Questo documento descrive i ruoli di Identity and Access Management (IAM) che consentono agli utenti di utilizzare Data Catalog per cercare e taggare le risorse Google Cloud.
Terminologia IAM
- Autorizzazioni
- Selezionata in fase di runtime per consentire agli utenti di eseguire un'operazione o accedere a una risorsa Google Cloud. Agli utenti non vengono concesse le autorizzazioni direttamente, ma vengono concessi ruoli che contengono autorizzazioni.
- Ruoli
- Un ruolo è una raccolta predefinita di autorizzazioni. Sono consentiti anche ruoli personalizzati costituiti da una raccolta personalizzata di autorizzazioni.
Visualizza ruoli di Data Catalog
All'interno della console Google Cloud, segui questi passaggi:
Vai alla pagina IAM e amministrazione > Ruoli.
Nel campo Filtro, seleziona Utilizzato in, digita
Data Catalog
oData Lineage
e fai clic su Invio.Fai clic su un ruolo per visualizzare le relative autorizzazioni nel riquadro a destra.
Ad esempio, il ruolo Amministratore Data Catalog ha accesso completo a tutte le risorse di Data Catalog.
Ruoli di Data Catalog predefiniti
Alcuni ruoli predefiniti di Data Catalog includono Amministratore Data Catalog, Visualizzatore Data Catalog e Creatore TagTemplate di Data Catalog. Alcuni di questi ruoli sono descritti nelle sezioni successive.
Per un elenco e una descrizione dei ruoli predefiniti di Data Catalog e delle autorizzazioni associate a ciascun ruolo, consulta Ruoli di Data Catalog.
Ruolo Amministratore Data Catalog
Il ruolo roles/datacatalog.admin
ha accesso a tutte le
risorse di Data Catalog. Un amministratore di Data Catalog può
aggiungere diversi tipi di utenti a un progetto Data Catalog.
Ruolo Gestore dati DataCatalog
Il ruolo roles/datacatalog.dataSteward
consente di aggiungere, modificare o eliminare i gestori dati e la panoramica RTF di una voce di dati, ad esempio una tabella BigQuery.
Ruolo Visualizzatore Data Catalog
Per semplificare l'accesso alle risorse Google Cloud, Data Catalog fornisce il ruolo roles/datacatalog.viewer
con autorizzazione di lettura dei metadati per tutte le risorse Google Cloud catalogate.
Questo ruolo concede anche le autorizzazioni per visualizzare i modelli di tag e i tag di Data Catalog.
Concedi il ruolo Visualizzatore Data Catalog nel progetto per consentire agli utenti di visualizzare le risorse Google Cloud in Data Catalog.
Ruolo Creatore TagTemplate Data Catalog
Il ruolo roles/datacatalog.tagTemplateCreator
consente agli utenti di creare modelli di tag.
Ruolo Amministratore ricerca DataCatalog
Il ruolo roles/datacatalog.searchAdmin
consente agli utenti di recuperare, mediante la ricerca, tutte le risorse Google Cloud catalogate all'interno di un progetto o di un'organizzazione.
Ruoli di derivazione dei dati predefiniti
Per accedere al grafico di derivazione di qualsiasi voce di Data Catalog, l'utente deve poter accedere alla voce in Data Catalog. Per accedere alla
voce di Data Catalog, l'utente deve avere un ruolo visualizzatore per la
risorsa di sistema o
Visualizzatore Data Catalog
(roles/datacatalog.viewer
) corrispondente nel progetto in cui è archiviata la
voce di Data Catalog. Questa sezione descrive i ruoli necessari
per visualizzare e manipolare il grafico di derivazione.
Ruolo Visualizzatore derivazione
Il ruolo Visualizzatore Data Lineage (roles/datalineage.viewer
) consente agli utenti di visualizzare i grafici di derivazione di Dataplex nella console Google Cloud e di leggere le informazioni di derivazione utilizzando l'API Data Lineage. Le esecuzioni e gli eventi di un determinato processo vengono tutti archiviati nello stesso progetto del processo. Nel caso di derivazione automatica,
il processo, le esecuzioni e gli eventi
vengono archiviati nel progetto in cui era in esecuzione il job che ha generato la derivazione. Potrebbe trattarsi, ad esempio, del progetto in cui era in esecuzione un job BigQuery.
