En este documento, se muestra cómo usar el almacén de atributos de Dataplex.
El Almacén de atributos de Dataplex es una infraestructura extensible que te permite especificar comportamientos relacionados con políticas en los recursos asociados. Los administradores de Dataplex pueden usar el Almacén de atributos para definir cómo se deben tratar ciertos datos asociando datos con atributos.
El beneficio clave de aprovechar el Almacén de atributos es que puedes agregar varios atributos a un objeto, como una columna. El Almacén de atributos combina los comportamientos de todos los atributos asociados con un objeto y los presenta como una sola política en el recurso subyacente.
Puedes establecer atributos para los conjuntos de datos publicados. Los conjuntos de datos publicados hacen referencia a los conjuntos de datos creados por Dataplex a partir de las tablas descubiertas en un recurso de bucket.
Se admiten los siguientes comportamientos de políticas:
- Especificaciones del recurso: Especifica el acceso a un recurso, como una tabla.
- Especificaciones de columna: Especifica el acceso a una columna en una tabla de BigQuery.
Puedes usar el Almacén de atributos para definir una jerarquía de atributos llamada taxonomía. En una taxonomía, un atributo secundario hereda las especificaciones de la jerarquía de atributos superiores. Las especificaciones del elemento superior que el secundario se combina en una lista unificada, que se propaga al recurso
Puedes usar el Almacén de atributos de Dataplex para hacer lo siguiente:
- Crear taxonomías
- Crear atributos y organizarlos en una jerarquía
- Asocia uno o más atributos a las tablas.
- Asocia uno o más atributos a las columnas.
Terminología
En este documento, se usa la siguiente terminología:
Taxonomía de atributos
Una taxonomía de datos es una jerarquía de atributos. En una taxonomía, los atributos en los nodos superiores permiten que los atributos debajo de ellos (atributos secundarios) hereden y agreguen las especificaciones de comportamiento de los atributos superiores a sus propias.
Por ejemplo, si un atributo llamado PII
tiene una especificación de recurso group-a@company.com
y un atributo secundario de PII
llamado Social Security numbers
tiene una especificación de recurso group-b@company.com
, las especificaciones de recursos aplicadas a las políticas en las que está asociado el atributo Social Security numbers
serán group-a@company.com
y group-b@company.com
.
Cuando defines un atributo, puedes elegir si es un atributo superior o secundario. Cuando defines un atributo secundario, debes especificar su atributo superior.
Especificaciones de la columna
Las especificaciones de comportamiento para las columnas. Especifica personas o grupos que tienen acceso de lectura a las columnas. Si asocias un atributo que contiene una especificación de columna con la columna de una tabla, se agrega una etiqueta de política de columna de BigQuery a esa columna.
Especificaciones de los recursos
Los permisos para que las personas o los grupos accedan a los recursos (tablas). Si asocias un atributo con una especificación de recursos, Dataplex propaga los roles de IAM a los usuarios especificados para acceder a las tablas asociadas con el atributo.
Antes de comenzar
Limitaciones
Dataplex propaga las políticas de especificación de columnas como etiquetas de política de BigQuery. BigQuery tiene una limitación de una etiqueta de política por columna. Si ya existe una etiqueta de política en una columna, Dataplex arroja un error en el registro de administración en la pestaña Administrar.
Cuotas
A continuación, se muestran las cuotas y los límites que se aplican al almacén de atributos de Dataplex:
Límite | Predeterminado |
---|---|
Cantidad máxima de taxonomías en una región | 100 |
Cantidad máxima de atributos en todas las taxonomías de una región | 10,000 |
Cantidad máxima de atributos que se pueden asociar con un recurso (tabla) | 50 |
Cantidad máxima de atributos que se pueden asociar con una columna | 100 |
Profundidad máxima por árbol de atributos de datos en una taxonomía de atributos | 4 |
Roles y permisos requeridos
Si quieres obtener los permisos que necesitas para usar el almacén de atributos de Dataplex, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:
-
Administra taxonomías y atributos:
Administrador de taxonomía de Dataplex (
roles/dataplex.taxonomyAdmin
) -
Consulta las vinculaciones asociadas con los recursos y atributos:
Visualizador de taxonomía de Dataplex (
roles/dataplex.taxonomyViewer
) -
Crea y administra recursos de vinculación en un proyecto:
-
Administrador de vinculación de Dataplex (
roles/dataplex.bindingAdmin
) -
Administrador de Dataplex (
roles/dataplex.admin
en el recurso de Zona)
-
Administrador de vinculación de Dataplex (
-
Administra las especificaciones de acceso a datos y recursos:
Administrador de seguridad de Dataplex (
roles/dataplex.securityAdmin
)
Si quieres obtener más información para otorgar roles, consulta Administra el acceso.
