Dataplex-Attributspeicher verwenden

In diesem Dokument wird die Verwendung des Dataplex-Attributspeichers erläutert.

Der Dataplex-Attributspeicher ist eine erweiterbare Infrastruktur, mit der Sie richtlinienbezogenes Verhalten für die zugehörigen Ressourcen angeben können. Dataplex-Administratoren können mit dem Attributspeicher festlegen, wie bestimmte Daten verarbeitet werden sollen. Dazu verknüpfen sie Daten mit Attributen.

Der Hauptvorteil des Attributspeichers besteht darin, dass Sie einem Objekt, z. B. einer Spalte, mehrere Attribute hinzufügen können. Der Attributspeicher führt das Verhalten aller Attribute zusammen, die mit einem Objekt verknüpft sind, und stellt es als einzelne Richtlinie für die zugrunde liegende Ressource dar.

Sie können Attribute für veröffentlichte Datasets festlegen. Veröffentlichte Datasets beziehen sich auf die Datasets, die von Dataplex aus den erkannten Tabellen in einem Bucket-Asset erstellt wurden.

Die folgenden Richtlinienverhalten werden unterstützt:

  • Ressourcenspezifikationen: Gibt den Zugriff auf eine Ressource an, z. B. eine Tabelle.
  • Spaltenspezifikationen: Gibt den Zugriff auf eine Spalte in einer BigQuery-Tabelle an.

Im Attributspeicher können Sie eine Attributhierarchie definieren, die als Taxonomie bezeichnet wird. In einer Taxonomie übernimmt ein untergeordnetes Attribut Spezifikationen von der übergeordneten Attributhierarchie. Die Spezifikationen des übergeordneten Elements des untergeordneten Elements werden zu einer einheitlichen Liste zusammengeführt, die an die Ressource weitergegeben wird.

Mit dem Dataplex-Attributspeicher können Sie Folgendes ausführen:

  • Taxonomien erstellen
  • Attribute erstellen und in einer Hierarchie organisieren.
  • Verknüpfen Sie ein oder mehrere Attribute mit Tabellen.
  • Verknüpfen Sie ein oder mehrere Attribute mit Spalten.

Terminologie

Die folgende Terminologie wird in diesem Dokument verwendet:

Attributtaxonomie

Eine Datentaxonomie ist eine Hierarchie von Attributen. In einer Taxonomie ermöglichen die Attribute in übergeordneten Knoten, dass Attribute unter ihnen (untergeordnete Attribute) die Verhaltensspezifikationen übergeordneter Attribute übernehmen und zu ihren eigenen hinzufügen.

Beispiel: Wenn ein Attribut namens PII eine Ressourcenspezifikation group-a@company.com und ein untergeordnetes Attribut von PII mit dem Namen Social Security numbers die Ressourcenspezifikation group-b@company.com hat, gelten die Ressourcenspezifikationen für die Richtlinien, mit denen das Attribut Social Security numbers verknüpft ist, als group-a@company.com und group-b@company.com.

Wenn Sie ein Attribut definieren, können Sie auswählen, ob es sich um ein übergeordnetes oder ein untergeordnetes Attribut handelt. Wenn Sie ein untergeordnetes Attribut definieren, müssen Sie das zugehörige übergeordnete Attribut angeben.

Spaltenspezifikationen

Die Verhaltensspezifikationen für Spalten. Damit werden Personen oder Gruppen angegeben, die Leserzugriff auf Spalten haben. Wenn Sie ein Attribut mit einer Spaltenspezifikation mit der Spalte einer Tabelle verknüpfen, wird dieser Spalte ein BigQuery-Spaltenrichtlinien-Tag hinzugefügt.

Ressourcenspezifikationen

Die Berechtigungen für Personen oder Gruppen, um auf Ressourcen (Tabellen) zuzugreifen. Wenn Sie ein Attribut mit einer Ressourcenspezifikation verknüpfen, leitet Dataplex den angegebenen Nutzern IAM-Rollen weiter, damit diese auf die mit dem Attribut verknüpften Tabellen zugreifen können.