Sono necessari ruoli diversi per visualizzare la derivazione tra gli asset nel grafico e i metadati degli asset sul grafico. Per il primo è necessario Data Lineage Viewer (roles/datalineage.viewer
). Per il secondo, sono necessari gli stessi ruoli utilizzati per accedere alle voci dei metadati in Data Catalog. Le due sottosezioni seguenti forniscono ulteriori dettagli.
Ruoli per visualizzare la derivazione tra due asset
Per visualizzare la derivazione tra gli asset nel grafico di derivazione, l'utente deve disporre del Visualizzatore della derivazione dei dati (roles/datalineage.viewer
) nei seguenti progetti:
- Il progetto da cui l'utente sta visualizzando la derivazione (noto come progetto attivo), ovvero il progetto nel menu a discesa nella parte superiore della console Google Cloud o il progetto da cui vengono effettuate le chiamate API. In genere si tratta del progetto di risorsa Data Catalog.
- I progetti in cui è registrata la derivazione (noti come progetto di calcolo). La derivazione viene archiviata nel progetto in cui è stato eseguito il processo corrispondente, come descritto sopra. Questo progetto può essere diverso da quello in cui è archiviato l'asset di cui l'utente sta visualizzando la derivazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso. Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
A seconda del caso d'uso,puoi concedere l'opzione Visualizzatore derivazione dati (roles/datalineage.viewer
) a livello di cartella o organizzazione per assicurarti che a un utente sia garantito l'accesso al grafico di derivazione completo (vedi Concedere o revocare un singolo ruolo). I ruoli richiesti per la derivazione dei dati possono essere concessi solo tramite Google Cloud CLI.
Ruoli per visualizzare i metadati degli asset nel grafico della derivazione
Quando i metadati su una risorsa nel grafico vengono archiviati in Data Catalog, l'utente può visualizzarli solo se dispone di un ruolo di visualizzatore per la risorsa di sistema o il Visualizzatore Data Catalog (roles/datacatalog.viewer
) corrispondente nel progetto in cui è archiviata la voce di Data Catalog.
L'accesso ai metadati delle risorse sul grafico è indipendente dall'accesso alla derivazione. È possibile che l'utente abbia accesso agli asset sul grafico tramite ruoli di visualizzatore appropriati, ma non possa accedere alla derivazione tra i vari ruoli. Questo è il caso in cui l'utente non dispone di Visualizzatore derivazione dati (roles/datalineage.viewer
) per il progetto in cui è stata registrata la derivazione. In questo caso, l'API e la UI di Data Lineage non mostreranno la derivazione e non restituiranno alcun errore, per evitare la perdita di informazioni sull'esistenza della derivazione. Pertanto, l'assenza di una derivazione per una risorsa non significa che non esista una derivazione per quella risorsa. L'utente potrebbe non avere accesso a questa derivazione.
Ruolo Producer eventi di Data Lineage
Il ruolo roles/datalineage.producer
consente agli utenti di registrare manualmente le informazioni
di derivazione utilizzando l'API di derivazione dei dati.
Ruolo Editor Data Lineage
Il ruolo roles/datalineage.editor
consente agli utenti di modificare manualmente le informazioni
di derivazione utilizzando l'API di derivazione dei dati.
Ruolo Amministratore di Data Lineage
Il ruolo roles/datalineage.admin
consente agli utenti di eseguire tutte le operazioni di derivazione elencate in questa sezione.
Ruoli per visualizzare tag pubblici e privati
Puoi cercare tag pubblici con una semplice ricerca. Puoi visualizzare una voce di dati, compresi i relativi tag pubblici, a condizione di disporre delle autorizzazioni necessarie per visualizzarla. Non sono necessarie autorizzazioni aggiuntive per il modello di tag. Per le autorizzazioni necessarie per visualizzare i dati inseriti, consulta la tabella in questa sezione.
Tuttavia, ti consigliamo di concedere anche l'autorizzazione datacatalog.tagTemplates.get
agli utenti che devono cercare questi tag pubblici. Questa autorizzazione consente agli utenti di utilizzare anche il predicato di ricerca tag: o il facet di ricerca del modello di tag nella pagina di ricerca di Data Catalog.