Estos roles predefinidos contienen los permisos necesarios para usar el almacén de atributos de Dataplex. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para usar el almacén de atributos de Dataplex:
-
Administra taxonomías y atributos:
-
dataplex.datataxonomies.*
-
dataplex.dataattributes.*
(exceptdataplex.dataattributes.configureResourceAccess
anddataplex.dataattributes.configureDataAccess
)
-
-
Visualiza las vinculaciones asociadas con los recursos y atributos:
-
dataplex.datataxonomies.get
-
dataplex.datataxonomies.list
-
dataplex.dataattributes.get
-
dataplex.dataattributes.list
-
dataplex.dataattributebindings.get
-
dataplex.dataattributebindings.list
-
-
Crea y administra recursos de vinculación en un proyecto:
dataplex.dataattributebindings.*
-
Administra las especificaciones de acceso a los recursos y datos:
-
dataplex.datataxonomies.configureResourceAccess
-
dataplex.datataxonomies.configureDataAccess
-
También puedes obtener estos permisos con roles personalizados o, también, otros roles predefinidos.
Ejemplos de casos de uso
Piensa en una empresa llamada ACME que tiene tres tipos de datos:
- Datos sensibles de
Red
. - Datos de
Green
que están restringidos, pero menos sensibles. - Datos sin clasificar.
El administrador de Dataplex de ACME crea el siguiente conjunto de atributos:
Atributo:
Red
- Especificaciones de columna:
secrets_team@acme
con permiso de lectura - Especificaciones del recurso:
secrets_team@acme
ytenured_employees@acme
con permiso de lectura
- Especificaciones de columna:
Atributo:
Green
- Especificaciones de columna:
full_time_employees@acme
con permiso de lectura - Especificaciones del recurso:
full_time_employees@acme
con permiso de edición
- Especificaciones de columna:
Los atributos Red
y Green
controlan el comportamiento de acceso a los recursos (tablas) según los atributos asociados con las tablas y sus columnas.
Considera una tabla con las siguientes columnas:
- ID
- Código postal
- Nombre
- Dirección
- $Value
Caso de uso 1: Asocia el mismo atributo a la tabla y a una columna
Si asocias el atributo Red
con la tabla y su columna Name, Dataplex propaga las siguientes políticas:
- Los empleados en
secrets_team@acme
ytenured_employees@acme
pueden leer la tabla, ver sus metadatos y consultarla. - Solo los empleados de
secrets_team@acme
pueden consultar la columna Nombre, ya que está protegida por las especificaciones de columna.
Caso de uso 2: Combina atributos
Considera las siguientes asociaciones:
- Asocia los atributos
Red
yGreen
a la tabla. - Asocia los atributos
Red
yGreen
a la columna Name. - Asocia el atributo
Red
con la columna $Value.
En este caso, Dataplex propaga las siguientes políticas:
- Los empleados de
secrets_team@acme
,tenured_employees@acme
yfull_time_employees@acme
pueden acceder a la tabla. Esto se debe a que Dataplex combina las especificaciones de recursos de los atributosRed
yGreen
. - Los empleados de
secrets_team@acme
yfull_time_employees@acme
pueden acceder a la columna Name. Esto se debe a que Dataplex combina las especificaciones de columna de los atributosRed
yGreen
. - Solo los empleados de
secrets_team@acme
pueden hacer consultas en la columna $Value.
