Dataplex Attribute Store verwenden

In diesem Dokument wird die Verwendung des Dataplex-Attributspeichers beschrieben.

Der Dataplex Attribute Store ist eine erweiterbare Infrastruktur, mit der Sie richtlinienbezogene Verhaltensweisen für die zugehörigen Ressourcen angeben können. Dataplex-Administratoren können mit dem Attributspeicher festlegen, wie bestimmte Daten behandelt werden sollen, indem sie Daten mit Attributen verknüpfen.

Mit dem Attributspeicher können Sie einem Objekt, z. B. einer Spalte, mehrere Attribute hinzufügen. Der Attribute Store führt das Verhalten aller Attribute zusammen, die mit einem Objekt verknüpft sind, und stellt es als einzelne Richtlinie für die zugrunde liegende Ressource dar.

Sie können Attribute für veröffentlichte Datensätze festlegen. Veröffentlichte Datasets beziehen sich auf die Datasets, die von Dataplex aus den erkannten Tabellen in einem Bucket-Asset erstellt wurden.

Die folgenden Richtlinienverhalten werden unterstützt:

  • Ressourcenspezifikationen: Gibt den Zugriff auf eine Ressource an, z. B. eine Tabelle.
  • Spaltenspezifikationen: Hier wird der Zugriff auf eine Spalte in einer BigQuery-Tabelle festgelegt.

Im Attributspeicher können Sie eine Attributhierarchie definieren, die als Taxonomie bezeichnet wird. In einer Taxonomie übernimmt ein untergeordnetes Attribut die Spezifikationen aus der Hierarchie der übergeordneten Attribute. Die Spezifikationen der übergeordneten und untergeordneten Elemente werden in einer einheitlichen Liste zusammengeführt, die an die Ressource weitergegeben wird.

Mit dem Dataplex-Attributspeicher können Sie Folgendes tun:

  • Taxonomien erstellen
  • Erstellen Sie Attribute und organisieren Sie sie in einer Hierarchie.
  • Weisen Sie Tabellen ein oder mehrere Attribute zu.
  • Weisen Sie Spalten ein oder mehrere Attribute zu.

Terminologie

In diesem Abschnitt wird die in diesem Dokument verwendete Terminologie beschrieben.

Attributtaxonomie

Eine Datentaxonomie ist eine Hierarchie von Attributen. In einer Taxonomie können die Attribute in übergeordneten Knoten die Attribute darunter (untergeordnete Attribute) übernehmen und ihren eigenen Verhaltensspezifikationen hinzufügen.

Beispiel: Wenn ein Attribut namens PII die Ressourcenspezifikation group-a@company.com und ein untergeordnetes Attribut von PII namens Social Security numbers die Ressourcenspezifikation group-b@company.com hat, werden die Ressourcenspezifikationen group-a@company.com und group-b@company.com auf die Richtlinien angewendet, mit denen das Attribut Social Security numbers verknüpft ist.

Wenn Sie ein Attribut definieren, können Sie auswählen, ob es sich um ein übergeordnetes oder untergeordnetes Attribut handelt. Wenn Sie ein untergeordnetes Attribut definieren, müssen Sie das übergeordnete Attribut angeben.

Spaltenspezifikationen

Die Verhaltensspezifikationen für Spalten. Hier werden Personen oder Gruppen angegeben, die Lesezugriff auf Spalten haben. Wenn Sie ein Attribut mit einer Spaltenspezifikation mit der Spalte einer Tabelle verknüpfen, wird dieser Spalte ein BigQuery-Richtlinien-Tag für Spalten hinzugefügt.

Ressourcenspezifikationen

Die Berechtigungen für Personen oder Gruppen zum Zugriff auf Ressourcen (Tabellen). Wenn Sie ein Attribut mit einer Ressourcenspezifikation verknüpfen, überträgt Dataplex IAM-Rollen an die angegebenen Nutzer, damit sie auf die mit dem Attribut verknüpften Tabellen zugreifen können.