Per i tag privati, devi disporre delle autorizzazioni di visualizzazione sia per il modello di tag sia per la voce di dati per cercare il tag e per visualizzarlo nella pagina dei dettagli della voce. Per trovare i tag, gli utenti devono utilizzare il predicato di ricerca tag: o il facet di ricerca del modello di tag; la ricerca semplice di tag privati non è supportata.
Note:
L'autorizzazione di visualizzazione necessaria per il modello di tag privato è
datacatalog.tagTemplates.getTag
.Le autorizzazioni di visualizzazione per la voce di dati per tag pubblici e privati sono incluse nella seguente tabella.
Risorsa | Autorizzazione | Ruolo |
---|---|---|
Set di dati, tabelle, modelli, routine e connessioni BigQuery | bigquery.datasets.get bigquery.tables.get bigquery.models.getMetadata bigquery.routines.get bigquery.connections.get |
roles/datacatalog.tagTemplateViewer roles/bigquery.metadataViewer roles/bigquery.connectionUser |
argomenti Pub/Sub | pubsub.topics.get |
roles/datacatalog.tagTemplateViewer roles/pubsub.viewer |
Istanze, database, tabelle e viste Spanner | Instance: spanner.instances.get Database:spanner.databases.get Table: spanner.databases.get Views: spanner.databases.get datacatalog.tagTemplates.getTag |
Nessun ruolo predefinito disponibile. |
Istanze e tabelle Bigtable | bigtable.instances.get bigtable.tables.get datacatalog.tagTemplates.getTag |
roles/datacatalog.tagTemplateViewer roles/bigtable.viewer |
Servizi, database e tabelle di Dataproc Metastore | metastore.tables.get metastore.databases.get metastore.services.get |
roles/datacatalog.tagTemplateViewer roles/metastore.metadataViewer |
Voci personalizzate | datacatalog.entries.get |
Nessun ruolo predefinito disponibile. |
Ruoli per la ricerca nelle risorse Google Cloud
Prima di cercare, individuare o visualizzare le risorse Google Cloud, Data Catalog verifica che all'utente sia stato concesso un ruolo IAM con le autorizzazioni di lettura dei metadati richieste da BigQuery, Pub/Sub, Dataproc Metastore o un altro sistema di origine per accedere alla risorsa.
Esempio: Data Catalog verifica che all'utente sia stato concesso un ruolo con bigquery.tables.get permission
prima di visualizzare i metadati della tabella BigQuery.
La seguente tabella elenca le autorizzazioni e i ruoli associati necessari a un utente per utilizzare Data Catalog per eseguire ricerche nelle risorse Google Cloud elencate.
Risorsa | Autorizzazione | Ruolo |
---|---|---|
Set di dati, tabelle, modelli, routine e connessioni BigQuery | bigquery.datasets.get bigquery.tables.get bigquery.models.getMetadata bigquery.routines.get bigquery.connections.get |
roles/bigquery.metadataViewer roles/bigquery.connectionUser Vedi anche ruolo Visualizzatore Data Catalog |
argomenti Pub/Sub | pubsub.topics.get |
roles/pubsub.viewer Vedi anche Ruolo Visualizzatore Data Catalog |
Database e tabelle Spanner | Istanza: spanner.instances.get Database: spanner.databases.get Visualizzazioni: spanner.databases.get |
Nessun ruolo predefinito disponibile. |
Istanze e tabelle Bigtable | bigtable.instances.get bigtable.tables.get |
roles/bigtable.viewer Vedi anche Ruolo Visualizzatore Data Catalog |
Laghi, zone, tabelle e set di file Dataplex | dataplex.lakes.get dataplex.zones.get dataplex.entities.get dataplex.entities.get |
Nessun ruolo predefinito disponibile. |
Servizi, database e tabelle di Dataproc Metastore | metastore.tables.get metastore.databases.get metastore.services.get |
roles/metastore.metadataViewer |
Ruoli per collegare tag alle risorse Google Cloud
Per collegare tag pubblici e privati alle risorse Google Cloud sono necessarie le stesse autorizzazioni.
Data Catalog consente agli utenti di estendere i metadati sulle risorse Google Cloud collegando dei tag. Uno o più tag che possono essere associati a una risorsa sono definiti in un modello di tag.