Caso de uso 3: Cómo organizar atributos en una jerarquía
Puedes organizar los atributos en una jerarquía especificando los subtipos de atributos. Considera el siguiente conjunto de atributos:
Atributo superior 1:
Atributo: PII
- Especificaciones de la columna:
secrets_team@acme
- Especificaciones de los recursos:
secrets_team@acme
ytenured_employees@acme
Atributo secundario de PII
:
Atributo: Email
- Especificaciones de la columna:
email_comm@acme
- Especificaciones de los recursos:
email_comm@acme
Atributo superior 2:
Atributo: Financial
- Especificaciones de la columna:
full_time_employees@acme
- Especificaciones de los recursos:
full_time_employees@acme
Considera las siguientes asociaciones:
- Asocia los atributos
Email
yFinancial
a la tabla. - Asocia los atributos
Email
yFinancial
a la columna Name. - Asocia el atributo
PII
con la columna $Value.
En este caso, Dataplex propaga las siguientes políticas:
- Los empleados en
secrets_team@acme
,tenured_employees@acme
,full_time_employees@acme
yemail_comm@acme
pueden acceder a la tabla. Esto se debe a que Dataplex combina las especificaciones de recursos de los atributosFinancial
yEmail
, y el atributoEmail
hereda las especificaciones del atributoPII
. - Los empleados en
secrets_team@acme
,email_comm@acme
,full_time_employees@acme
pueden acceder a la columna Nombre. Esto se debe a que Dataplex combina las especificaciones de columna de los atributosFinancial
yEmail
. - Solo los empleados de
secrets_team@acme
pueden hacer consultas en la columna $Value.
Configura los atributos
Para crear un atributo, primero debes crear una taxonomía y, luego, crear los atributos de datos superiores y secundarios.
Cómo crear una taxonomía de atributos de datos
En la consola de Google Cloud, ve a la página Almacén de atributos de Dataplex.
Haz clic en Crear taxonomía.
Ingresa el Nombre de la taxonomía, el ID y la Descripción.
Selecciona una región.
Haz clic en Enviar.
La taxonomía nueva aparece en la página Taxonomías de datos.
Crea un atributo superior
En la consola de Google Cloud, ve a la página Almacén de atributos de Dataplex.
En la página Taxonomías de datos, haz clic en la taxonomía en la que deseas crear el atributo superior.
En la página Detalles de taxonomía, haz clic en Agregar atributo de datos.
Selecciona Crear atributo de datos superior.
Ingrese un nombre, un ID y una descripción para el atributo superior.
Opcional: Configura las especificaciones de los atributos.
Configura las especificaciones de recursos:
- Haz clic en Administrar permisos para Recurso.
- Haz clic en Agregar.
- En el campo Principales nuevas, ingresa la dirección de correo electrónico de una persona o un grupo que necesite acceso al recurso.
- Selecciona los Roles necesarios y haz clic en Guardar.
- Haz clic en Guardar.
Configura las especificaciones de columna:
- Haz clic en Administrar permisos para la Columna.
- Haz clic en Agregar.
- En el campo Principales nuevas, ingresa la dirección de correo electrónico de una persona o un grupo que necesite acceso a la columna.
- Selecciona los Roles necesarios y haz clic en Guardar.
- Haz clic en Guardar.
Haz clic en Crear.
Cómo crear un atributo secundario
En la consola de Google Cloud, ve a la página Almacén de atributos de Dataplex.
En la página Taxonomías de datos, haz clic en la taxonomía en la que deseas crear el atributo secundario.
En la página Detalles de taxonomía, haz clic en Agregar atributo de datos.
Selecciona Crear atributo de datos secundario.
Selecciona un Atributo de datos superior para el atributo secundario que crearás.
Ingresa un nombre, un ID y una descripción para el atributo secundario.
Opcional: Configura las especificaciones de los atributos.
Configura las especificaciones de recursos:
- Haz clic en Administrar permisos para Recurso.
