria per il modello di tag privato è
datacatalog.tagTemplates.getTag.Le autorizzazioni di visualizzazione per la voce di dati per i tag pubblici e privati è incluso nella tabella seguente.
| Risorsa | Autorizzazione | Ruolo |
|---|---|---|
| Set di dati, tabelle, modelli, routine e connessioni BigQuery | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/datacatalog.tagTemplateViewerroles/bigquery.metadataViewerroles/bigquery.connectionUser |
| Argomenti Pub/Sub | pubsub.topics.get |
roles/datacatalog.tagTemplateViewerroles/pubsub.viewer |
| Istanze, database, tabelle e visualizzazioni Spanner | Instance: spanner.instances.getDatabase:spanner.databases.getTable: spanner.databases.getViews: spanner.databases.getdatacatalog.tagTemplates.getTag |
Non sono disponibili ruoli predefiniti. |
| Istanze e tabelle Bigtable | bigtable.instances.getbigtable.tables.getdatacatalog.tagTemplates.getTag |
roles/datacatalog.tagTemplateViewerroles/bigtable.viewer |
| Servizi, database e tabelle Dataproc Metastore | metastore.tables.getmetastore.databases.getmetastore.services.get |
roles/datacatalog.tagTemplateViewerroles/metastore.metadataViewer |
| Voci personalizzate | datacatalog.entries.get |
Nessun ruolo predefinito disponibile. |
Ruoli per eseguire ricerche nelle risorse Google Cloud
Prima di cercare, scoprire o visualizzare le risorse Google Cloud, Data Catalog controlla che ti sia stato concesso un ruolo IAM con le autorizzazioni di lettura dei metadati richieste da BigQuery, Pub/Sub, Dataproc Metastore o da un altro sistema di origine per accedere alla risorsa.
Esempio: controlli di Data Catalog che ti sono stati concessi
un ruolo con bigquery.tables.get permission prima di visualizzare
Metadati delle tabelle BigQuery.
La tabella seguente elenca le autorizzazioni e i ruoli associati necessari per: utilizzare Data Catalog per cercare in Google Cloud elencato Google Cloud.
| Risorsa | Autorizzazione | Ruolo |
|---|---|---|
| Set di dati, tabelle, modelli, routine e connessioni BigQuery | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/bigquery.metadataViewerroles/bigquery.connectionUserVedi anche il ruolo Visualizzatore Data Catalog |
| Argomenti Pub/Sub | pubsub.topics.get |
roles/pubsub.viewerConsulta anche il ruolo Visualizzatore di Data Catalog |
| Database e tabelle Spanner | Istanza: spanner.instances.getDatabase: spanner.databases.getVisualizzazioni: spanner.databases.get |
Nessun ruolo predefinito disponibile. |
| Istanze e tabelle Bigtable | bigtable.instances.getbigtable.tables.get |
roles/bigtable.viewerConsulta anche il ruolo Visualizzatore di Data Catalog |
| Lake, zone, tabelle e set di file Dataplex | dataplex.lakes.getdataplex.zones.get dataplex.entities.getdataplex.entities.get |
Nessun ruolo predefinito disponibile. |
| Servizi, database e tabelle di Dataproc Metastore | metastore.tables.getmetastore.databases.get metastore.services.get |
roles/metastore.metadataViewer |
Ruoli per associare tag alle risorse Google Cloud
Per allegare tag pubblici e privati alle risorse Google Cloud sono necessarie le stesse autorizzazioni.
Data Catalog consente agli utenti di estendere i metadati sulle risorse Google Cloud collegando tag. Uno o più tag che possono essere associati a una risorsa sono definiti in un modello di tag.
Quando un utente tenta di utilizzare il modello di tag per collegare un tag a un risorsa Google Cloud, Data Catalog controlla le autorizzazioni necessarie per utilizzare il modello di tag e aggiornare la risorsa metadati. Le autorizzazioni vengono concesse tramite i ruoli IAM, come mostrato nella tabella seguente.