Quando un utente tenta di utilizzare il modello di tag per collegare un tag a una risorsa Google Cloud, Data Catalog verifica che l'utente disponga delle autorizzazioni necessarie per utilizzare il modello di tag e aggiornare i metadati della risorsa. Le autorizzazioni vengono concesse tramite i ruoli IAM, come mostrato nella tabella seguente.
La seguente tabella elenca le autorizzazioni e i ruoli associati necessari a un utente per utilizzare Data Catalog per collegare tag pubblici e privati alle risorse Google Cloud elencate.
Ogni riga nella tabella seguente elenca le autorizzazioni necessarie per taggare le risorse. I ruoli corrispondenti possono concedere autorizzazioni aggiuntive. Fai clic su ciascun ruolo per visualizzare tutte le autorizzazioni associate.
Note:
Il proprietario di una voce di dati ha l'autorizzazione
datacatalog.entries.updateTag
per impostazione predefinita. A tutti gli altri utenti deve essere concesso il ruolo datacatalog.tagEditor.L'autorizzazione
datacatalog.tagTemplates.use
è necessaria anche per tutte le risorse elencate nella tabella.
Risorsa | Autorizzazioni | Ruolo |
---|---|---|
Set di dati, tabelle, modelli, routine e connessioni BigQuery |
bigquery.datasets.updateTag bigquery.tables.updateTag bigquery.models.updateTag bigquery.routines.updateTag bigquery.connections.updateTag |
roles/datacatalog.tagTemplateUser roles/datacatalog.tagEditor roles/bigquery.dataEditor |
argomenti Pub/Sub | pubsub.topics.updateTag |
roles/datacatalog.tagTemplateUser roles/datacatalog.tagEditor roles/pubsub.editor |
Database e tabelle Spanner. | Istanza: spanner.instances.UpdateTag Database: spanner.databases.UpdateTag Tabella: spanner.databases.UpdateTag Visualizzazioni: spanner.databases.UpdateTag |
Nessun ruolo predefinito disponibile. |
Istanze e tabelle Bigtable | bigtable.instances.update bigtable.tables.update |
roles/datacatalog.tagTemplateUser roles/datacatalog.tagEditor roles/bigtable.admin |
Laghi, zone, tabelle e set di file Dataplex | dataplex.lakes.update dataplex.zones.update dataplex.entities.update dataplex.entities.update |
Nessun ruolo predefinito disponibile. |
Servizi, database e tabelle di Dataproc Metastore | metastore.tables.update metastore.databases.update metastore.services.update |
roles/datacatalog.tagTemplateUser roles/datacatalog.tagEditor roles/metastore.editor roles/metastore.metadataEditor |
Ruoli personalizzati per le risorse Google Cloud
I ruoli di editor predefinito per le voci di dati di altri sistemi Google Cloud potrebbero fornire un accesso in scrittura più ampio del necessario. Utilizza i ruoli personalizzati per specificare le autorizzazioni *.updateTag
solo per una risorsa Google Cloud.
Ruoli per modificare la panoramica RTF e i gestori dati in Data Catalog
Gli utenti devono disporre dei seguenti ruoli per collegare una panoramica RTF e assegnare gestori dati alle voci di Data Catalog:
Risorsa | Autorizzazioni | Ruolo |
---|---|---|
Progetti Google Cloud | datacatalog.entries.updateOverview datacatalog.entries.updateContacts |
roles/datacatalog.dataSteward |
Federazione delle identità in Data Catalog
La federazione delle identità consente di utilizzare un provider di identità (IdP) esterno per autenticare e autorizzare gli utenti ai servizi Google Cloud con IAM.
Data Catalog supporta la federazione delle identità con le seguenti limitazioni:
- I metodi SearchCatalog e StarEntry dell'API Data Catalog supportano solo la Federazione delle identità per la forza lavoro e non sono disponibili per la Federazione delle identità per i carichi di lavoro
- Dataplex non supporta la console Google Cloud per gli utenti della federazione delle identità
Per maggiori informazioni
- Ruoli Dataplex
- Ruoli di Data Catalog
- Controllo dell'accesso a BigQuery
- Controllo dell'accesso Pub/Sub
- Controllo dell'accesso a Dataproc Metastore