Hinweise

Beschränkungen

Dataplex überträgt die Richtlinien für die Spaltenspezifikation als BigQuery-Richtlinien-Tags. In BigQuery ist nur ein Richtlinien-Tag pro Spalte zulässig. Wenn für eine Spalte bereits ein Richtlinien-Tag vorhanden ist, gibt Dataplex im Governance-Log auf dem Tab Verwalten einen Fehler aus.

Kontingente

Die folgenden Kontingente und Limits gelten für den Dataplex-Attributspeicher:

Limit Standard
Maximale Anzahl von Taxonomien in einer Region 100
Maximale Anzahl von Attributen in allen Taxonomien in einer Region 10.000
Maximale Anzahl von Attributen, die einer Ressource (Tabelle) zugeordnet werden können 50
Maximale Anzahl von Attributen, die einer Spalte zugeordnet werden können 100
Maximale Tiefe pro Datenattributbaum in einer Attributtaxonomie 4

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden des Dataplex-Attributspeichers benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwenden des Dataplex-Attributspeichers erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für die Verwendung des Dataplex-Attributspeichers erforderlich:

  • Taxonomien und Attribute verwalten:
    • dataplex.datataxonomies.*
    • dataplex.dataattributes.* (except dataplex.dataattributes.configureResourceAccess and dataplex.dataattributes.configureDataAccess)
  • Verknüpfungen mit Ressourcen und Attributen ansehen:
    • dataplex.datataxonomies.get
    • dataplex.datataxonomies.list
    • dataplex.dataattributes.get
    • dataplex.dataattributes.list
    • dataplex.dataattributebindings.get
    • dataplex.dataattributebindings.list
  • So erstellst und verwaltest du Bindungsressourcen in einem Projekt: dataplex.dataattributebindings.*
  • Spezifikationen für den Ressourcen- und Datenzugriff verwalten:
    • dataplex.datataxonomies.configureResourceAccess
    • dataplex.datataxonomies.configureDataAccess

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Beispielanwendungsfälle

Angenommen, ein Unternehmen namens ACME hat drei Arten von Daten:

  • Red sensible Daten
  • Green Daten, die eingeschränkt, aber weniger sensibel sind
  • Unkategorisierte Daten

Der Dataplex-Administrator von ACME erstellt die folgenden Attribute:

  • Attribut: Red

    • Spaltenspezifikationen: secrets_team@acme mit Leseberechtigung
    • Ressourcenspezifikationen: secrets_team@acme und tenured_employees@acme mit Leseberechtigung

  • Attribut: Green

    • Spaltenspezifikationen: full_time_employees@acme mit Leseberechtigung
    • Ressourcenspezifikationen: full_time_employees@acme mit Bearbeitungsberechtigung

Dieses Bild enthält die Spalten- und Ressourcenspezifikationen für die Attribute „Rot“ und „Grün“.

Die Attribute Red und Green steuern das Zugriffsverhalten auf die Ressourcen (Tabellen) je nach den Attributen, die mit den Tabellen und ihren Spalten verknüpft sind.

Angenommen, Sie haben eine Tabelle mit den folgenden Spalten:

  • ID
  • Postleitzahl
  • Name
  • Adresse
  • $Wert

Anwendungsfall 1: Dasselbe Attribut der Tabelle und einer Spalte zuordnen

Auf diesem Bild ist zu sehen, dass das Attribut „Rot“ mit der Tabelle und der Spalte „Name“ verknüpft ist.

Wenn Sie das Attribut Red mit der Tabelle und ihrer Spalte Name verknüpfen, werden in Dataplex die folgenden Richtlinien weitergegeben:

  • Mitarbeiter in secrets_team@acme und tenured_employees@acme können die Tabelle lesen, ihre Metadaten ansehen und abfragen.
  • Nur Mitarbeiter in secrets_team@acme können die Spalte Name abfragen, da sie durch Spaltenspezifikationen zusätzlich geschützt ist.

