In diesem Dokument wird gezeigt, wie Sie den Dataplex-Attributspeicher verwenden.
Der Dataplex-Attributspeicher ist eine erweiterbare Infrastruktur, mit der Sie richtlinienbezogenes Verhalten für die verknüpften Ressourcen angeben können. Dataplex-Administratoren können mit dem Attributspeicher definieren, wie bestimmte Daten behandelt werden sollen. Dazu verknüpfen sie Daten mit Attributen.
Der Hauptvorteil der Nutzung des Attributspeichers besteht darin, dass Sie einem Objekt mehrere Attribute hinzufügen können, z. B. eine Spalte. Der Attributspeicher führt das Verhalten aller mit einem Objekt verknüpften Attribute zusammen und stellt es als einzelne Richtlinie für die zugrunde liegende Ressource dar.
Sie können Attribute für veröffentlichte Datasets festlegen. Veröffentlichte Datasets beziehen sich auf die von Dataplex aus den erkannten Tabellen in einem Bucket-Asset erstellten Datasets.
Die folgenden Richtlinienverhaltensweisen werden unterstützt:
- Ressourcenspezifikationen: Gibt den Zugriff auf eine Ressource wie eine Tabelle an.
- Spaltenspezifikationen: Gibt den Zugriff auf eine Spalte in einer BigQuery-Tabelle an.
Mithilfe des Attributspeichers können Sie eine Attributhierarchie definieren, die als Taxonomie bezeichnet wird. In einer Taxonomie übernimmt ein untergeordnetes Attribut Spezifikationen aus der übergeordneten Attributhierarchie. Spezifikationen der übergeordneten und untergeordneten Liste werden zu einer einheitlichen Liste zusammengeführt, die an die Ressource weitergegeben wird.
Mit dem Dataplex-Attributspeicher können Sie Folgendes tun:
- Erstellen Sie Taxonomien.
- Attribute erstellen und in einer Hierarchie organisieren
- Ordnen Sie Tabellen ein oder mehrere Attribute zu.
- Weisen Sie Spalten ein oder mehrere Attribute zu.
Terminologie
In diesem Dokument wird die folgende Terminologie verwendet:
Attribut-Taxonomie
Eine Datentaxonomie ist eine Hierarchie von Attributen. In einer Taxonomie ermöglichen die Attribute in übergeordneten Knoten, dass die ihnen untergeordneten Attribute (untergeordnete Attribute) die Verhaltensspezifikationen der übergeordneten Attribute übernehmen und ihren eigenen hinzufügen.
Beispiel: Wenn ein Attribut namens PII
eine Ressourcenspezifikation group-a@company.com
und ein untergeordnetes Attribut von PII
mit dem Namen Social Security numbers
eine Ressourcenspezifikation group-b@company.com
hat, werden die Ressourcenspezifikationen auf die Richtlinien angewendet, mit denen das Attribut Social Security numbers
verknüpft ist, group-a@company.com
und group-b@company.com
.
Wenn Sie ein Attribut definieren, können Sie auswählen, ob es sich um ein übergeordnetes oder ein untergeordnetes Attribut handelt. Wenn Sie ein untergeordnetes Attribut definieren, müssen Sie dessen übergeordnetes Attribut angeben.
Spaltenspezifikationen
Die Verhaltensspezifikationen für Spalten. Sie gibt Personen oder Gruppen an, die Lesezugriff auf Spalten haben. Wenn Sie ein Attribut, das eine Spaltenspezifikation enthält, mit der Spalte einer Tabelle verknüpfen, wird dieser Spalte ein BigQuery-Spaltenrichtlinien-Tag hinzugefügt.
Ressourcenspezifikationen
Die Berechtigungen für Personen oder Gruppen, um auf Ressourcen (Tabellen) zuzugreifen. Wenn Sie ein Attribut mit einer Ressourcenspezifikation verknüpfen, leitet Dataplex an die angegebenen Nutzer IAM-Rollen weiter, damit sie auf die mit dem Attribut verknüpften Tabellen zugreifen können.