Hinweise

Beschränkungen

Dataplex leitet die Richtlinien für die Spaltenspezifikation als BigQuery-Richtlinien-Tags weiter. In BigQuery ist nur ein Richtlinien-Tag pro Spalte zulässig. Wenn in einer Spalte bereits ein Richtlinien-Tag vorhanden ist, gibt Dataplex einen Fehler im Governance-Log auf dem Tab Manage (Verwalten) aus.

Kontingente

Im Folgenden sind die Kontingente und Limits für den Dataplex-Attributspeicher aufgeführt:

Limit Standard
Maximale Anzahl von Taxonomien in einer Region 100
Maximale Anzahl von Attributen in allen Taxonomien in einer Region 10.000
Maximale Anzahl von Attributen, die einer Ressource (Tabelle) zugeordnet werden können 50
Maximale Anzahl von Attributen, die mit einer Spalte verknüpft werden können 100
Maximale Tiefe pro Datenattributbaum in einer Attributtaxonomie 4

Erforderliche Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zu gewähren, um die Berechtigungen zu erhalten, die Sie für die Verwendung des Dataplex-Attributspeichers benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zur Verwendung des Dataplex-Attributspeichers erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um den Dataplex-Attributspeicher zu verwenden:

  • Taxonomien und Attribute verwalten:
    • dataplex.datataxonomies.*
    • dataplex.dataattributes.* (except dataplex.dataattributes.configureResourceAccess and dataplex.dataattributes.configureDataAccess)
  • Rufen Sie die mit Ressourcen und Attributen verknüpften Bindungen auf:
    • dataplex.datataxonomies.get
    • dataplex.datataxonomies.list
    • dataplex.dataattributes.get
    • dataplex.dataattributes.list
    • dataplex.dataattributebindings.get
    • dataplex.dataattributebindings.list
  • Erstellen und verwalten Sie Bindungsressourcen in einem Projekt: dataplex.dataattributebindings.*
  • Verwalten Sie die Spezifikationen für den Ressourcen- und Datenzugriff:
    • dataplex.datataxonomies.configureResourceAccess
    • dataplex.datataxonomies.configureDataAccess

Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Beispielanwendungsfälle

Nehmen wir als Beispiel ein Unternehmen namens ACME, das drei Arten von Daten hat:

  • Red-Daten, die vertraulich sind.
  • Green-Daten, die eingeschränkt, aber weniger vertraulich sind.
  • Nicht kategorisierte Daten.

Der Dataplex-Administrator von ACME erstellt die folgenden Attribute:

  • Attribut: Red

    • Spaltenspezifikationen: secrets_team@acme mit Leseberechtigung
    • Ressourcenspezifikationen: secrets_team@acme und tenured_employees@acme mit Leseberechtigung

  • Attribut: Green

    • Spaltenspezifikationen: full_time_employees@acme mit Leseberechtigung
    • Ressourcenspezifikationen: full_time_employees@acme mit Bearbeitungsberechtigung

Dieses Bild zeigt die Spalten- und Ressourcenspezifikationen für die Attribute Red und Green.

Die Attribute Red und Green steuern das Zugriffsverhalten auf die Ressourcen (Tabellen) in Abhängigkeit von den Attributen, die den Tabellen und ihren Spalten zugeordnet sind.

Betrachten Sie eine Tabelle mit den folgenden Spalten:

  • ID
  • Postleitzahl
  • Name
  • Adresse
  • $Value

Anwendungsfall 1: Verknüpfen Sie dasselbe Attribut mit der Tabelle und einer Spalte

Die Abbildung zeigt das Attribut Rot, das der Tabelle und dem Spaltennamen zugeordnet ist.