Anwendungsfall 2: Attribute kombinieren

Betrachten Sie die folgenden Verknüpfungen:

  • Weisen Sie der Tabelle die Attribute Red und Green zu.
  • Verknüpfen Sie die Attribute Red und Green mit der Spalte Name.
  • Verknüpfen Sie das Attribut Red mit der Spalte $Wert.

Auf diesem Bild sind die Attribute „Rot“ und „Grün“ mit der Tabelle und der Spalte „Name“ sowie das Attribut „Rot“ mit der Spalte „$Wert“ verknüpft.

In diesem Fall werden die folgenden Richtlinien von Dataplex übernommen:

  • Mitarbeiter in secrets_team@acme, tenured_employees@acme und full_time_employees@acme können auf die Tabelle zugreifen. Das liegt daran, dass Dataplex die Ressourcenspezifikationen der Attribute Red und Green zusammenführt.
  • Mitarbeiter von secrets_team@acme und full_time_employees@acme können auf die Spalte Name zugreifen. Das liegt daran, dass Dataplex die Spaltenspezifikationen der Attribute Red und Green zusammenführt.
  • Nur Mitarbeiter in secrets_team@acme können die Spalte $Wert abfragen.

Anwendungsfall 3: Attribute in einer Hierarchie organisieren

Sie können Attribute in einer Hierarchie organisieren, indem Sie die Untertypen der Attribute angeben. Betrachten Sie die folgenden Attribute:

Übergeordnetes Attribut 1:
Attribut: PII

  • Spaltenspezifikationen: secrets_team@acme
  • Ressourcenspezifikationen: secrets_team@acme und tenured_employees@acme

Untergeordnetes Attribut von PII:
Attribut: Email

  • Spaltenspezifikationen: email_comm@acme
  • Ressourcenspezifikationen: email_comm@acme

Übergeordnetes Attribut 2:
Attribut: Financial

  • Spaltenspezifikationen: full_time_employees@acme
  • Ressourcenspezifikationen: full_time_employees@acme

Dieses Bild zeigt ein Beispiel für eine Attributehierarchie.

Betrachten Sie die folgenden Verknüpfungen:

  • Weisen Sie der Tabelle die Attribute Email und Financial zu.
  • Verknüpfen Sie die Attribute Email und Financial mit der Spalte Name.
  • Verknüpfen Sie das Attribut PII mit der Spalte $Wert.

Auf diesem Bild ist zu sehen, wie Attribute in einer Hierarchie mit der Tabelle und den Spalten verknüpft werden können.

In diesem Fall werden die folgenden Richtlinien von Dataplex übernommen:

  • Mitarbeiter in secrets_team@acme, tenured_employees@acme, full_time_employees@acme und email_comm@acme können auf die Tabelle zugreifen. Das liegt daran, dass in Dataplex die Ressourcenspezifikationen der Attribute Financial und Email zusammengeführt werden und das Attribut Email die Spezifikationen des Attributs PII übernimmt.
  • Mitarbeiter in secrets_team@acme, email_comm@acme und full_time_employees@acme können auf die Spalte Name zugreifen. Das liegt daran, dass Dataplex die Spaltenspezifikationen der Attribute Financial und Email zusammenführt.
  • Nur Mitarbeiter in secrets_team@acme können die Spalte $Wert abfragen.

Attribute einrichten

Wenn Sie ein Attribut erstellen möchten, müssen Sie zuerst eine Taxonomie und dann die über- und untergeordneten Datenattribute erstellen.

Taxonomie für Datenattribute erstellen

  1. Rufen Sie in der Google Cloud Console die Seite Dataplex-Attributspeicher auf.

    Zum Attributes Store

  2. Klicken Sie auf Taxonomie erstellen.

  3. Geben Sie den Taxonomienamen, die ID und die Beschreibung ein.

  4. Wählen Sie eine Region aus.

  5. Klicken Sie auf Senden.

    Die neue Taxonomie wird auf der Seite Datentaxonomien angezeigt.