Hinweise
Beschränkungen
Dataplex leitet die Spaltenspezifikationsrichtlinien als BigQuery-Richtlinien-Tags weiter. Bei BigQuery ist die Beschränkung auf ein Richtlinien-Tag pro Spalte beschränkt. Wenn in einer Spalte bereits ein Richtlinien-Tag vorhanden ist, gibt Dataplex einen Fehler im Governance-Log auf dem Tab Verwalten aus.
Kontingente
Im Folgenden sind die Kontingente und Limits für den Dataplex-Attributspeicher aufgeführt:
Limit | Standard |
---|---|
Maximale Anzahl von Taxonomien in einer Region | 100 |
Maximale Anzahl von Attributen in allen Taxonomien in einer Region | 10.000 |
Maximale Anzahl von Attributen, die einer Ressource (Tabelle) zugeordnet werden können | 50 |
Maximale Anzahl von Attributen, die einer Spalte zugeordnet werden können | 100 |
Maximale Tiefe pro Datenattributstruktur in einer Attributtaxonomie | 4 |
Erforderliche Rollen und Berechtigungen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zu gewähren, damit Sie die Berechtigungen erhalten, die Sie zur Verwendung des Dataplex-Attributspeichers benötigen:
-
Taxonomien und Attribute verwalten: Dataplex-Taxonomie-Administrator (
roles/dataplex.taxonomyAdmin
) -
Mit Ressourcen und Attributen verknüpfte Bindungen ansehen: Dataplex-Taxonomie-Betrachter (
roles/dataplex.taxonomyViewer
) -
Erstellen und verwalten Sie Bindungsressourcen in einem Projekt:
-
Dataplex-Binding-Administrator (
roles/dataplex.bindingAdmin
) -
Dataplex-Administrator (
roles/dataplex.admin
für Zonenressource)
-
Dataplex-Binding-Administrator (
-
Verwalten Sie Spezifikationen für Ressourcen und Datenzugriff:
Dataplex-Sicherheitsadministrator (
roles/dataplex.securityAdmin
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zur Verwendung des Dataplex-Attributspeichers erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um den Dataplex-Attributspeicher zu verwenden:
-
Taxonomien und Attribute verwalten:
-
dataplex.datataxonomies.*
-
dataplex.dataattributes.*
(exceptdataplex.dataattributes.configureResourceAccess
anddataplex.dataattributes.configureDataAccess
)
-
-
Sehen Sie sich die mit Ressourcen und Attributen verknüpften Bindungen an:
-
dataplex.datataxonomies.get
-
dataplex.datataxonomies.list
-
dataplex.dataattributes.get
-
dataplex.dataattributes.list
-
dataplex.dataattributebindings.get
-
dataplex.dataattributebindings.list
-
-
Erstellen und verwalten Sie Bindungsressourcen in einem Projekt:
dataplex.dataattributebindings.*
-
So verwalten Sie die Spezifikationen für den Ressourcen- und Datenzugriff:
-
dataplex.datataxonomies.configureResourceAccess
-
dataplex.datataxonomies.configureDataAccess
-
Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Beispielanwendungsfälle
Nehmen wir als Beispiel ein Unternehmen namens ACME mit drei Arten von Daten:
Red
-Daten, die sensibel sind.Green
-Daten, die eingeschränkt, aber weniger vertraulich sind.- Unkategorisierte Daten.
Der Dataplex-Administrator von ACME erstellt die folgenden Attribute:
Attribut:
Red
- Spaltenspezifikationen:
secrets_team@acme
mit Leseberechtigung - Ressourcenspezifikationen:
secrets_team@acme
undtenured_employees@acme
mit Leseberechtigung
- Spaltenspezifikationen:
Attribut:
Green
- Spaltenspezifikationen:
full_time_employees@acme
mit Leseberechtigung - Ressourcenspezifikationen:
full_time_employees@acme
mit Bearbeitungsberechtigung
- Spaltenspezifikationen:
Die Attribute Red
und Green
steuern das Zugriffsverhalten auf die Ressourcen (Tabellen) in Abhängigkeit von den Attributen, die den Tabellen und ihren Spalten zugeordnet sind.