Wenn Sie das Attribut Red mit der Tabelle und ihrer Spalte Name verknüpfen, werden von Dataplex die folgenden Richtlinien weitergegeben:

  • Mitarbeiter in secrets_team@acme und tenured_employees@acme können die Tabelle lesen, ihre Metadaten ansehen und sie abfragen.
  • Nur Mitarbeiter in secrets_team@acme können die Spalte Name abfragen, da sie durch Spaltenspezifikationen zusätzlich geschützt ist.

Anwendungsfall 2: Attribute kombinieren

Betrachten Sie die folgenden Verknüpfungen:

  • Verknüpfen Sie die Attribute Red und Green mit der Tabelle.
  • Verknüpfen Sie die Attribute Red und Green mit der Spalte Name.
  • Verknüpfen Sie das Attribut Red mit der Spalte $Value.

In diesem Bild sind die Attribute Rot und Grün der Tabelle und der Spaltenname und das Attribut Rot der Spalte $value zugeordnet.

In diesem Fall propagiert Dataplex die folgenden Richtlinien:

  • Mitarbeiter in secrets_team@acme, tenured_employees@acme und full_time_employees@acme können auf die Tabelle zugreifen. Das liegt daran, dass Dataplex die Ressourcenspezifikationen der Attribute Red und Green zusammenführt.
  • Mitarbeiter in secrets_team@acme und full_time_employees@acme können auf die Spalte Name zugreifen. Dies liegt daran, dass Dataplex die Spaltenspezifikationen der Attribute Red und Green zusammenführt.
  • Nur Mitarbeiter in secrets_team@acme können die Spalte $Value abfragen.

Anwendungsfall 3: Attribute in einer Hierarchie organisieren

Sie können Attribute in einer Hierarchie organisieren, indem Sie die Untertypen der Attribute angeben. Betrachten Sie die folgenden Attribute:

Übergeordnetes Attribut 1:
Attribut: PII

  • Spaltenspezifikationen: secrets_team@acme
  • Ressourcenspezifikationen: secrets_team@acme und tenured_employees@acme

Untergeordnetes Attribut von PII:
Attribut: Email

  • Spaltenspezifikationen: email_comm@acme
  • Ressourcenspezifikationen: email_comm@acme

Übergeordnetes Attribut 2:
Attribut: Financial

  • Spaltenspezifikationen: full_time_employees@acme
  • Ressourcenspezifikationen: full_time_employees@acme

Dieses Bild zeigt ein Beispiel für eine Attributhierarchie.

Betrachten Sie die folgenden Verknüpfungen:

  • Verknüpfen Sie die Attribute Email und Financial mit der Tabelle.
  • Verknüpfen Sie die Attribute Email und Financial mit der Spalte Name.
  • Verknüpfen Sie das Attribut PII mit der Spalte $Value.

In diesem Bild wird gezeigt, wie Attribute in einer Hierarchie mit der Tabelle und den Spalten verknüpft werden können.

In diesem Fall propagiert Dataplex die folgenden Richtlinien:

  • Mitarbeiter in secrets_team@acme, tenured_employees@acme, full_time_employees@acme und email_comm@acme können auf die Tabelle zugreifen. Dies liegt daran, dass Dataplex die Ressourcenspezifikationen der Attribute Financial und Email zusammenführt und das Attribut Email die Spezifikationen vom Attribut PII übernimmt.
  • Mitarbeiter in secrets_team@acme, email_comm@acme und full_time_employees@acme können auf die Spalte Name zugreifen. Dies liegt daran, dass Dataplex die Spaltenspezifikationen der Attribute Financial und Email zusammenführt.
  • Nur Mitarbeiter in secrets_team@acme können die Spalte $Value abfragen.

Attribute einrichten

Um ein Attribut zu erstellen, müssen Sie zuerst eine Taxonomie und dann die übergeordneten und untergeordneten Datenattribute erstellen.