Übergeordnetes Attribut erstellen

  1. Rufen Sie in der Google Cloud Console die Seite Dataplex-Attributspeicher auf.

    Zum Attributes Store

  2. Klicken Sie auf der Seite Datentaxonomien auf die Taxonomie, in der Sie das übergeordnete Attribut erstellen möchten.

  3. Klicken Sie auf der Seite Taxonomiedetails auf Datenattribut hinzufügen.

  4. Wählen Sie Übergeordnetes Datenattribut erstellen aus.

  5. Geben Sie einen Namen, eine ID und eine Beschreibung für das übergeordnete Attribut ein.

  6. Optional: Attributerweiterungen einrichten

    1. Ressourcenspezifikationen einrichten:

      1. Klicken Sie unter Ressource auf Berechtigungen verwalten.
      2. Klicken Sie auf Hinzufügen.
      3. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Ressource benötigt.
      4. Wählen Sie die erforderlichen Rollen aus und klicken Sie auf Speichern.
      5. Klicken Sie auf Speichern.

    2. So richten Sie Spaltenspezifikationen ein:

      1. Klicken Sie unter Spalte auf Berechtigungen verwalten.
      2. Klicken Sie auf Hinzufügen.
      3. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Spalte benötigt.
      4. Wählen Sie die erforderlichen Rollen aus und klicken Sie auf Speichern.
      5. Klicken Sie auf Speichern.

  7. Klicken Sie auf Erstellen.

Untergeordnetes Attribut erstellen

  1. Rufen Sie in der Google Cloud Console die Seite Dataplex-Attributspeicher auf.

    Zum Attributes Store

  2. Klicken Sie auf der Seite Datentaxonomien auf die Taxonomie, in der Sie das untergeordnete Attribut erstellen möchten.

  3. Klicken Sie auf der Seite Taxonomiedetails auf Datenattribut hinzufügen.

  4. Wählen Sie Untergeordnetes Datenattribut erstellen aus.

  5. Wählen Sie für das zu erstellende untergeordnete Attribut ein übergeordnetes Datenattribut aus.

  6. Geben Sie einen Namen, eine ID und eine Beschreibung für das untergeordnete Attribut ein.

  7. Optional: Attributerweiterungen einrichten

    1. Ressourcenspezifikationen einrichten:

      1. Klicken Sie unter Ressource auf Berechtigungen verwalten.
      2. Klicken Sie auf Hinzufügen.
      3. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Ressource benötigt.
      4. Wählen Sie die erforderlichen Rollen aus und klicken Sie auf Speichern.
      5. Klicken Sie auf Speichern.

    2. So richten Sie Spaltenspezifikationen ein:

      1. Klicken Sie unter Spalte auf Berechtigungen verwalten.
      2. Klicken Sie auf Hinzufügen.
      3. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Spalte benötigt.
      4. Wählen Sie die erforderlichen Rollen aus und klicken Sie auf Speichern.
      5. Klicken Sie auf Speichern.