Betrachten Sie eine Tabelle mit den folgenden Spalten:
- ID
- Postleitzahl
- Name
- Adresse
- $Value
Anwendungsfall 1: Dasselbe Attribut mit der Tabelle und einer Spalte verknüpfen
Wenn Sie das Attribut Red
mit der Tabelle und der zugehörigen Spalte Name verknüpfen, leitet Dataplex die folgenden Richtlinien weiter:
- Mitarbeiter in
secrets_team@acme
undtenured_employees@acme
können die Tabelle lesen, ihre Metadaten ansehen und abfragen. - Nur Mitarbeiter in
secrets_team@acme
können die Spalte Name abfragen, da sie durch Spaltenspezifikationen zusätzlich geschützt ist.
Anwendungsfall 2: Attribute kombinieren
Ziehen Sie die folgenden Verknüpfungen in Betracht:
- Verknüpfen Sie die Attribute
Red
undGreen
mit der Tabelle. - Verknüpfen Sie die Attribute
Red
undGreen
mit der Spalte Name. - Verknüpfen Sie das Attribut
Red
mit der Spalte $Value.
In diesem Fall wendet Dataplex die folgenden Richtlinien an:
- Mitarbeiter in
secrets_team@acme
,tenured_employees@acme
undfull_time_employees@acme
haben Zugriff auf die Tabelle. Das liegt daran, dass Dataplex die Ressourcenspezifikationen der AttributeRed
undGreen
zusammenführt. - Mitarbeiter in
secrets_team@acme
undfull_time_employees@acme
können auf die Spalte Name zugreifen. Das liegt daran, dass Dataplex die Spaltenspezifikationen der AttributeRed
undGreen
zusammenführt. - Nur Mitarbeiter in
secrets_team@acme
können die Spalte $Value abfragen.
Anwendungsfall 3: Attribute in einer Hierarchie organisieren
Sie können Attribute in einer Hierarchie organisieren, indem Sie die Untertypen der Attribute angeben. Betrachten Sie die folgenden Attribute:
Übergeordnetes Attribut 1:
Attribut: PII
- Spaltenspezifikationen:
secrets_team@acme
- Ressourcenspezifikationen:
secrets_team@acme
undtenured_employees@acme
Untergeordnetes Attribut von PII
:
Attribut: Email
- Spaltenspezifikationen:
email_comm@acme
- Ressourcenspezifikationen:
email_comm@acme
Übergeordnetes Attribut 2:
Attribut: Financial
- Spaltenspezifikationen:
full_time_employees@acme
- Ressourcenspezifikationen:
full_time_employees@acme
Ziehen Sie die folgenden Verknüpfungen in Betracht:
- Verknüpfen Sie die Attribute
Email
undFinancial
mit der Tabelle. - Verknüpfen Sie die Attribute
Email
undFinancial
mit der Spalte Name. - Verknüpfen Sie das Attribut
PII
mit der Spalte $Value.
In diesem Fall wendet Dataplex die folgenden Richtlinien an:
- Mitarbeiter in
secrets_team@acme
,tenured_employees@acme
,full_time_employees@acme
undemail_comm@acme
können auf die Tabelle zugreifen. Das liegt daran, dass Dataplex die Ressourcenspezifikationen der AttributeFinancial
undEmail
zusammenführt und das AttributEmail
die Spezifikationen vom AttributPII
übernimmt. - Mitarbeiter in
secrets_team@acme
,email_comm@acme
undfull_time_employees@acme
haben Zugriff auf die Spalte Name. Das liegt daran, dass Dataplex die Spaltenspezifikationen der AttributeFinancial
undEmail
zusammenführt. - Nur Mitarbeiter in
secrets_team@acme
können die Spalte $Value abfragen.