Datenattribut-Taxonomie erstellen

  1. Rufen Sie in der Google Cloud Console die Dataplex-Seite Attributspeicher auf.

    Zum Attributspeicher

  2. Klicken Sie auf Taxonomie erstellen.

  3. Geben Sie den Taxonomienamen, die ID und die Beschreibung ein.

  4. Wählen Sie eine Region aus.

  5. Klicken Sie auf Senden.

    Die neue Taxonomie wird auf der Seite Datentaxonomien angezeigt.

Übergeordnetes Attribut erstellen

  1. Rufen Sie in der Google Cloud Console die Dataplex-Seite Attributspeicher auf.

    Zum Attributspeicher

  2. Klicken Sie auf der Seite Datentaxonomien auf die Taxonomie, in der Sie das übergeordnete Attribut erstellen möchten.

  3. Klicken Sie auf der Seite Taxonomiedetails auf Datenattribut hinzufügen.

  4. Wählen Sie Übergeordnetes Datenattribut erstellen aus.

  5. Geben Sie einen Namen, eine ID und eine Beschreibung für das übergeordnete Attribut ein.

  6. Optional: Richten Sie Attributspezifikationen ein.

    1. Richten Sie Ressourcenspezifikationen ein:

      1. Klicken Sie für die Ressource auf Berechtigungen verwalten.
      2. Klicken Sie auf Hinzufügen.
      3. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Ressource benötigt.
      4. Wählen Sie die erforderlichen Rollen aus und klicken Sie auf Speichern.
      5. Klicken Sie auf Speichern.

    2. So richten Sie Spaltenspezifikationen ein:

      1. Klicken Sie bei Spalte auf Berechtigungen verwalten.
      2. Klicken Sie auf Hinzufügen.
      3. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Spalte benötigt.
      4. Wählen Sie die erforderlichen Rollen aus und klicken Sie auf Speichern.
      5. Klicken Sie auf Speichern.

  7. Klicken Sie auf Erstellen.

Untergeordnetes Attribut erstellen

  1. Rufen Sie in der Google Cloud Console die Dataplex-Seite Attributspeicher auf.

    Zum Attributspeicher

  2. Klicken Sie auf der Seite Datentaxonomien auf die Taxonomie, in der Sie das untergeordnete Attribut erstellen möchten.

  3. Klicken Sie auf der Seite Taxonomiedetails auf Datenattribut hinzufügen.

  4. Wählen Sie Untergeordnetes Datenattribut erstellen aus.

  5. Wählen Sie für das untergeordnete Attribut, das Sie erstellen, ein übergeordnetes Datenattribut aus.

  6. Geben Sie einen Namen, eine ID und eine Beschreibung für das untergeordnete Attribut ein.

  7. Optional: Richten Sie Attributspezifikationen ein.

    1. Richten Sie Ressourcenspezifikationen ein:

      1. Klicken Sie für die Ressource auf Berechtigungen verwalten.
      2. Klicken Sie auf Hinzufügen.
      3. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Ressource benötigt.
      4. Wählen Sie die erforderlichen Rollen aus und klicken Sie auf Speichern.
      5. Klicken Sie auf Speichern.

    2. So richten Sie Spaltenspezifikationen ein:

      1. Klicken Sie bei Spalte auf Berechtigungen verwalten.
      2. Klicken Sie auf Hinzufügen.
      3. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Spalte benötigt.
      4. Wählen Sie die erforderlichen Rollen aus und klicken Sie auf Speichern.
      5. Klicken Sie auf Speichern.