  8. Klicken Sie auf Erstellen.

Ressourcen für Attribute-Shop aktualisieren

Taxonomiedetails aktualisieren

  1. Rufen Sie in der Google Cloud Console die Seite Dataplex-Attributspeicher auf.

    Zum Attributes Store

  2. Klicken Sie auf die Taxonomie, die Sie aktualisieren möchten.

  3. Klicken Sie auf Bearbeiten.

  4. Bearbeiten Sie den Namen und die Beschreibung der Taxonomie nach Bedarf.

  5. Klicken Sie auf Senden.

Attributdetails aktualisieren

  1. Rufen Sie in der Google Cloud Console die Seite Dataplex-Attributspeicher auf.

    Zum Attributes Store

  2. Klicken Sie auf die Taxonomie, die das Attribut enthält, das Sie aktualisieren möchten.

  3. Klicken Sie auf das Attribut, das Sie aktualisieren möchten.

  4. Klicken Sie auf Bearbeiten, um den Attributnamen und die Attributbeschreibung zu aktualisieren.

    1. Wenn Sie ein übergeordnetes Attribut aktualisieren, können Sie es in ein untergeordnetes Attribut umwandeln und umgekehrt. Wählen Sie die entsprechenden Optionen aus.
    2. Bearbeiten Sie den Attributnamen und die Beschreibung nach Bedarf.
    3. Klicken Sie auf Aktualisieren.

  5. Wenn Sie die Ressourcenspezifikationen für das Attribut aktualisieren möchten, klicken Sie unter Ressourcenspezifikationen auf Bearbeiten.

    1. So fügen Sie eine neue Hauptperson hinzu:

      1. Klicken Sie auf Hinzufügen.
      2. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Ressource benötigt.
      3. Wählen Sie die erforderlichen Rollen aus.
      4. Klicken Sie auf Speichern.

    2. So aktualisieren Sie einen vorhandenen Hauptberechtigten:

      1. Klicken Sie neben dem Hauptkonto, das Sie aktualisieren möchten, auf  Bearbeiten.
      2. Wählen Sie die erforderlichen Rollen aus.
      3. Klicken Sie auf Speichern.

    3. So entfernen Sie einen vorhandenen Hauptberechtigten:

      1. Wählen Sie das Hauptkonto aus, das Sie entfernen möchten.
      2. Klicken Sie auf Entfernen.

  6. Wenn Sie die Spaltenspezifikationen für das Attribut aktualisieren möchten, klicken Sie auf Bearbeiten für Spaltenspezifikationen.

    1. So fügen Sie eine neue Hauptperson hinzu:

      1. Klicken Sie auf Hinzufügen.
      2. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Spalte benötigt.
      3. Wählen Sie die erforderlichen Rollen aus.
      4. Klicken Sie auf Speichern.

    2. So aktualisieren Sie einen vorhandenen Hauptberechtigten:

      1. Klicken Sie neben dem Hauptkonto, das Sie aktualisieren möchten, auf  Bearbeiten.
      2. Wählen Sie die erforderlichen Rollen aus.
      3. Klicken Sie auf Speichern.

    3. So entfernen Sie einen vorhandenen Hauptberechtigten:

      1. Wählen Sie das Hauptkonto aus, das Sie entfernen möchten.
      2. Klicken Sie auf Entfernen.

Attribute mit Ressourcen verknüpfen

Attribut mit einer Tabelle verknüpfen

  1. Rufen Sie in der Google Cloud Console die Seite Dataplex-Attributspeicher auf.

    Zum Attributes Store

  2. Klicken Sie auf die Taxonomie, die das Attribut enthält.

  3. Klicken Sie auf das Attribut, dem Sie eine Tabelle zuordnen möchten.

  4. Klicken Sie auf den Tab Ressourcen.

  5. Klicken Sie auf Ressourcen hinzufügen.

  6. Wählen Sie eine Tabelle aus der Liste aus.

  7. Klicken Sie auf Auswählen.

Attribut mit einer Spalte verknüpfen

  1. Rufen Sie in der Google Cloud Console die Seite Suche des Data Catalog auf.

    Zur Suche

  2. Suchen Sie nach der Tabelle, für die Sie ein Attribut einer Spalte zuordnen möchten, und wählen Sie sie aus.

  3. Klicken Sie auf den Tab Schema- und Spalten-Tags.

  4. Klicken Sie unter Richtlinien-Tags neben der Spalte, der Sie ein Attribut zuordnen möchten, auf  Hinzufügen.

  5. Wählen Sie die Taxonomie aus, die das Attribut enthält.

  6. Wählen Sie das Attribut aus.

  7. Klicken Sie auf Anhängen.

Nächste Schritte