Attribute einrichten
Um ein Attribut zu erstellen, müssen Sie zuerst eine Taxonomie und dann die über- und untergeordneten Datenattribute erstellen.
Datenattribut-Taxonomie erstellen
Rufen Sie in der Google Cloud Console die Dataplex-Seite Attribute Store (Attributspeicher) auf.
Klicken Sie auf Taxonomie erstellen.
Geben Sie den Taxonomienamen, die ID und die Beschreibung ein.
Wählen Sie eine Region aus.
Klicken Sie auf Senden.
Die neue Taxonomie wird auf der Seite Datentaxonomien angezeigt.
Übergeordnetes Attribut erstellen
Rufen Sie in der Google Cloud Console die Dataplex-Seite Attribute Store (Attributspeicher) auf.
Klicken Sie auf der Seite Datentaxonomien auf die Taxonomie, in der Sie das übergeordnete Attribut erstellen möchten.
Klicken Sie auf der Seite Taxonomiedetails auf Datenattribut hinzufügen.
Wählen Sie Übergeordnetes Datenattribut erstellen aus.
Geben Sie einen Namen, eine ID und eine Beschreibung für das übergeordnete Attribut ein.
Optional: Richten Sie Attributspezifikationen ein.
Richten Sie Ressourcenspezifikationen ein:
- Klicken Sie für Ressource auf Berechtigungen verwalten.
- Klicken Sie auf Hinzufügen.
- Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Ressource benötigt.
- Wählen Sie die erforderlichen Rollen aus und klicken Sie auf Speichern.
- Klicken Sie auf Speichern.
So richten Sie Spaltenspezifikationen ein:
- Klicken Sie bei Spalte auf Berechtigungen verwalten.
- Klicken Sie auf Hinzufügen.
- Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Spalte benötigt.
- Wählen Sie die erforderlichen Rollen aus und klicken Sie auf Speichern.
- Klicken Sie auf Speichern.
Klicken Sie auf Erstellen.
Untergeordnetes Attribut erstellen
Rufen Sie in der Google Cloud Console die Dataplex-Seite Attribute Store (Attributspeicher) auf.
Klicken Sie auf der Seite Datentaxonomien auf die Taxonomie, in der Sie das untergeordnete Attribut erstellen möchten.
Klicken Sie auf der Seite Taxonomiedetails auf Datenattribut hinzufügen.
Wählen Sie Untergeordnetes Datenattribut erstellen aus.
Wählen Sie ein übergeordnetes Datenattribut für das untergeordnete Attribut aus, das Sie erstellen.
Geben Sie einen Namen, eine ID und eine Beschreibung für das untergeordnete Attribut ein.
Optional: Richten Sie Attributspezifikationen ein.
Richten Sie Ressourcenspezifikationen ein:
- Klicken Sie für Ressource auf Berechtigungen verwalten.
- Klicken Sie auf Hinzufügen.
- Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Ressource benötigt.
- Wählen Sie die erforderlichen Rollen aus und klicken Sie auf Speichern.
- Klicken Sie auf Speichern.
So richten Sie Spaltenspezifikationen ein:
- Klicken Sie bei Spalte auf Berechtigungen verwalten.
- Klicken Sie auf Hinzufügen.
- Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Spalte benötigt.
- Wählen Sie die erforderlichen Rollen aus und klicken Sie auf Speichern.
- Klicken Sie auf Speichern.
Klicken Sie auf Erstellen.
Attributspeicherressourcen aktualisieren
Taxonomiedetails aktualisieren
Rufen Sie in der Google Cloud Console die Dataplex-Seite Attribute Store (Attributspeicher) auf.
Klicken Sie auf die Taxonomie, die Sie aktualisieren möchten.
Klicken Sie auf Bearbeiten.