- Haz clic en Agregar.
- En el campo Principales nuevas, ingresa la dirección de correo electrónico de una persona o un grupo que necesite acceso al recurso.
- Selecciona los Roles necesarios y haz clic en Guardar.
- Haz clic en Guardar.
Configura las especificaciones de columna:
- Haz clic en Administrar permisos para la Columna.
- Haz clic en Agregar.
- En el campo Principales nuevas, ingresa la dirección de correo electrónico de una persona o un grupo que necesite acceso a la columna.
- Selecciona los Roles necesarios y haz clic en Guardar.
- Haz clic en Guardar.
Haz clic en Crear.
Actualiza los recursos del almacén de atributos
Actualizar detalles de taxonomía
En la consola de Google Cloud, ve a la página Almacén de atributos de Dataplex.
Haz clic en la taxonomía que deseas actualizar.
Haz clic en Editar.
Edita el nombre de la taxonomía y su descripción según sea necesario.
Haz clic en Enviar.
Actualiza los detalles del atributo
En la consola de Google Cloud, ve a la página Almacén de atributos de Dataplex.
Haz clic en la taxonomía que contiene el atributo que deseas actualizar.
Haz clic en el atributo que quieres actualizar.
Para actualizar el nombre del atributo y la descripción, haz clic en Editar.
- Si actualizas un atributo superior, tienes la opción de actualizarlo a un atributo secundario, y viceversa. Selecciona las opciones según corresponda.
- Edita el nombre del atributo y su descripción según sea necesario.
- Haga clic en Update.
Si deseas actualizar las especificaciones de recursos del atributo, haz clic en
para Especificaciones de recursos.Para agregar una principal nueva, sigue estos pasos:
- Haz clic en Agregar.
- En el campo Principales nuevas, ingresa la dirección de correo electrónico de una persona o un grupo que necesite acceso al recurso.
- Selecciona los Roles necesarios.
- Haz clic en Guardar.
Para actualizar una principal existente, sigue estos pasos:
- Haz clic en para la principal que deseas actualizar.
- Selecciona los Roles necesarios.
- Haz clic en Guardar.
Para quitar una principal existente, sigue estos pasos:
- Selecciona la principal que deseas quitar.
- Haz clic en Quitar.
Si deseas actualizar las especificaciones de columna del atributo, haz clic en
para Especificaciones de columna.Para agregar una principal nueva, sigue estos pasos:
- Haz clic en Agregar.
- En el campo Principales nuevas, ingresa la dirección de correo electrónico de una persona o un grupo que necesite acceso a la columna.
- Selecciona los Roles necesarios.
- Haz clic en Guardar.
Para actualizar una principal existente, sigue estos pasos:
- Haz clic en para la principal que deseas actualizar.
- Selecciona los Roles necesarios.
- Haz clic en Guardar.
Para quitar una principal existente, sigue estos pasos:
- Selecciona la principal que deseas quitar.
- Haz clic en Quitar.
Asocia atributos con recursos
Cómo asociar un atributo a una tabla
En la consola de Google Cloud, ve a la página Almacén de atributos de Dataplex.
Haz clic en la taxonomía que contiene el atributo.
Haz clic en el atributo con el que deseas asociar una tabla.
Haz clic en la pestaña Recursos.
Haz clic en Agregar recursos.
Selecciona una tabla de la lista.
Haz clic en Seleccionar.
Asocia un atributo con una columna
En la consola de Google Cloud, ve a la página Almacén de atributos de Dataplex.
Busca y selecciona la tabla para la que deseas asociar un atributo a una columna.
Haz clic en la pestaña Esquema y etiquetas de columnas.
Haz clic en
en Etiquetas de política para la columna con la que deseas asociar un atributo.Selecciona la taxonomía que contiene el atributo.
Selecciona el atributo.
Haz clic en Adjuntar.
¿Qué sigue?
- Obtén más información sobre la seguridad de Dataplex.
- Obtén más información sobre la administración de políticas en Dataplex.
- Obtén más información sobre las funciones de IAM de Dataplex.