La tabella seguente elenca le autorizzazioni e i ruoli associati necessari per consentire a un utente di utilizzare Data Catalog per associare tag pubblici e privati alle risorse Google Cloud elencate.
Ogni riga della tabella seguente elenca le autorizzazioni necessarie per taggare le risorse. I ruoli corrispondenti possono concedere autorizzazioni aggiuntive. Fai clic su ogni ruolo per visualizzare tutte le autorizzazioni associate.
Note:
Il proprietario di una voce di dati dispone dell'autorizzazione
datacatalog.entries.updateTagper impostazione predefinita. A tutti gli altri utenti deve essere concesso l'uso di datacatalog.tagEditor. ruolo.L'autorizzazione
datacatalog.tagTemplates.useè obbligatoria anche per tutti risorse elencate nella tabella.
| Risorsa | Autorizzazioni | Ruolo |
|---|---|---|
| Set di dati, tabelle, modelli, routine e connessioni BigQuery |
bigquery.datasets.updateTagbigquery.tables.updateTagbigquery.models.updateTagbigquery.routines.updateTagbigquery.connections.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigquery.dataEditor |
| Argomenti Pub/Sub | pubsub.topics.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/pubsub.editor |
| database e tabelle Spanner. | Istanza: spanner.instances.UpdateTagDatabase: spanner.databases.UpdateTagTabella: spanner.databases.UpdateTagVisualizzazioni: spanner.databases.UpdateTag |
Nessun ruolo predefinito disponibile. |
| Istanze e tabelle Bigtable | bigtable.instances.updatebigtable.tables.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigtable.admin |
| Lake, zone, tabelle e set di file Dataplex | dataplex.lakes.updatedataplex.zones.update dataplex.entities.updatedataplex.entities.update |
Nessun ruolo predefinito disponibile. |
| Servizi, database e tabelle di Dataproc Metastore | metastore.tables.updatemetastore.databases.update metastore.services.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/metastore.editorroles/metastore.metadataEditor |
Ruoli personalizzati per le risorse Google Cloud
Ruoli editor predefiniti per voci di dati di altri sistemi Google Cloud
potrebbe fornire un accesso in scrittura più ampio di quello richiesto. Utilizza
ruoli personalizzati per specificare
le autorizzazioni*.updateTag solo per una risorsa Google Cloud.
Ruoli per modificare la panoramica rich text e i gestori dati in Data Catalog
Gli utenti devono disporre dei seguenti ruoli per allegare la panoramica rich text e assegnare i dati alle voci in Data Catalog:
| Risorsa | Autorizzazioni | Ruolo |
|---|---|---|
| Progetti Google Cloud | datacatalog.entries.updateOverview datacatalog.entries.updateContacts |
roles/datacatalog.dataSteward |
Ruoli per modificare la configurazione della migrazione in Data Catalog
Gli utenti devono disporre dei seguenti ruoli per impostare e recuperare la configurazione relativa migrazione da Data Catalog a Dataplex:
| Risorsa | Autorizzazioni | Ruolo |
|---|---|---|
| Progetti e organizzazioni Google Cloud | datacatalog.migrationConfig.set datacatalog.migrationConfig.get |
roles/datacatalog.migrationConfigAdmin |
Federazione delle identità in Data Catalog
La federazione delle identità consente di utilizzare un provider di identità (IdP) esterno per di autenticare e autorizzare gli utenti ai servizi Google Cloud con o IAM.
Data Catalog supporta la federazione delle identità con i seguenti limiti:
- API Data Catalog SearchCatalog e StarEntry supportano solo la Federazione delle identità per la forza lavoro e non sono disponibili per la federazione delle identità per i carichi di lavoro
- Dataplex non supporta la console Google Cloud per gli utenti della federazione delle identità
Per ulteriori informazioni
- Ruoli Dataplex
- Ruoli di Data Catalog
- Controllo dell'accesso a BigQuery
- Controllo accesso Pub/Sub
- Controllo dell'accesso a Dataproc Metastore