Bearbeiten Sie den Namen der Taxonomie und ihre Beschreibung nach Bedarf.
Klicken Sie auf Senden.
Attributdetails aktualisieren
Rufen Sie in der Google Cloud Console die Dataplex-Seite Attribute Store (Attributspeicher) auf.
Klicken Sie auf die Taxonomie, die das Attribut enthält, das Sie aktualisieren möchten.
Klicken Sie auf das Attribut, das Sie aktualisieren möchten.
Klicken Sie auf Bearbeiten, um den Attributnamen und die Beschreibung zu aktualisieren.
- Wenn Sie ein übergeordnetes Attribut aktualisieren, können Sie es in ein untergeordnetes Attribut ändern und umgekehrt. Wählen Sie die Optionen entsprechend aus.
- Bearbeiten Sie den Attributnamen und die Beschreibung nach Bedarf.
- Klicken Sie auf Aktualisieren.
Klicken Sie zum Aktualisieren der Ressourcenspezifikationen für das Attribut auf
für Ressourcenspezifikationen.So fügen Sie ein neues Hauptkonto hinzu:
- Klicken Sie auf Hinzufügen.
- Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Ressource benötigt.
- Wählen Sie die erforderlichen Rollen aus.
- Klicken Sie auf Speichern.
So aktualisieren Sie ein vorhandenes Hauptkonto:
- Klicken Sie für das Hauptkonto, das Sie aktualisieren möchten, auf .
- Wählen Sie die erforderlichen Rollen aus.
- Klicken Sie auf Speichern.
So entfernen Sie ein vorhandenes Hauptkonto:
- Wählen Sie das Hauptkonto aus, das Sie entfernen möchten.
- Klicken Sie auf Entfernen.
Klicken Sie unter Spaltenspezifikationen auf
, um die Spaltenspezifikationen für das Attribut zu aktualisieren.So fügen Sie ein neues Hauptkonto hinzu:
- Klicken Sie auf Hinzufügen.
- Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Spalte benötigt.
- Wählen Sie die erforderlichen Rollen aus.
- Klicken Sie auf Speichern.
So aktualisieren Sie ein vorhandenes Hauptkonto:
- Klicken Sie für das Hauptkonto, das Sie aktualisieren möchten, auf .
- Wählen Sie die erforderlichen Rollen aus.
- Klicken Sie auf Speichern.
So entfernen Sie ein vorhandenes Hauptkonto:
- Wählen Sie das Hauptkonto aus, das Sie entfernen möchten.
- Klicken Sie auf Entfernen.
Attribute mit Ressourcen verknüpfen
Attribut mit einer Tabelle verknüpfen
Rufen Sie in der Google Cloud Console die Dataplex-Seite Attribute Store (Attributspeicher) auf.
Klicken Sie auf die Taxonomie, die das Attribut enthält.
Klicken Sie auf das Attribut, mit dem Sie eine Tabelle verknüpfen möchten.
Klicken Sie auf den Tab Ressourcen.
Klicken Sie auf Ressourcen hinzufügen.
Wählen Sie eine Tabelle aus der Liste aus.
Klicken Sie auf Auswählen.
Attribut mit einer Spalte verknüpfen
Rufen Sie in der Google Cloud Console die Dataplex-Seite Attribute Store (Attributspeicher) auf.
Wählen Sie die Tabelle aus, für die Sie ein Attribut mit einer Spalte verknüpfen möchten.
Klicken Sie auf den Tab Schema und Spalten-Tags.
Klicken Sie unter Richtlinien-Tags für die Spalte, mit der Sie ein Attribut verknüpfen möchten, auf
.Wählen Sie die Taxonomie aus, die das Attribut enthält.
Wählen Sie das Attribut aus.
Klicken Sie auf Anhängen.
Nächste Schritte
- Weitere Informationen zur Dataplex-Sicherheit
- Weitere Informationen zur Richtlinienverwaltung in Dataplex
- Weitere Informationen zu Dataplex-IAM-Rollen