  8. Klicken Sie auf Erstellen.

Attributspeicher-Ressourcen aktualisieren

Taxonomiedetails aktualisieren

  1. Rufen Sie in der Google Cloud Console die Dataplex-Seite Attributspeicher auf.

    Zum Attributspeicher

  2. Klicken Sie auf die Taxonomie, die Sie aktualisieren möchten.

  3. Klicken Sie auf Bearbeiten.

  4. Bearbeiten Sie den Taxonomienamen und die zugehörige Beschreibung nach Bedarf.

  5. Klicken Sie auf Senden.

Attributdetails aktualisieren

  1. Rufen Sie in der Google Cloud Console die Dataplex-Seite Attributspeicher auf.

    Zum Attributspeicher

  2. Klicken Sie auf die Taxonomie, die das Attribut enthält, das Sie aktualisieren möchten.

  3. Klicken Sie auf das Attribut, das Sie aktualisieren möchten.

  4. Klicken Sie auf Bearbeiten, um den Attributnamen und die Beschreibung zu aktualisieren.

    1. Wenn Sie ein übergeordnetes Attribut aktualisieren, können Sie es in ein untergeordnetes Attribut ändern und umgekehrt. Wählen Sie die Optionen entsprechend aus.
    2. Bearbeiten Sie den Attributnamen und die Beschreibung nach Bedarf.
    3. Klicken Sie auf Aktualisieren.

  5. Klicken Sie unter Ressourcenspezifikationen auf , um die Ressourcenspezifikationen für das Attribut zu aktualisieren.

    1. So fügen Sie ein neues Hauptkonto hinzu:

      1. Klicken Sie auf Hinzufügen.
      2. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Ressource benötigt.
      3. Wählen Sie die erforderlichen Rollen aus.
      4. Klicken Sie auf Speichern.

    2. So aktualisieren Sie ein vorhandenes Hauptkonto:

      1. Klicken Sie für das Hauptkonto, das Sie aktualisieren möchten, auf .
      2. Wählen Sie die erforderlichen Rollen aus.
      3. Klicken Sie auf Speichern.

    3. So entfernen Sie ein vorhandenes Hauptkonto:

      1. Wählen Sie das Hauptkonto aus, das Sie entfernen möchten.
      2. Klicken Sie auf Entfernen.

  6. Klicken Sie unter Spaltenspezifikationen auf , um die Spaltenspezifikationen für das Attribut zu aktualisieren.

    1. So fügen Sie ein neues Hauptkonto hinzu:

      1. Klicken Sie auf Hinzufügen.
      2. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Spalte benötigt.
      3. Wählen Sie die erforderlichen Rollen aus.
      4. Klicken Sie auf Speichern.

    2. So aktualisieren Sie ein vorhandenes Hauptkonto:

      1. Klicken Sie für das Hauptkonto, das Sie aktualisieren möchten, auf .
      2. Wählen Sie die erforderlichen Rollen aus.
      3. Klicken Sie auf Speichern.

    3. So entfernen Sie ein vorhandenes Hauptkonto:

      1. Wählen Sie das Hauptkonto aus, das Sie entfernen möchten.
      2. Klicken Sie auf Entfernen.

Attribute mit Ressourcen verknüpfen

Attribut mit einer Tabelle verknüpfen

  1. Rufen Sie in der Google Cloud Console die Dataplex-Seite Attributspeicher auf.

    Zum Attributspeicher

  2. Klicken Sie auf die Taxonomie, die das Attribut enthält.

  3. Klicken Sie auf das Attribut, mit dem Sie eine Tabelle verknüpfen möchten.

  4. Klicken Sie auf den Tab Ressourcen.

  5. Klicken Sie auf Ressourcen hinzufügen.

  6. Wählen Sie eine Tabelle aus der Liste aus.

  7. Klicken Sie auf Auswählen.

Attribut mit einer Spalte verknüpfen

  1. Rufen Sie in der Google Cloud Console die Dataplex-Seite Attributspeicher auf.

    Zum Attributspeicher

  2. Wählen Sie die Tabelle aus, der Sie ein Attribut mit einer Spalte verknüpfen möchten.

  3. Klicken Sie auf den Tab Schema und Spalten-Tags.

  4. Klicken Sie in den Richtlinien-Tags der Spalte, mit der Sie ein Attribut verknüpfen möchten, auf .

  5. Wählen Sie die Taxonomie aus, die das Attribut enthält.

  6. Wählen Sie das Attribut aus.

  7. Klicken Sie auf Anhängen.

Nächste Schritte