Questo documento mostra come utilizzare l'archivio attributi Dataplex.
L'archivio attributi Dataplex è un'infrastruttura estensibile che consente di specificare comportamenti relativi ai criteri sulle risorse associate. Gli amministratori di Dataplex possono utilizzare l'archivio attributi per definire la modalità di trattamento di determinati dati, associandoli agli attributi.
Il vantaggio principale dello sfruttamento dell'archivio attributi è che puoi aggiungere più attributi a un oggetto, ad esempio una colonna. L'archivio attributi unisce i comportamenti di tutti gli attributi associati a un oggetto e li presenta come un unico criterio sulla risorsa sottostante.
Puoi impostare attributi su set di dati pubblicati. I set di dati pubblicati si riferiscono ai set di dati creati da Dataplex dalle tabelle rilevate in un asset del bucket.
Sono supportati i seguenti comportamenti dei criteri:
- Specifiche della risorsa: specifica l'accesso a una risorsa, ad esempio una tabella.
- Specifiche delle colonne: specifica l'accesso a una colonna in una tabella BigQuery.
Puoi utilizzare l'archivio attributi per definire una gerarchia di attributi chiamata tassonomia. In una tassonomia, un attributo figlio eredita le specifiche dalla gerarchia degli attributi principali. Le specifiche dell'elemento padre e secondario vengono unite in un elenco unificato, che viene propagato alla risorsa.
Puoi utilizzare l'archivio attributi Dataplex per eseguire le seguenti operazioni:
- Crea tassonomie.
- Crea attributi e organizzali in una gerarchia.
- Associa uno o più attributi alle tabelle.
- Associa uno o più attributi alle colonne.
Terminologia
Nel documento viene utilizzata la seguente terminologia:
Tassonomia degli attributi
Una tassonomia dei dati è una gerarchia di attributi. In una tassonomia, gli attributi nei nodi principali consentono agli attributi secondari (attributi figlio) di ereditare e aggiungere le specifiche di comportamento degli attributi padre alle proprie.
Ad esempio:
se un attributo denominato PII
ha una specifica della risorsa group-a@company.com
e un attributo secondario di PII
denominato Social Security numbers
ha una specifica
della risorsa group-b@company.com
, le specifiche della risorsa applicate ai
criteri a cui sono associati l'attributo Social Security numbers
saranno
group-a@company.com
e group-b@company.com
.
Quando definisci un attributo, puoi scegliere se è principale o secondario. Quando definisci un attributo figlio, devi specificarne l'attributo principale.
Specifiche delle colonne
Le specifiche di comportamento per le colonne. Specifica persone o gruppi che hanno accesso in lettura alle colonne. Se associ un attributo contenente una specifica di colonna alla colonna di una tabella, verrà aggiunto un tag del criterio della colonna BigQuery a quella colonna.
Specifiche delle risorse
Le autorizzazioni per persone o gruppi per l'accesso alle risorse (tabelle). Se associ un attributo alla specifica delle risorse, Dataplex promuove i ruoli IAM agli utenti specificati per l'accesso alle tabelle associate all'attributo.
Prima di iniziare
Limitazioni
Dataplex propaga i criteri di specifica delle colonne come tag di criteri BigQuery. BigQuery prevede un limite di un tag di criteri per colonna. Se in una colonna è già presente un tag di criteri, Dataplex genera un errore nel log di governance della scheda Gestisci.
Quote
Di seguito sono riportate le quote e i limiti che si applicano all'archivio attributi Dataplex:
Limite | Predefinito |
---|---|
Numero massimo di tassonomie in una regione | 100 |
Numero massimo di attributi in tutte le tassonomie di una regione | 10.000 |
Numero massimo di attributi che possono essere associati a una risorsa (tabella) | 50 |
Numero massimo di attributi che possono essere associati a una colonna | 100 |
Profondità massima per albero degli attributi dei dati in una tassonomia degli attributi | 4 |
Autorizzazioni e ruoli richiesti
Per ottenere le autorizzazioni necessarie per utilizzare l'archivio attributi Dataplex, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:
-
Gestisci tassonomie e attributi:
Amministratore tassonomia Dataplex (
roles/dataplex.taxonomyAdmin
) -
Visualizza le associazioni associate a risorse e attributi:
Visualizzatore tassonomia Dataplex (
roles/dataplex.taxonomyViewer
) -
Crea e gestisci risorse di associazione in un progetto:
-
Amministratore associazione Dataplex (
roles/dataplex.bindingAdmin
) -
Amministratore Dataplex (
roles/dataplex.admin
sulla risorsa di zona)
-
Amministratore associazione Dataplex (
-
Gestisci le specifiche di accesso a risorse e dati:
Amministratore sicurezza Dataplex (
roles/dataplex.securityAdmin
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare l'archivio attributi Dataplex. Per visualizzare le autorizzazioni esatte necessarie, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per utilizzare l'archivio degli attributi Dataplex, sono necessarie le autorizzazioni seguenti:
-
Gestisci tassonomie e attributi:
-
dataplex.datataxonomies.*
-
dataplex.dataattributes.*
(exceptdataplex.dataattributes.configureResourceAccess
anddataplex.dataattributes.configureDataAccess
)
-
-
Visualizza le associazioni associate a risorse e attributi:
-
dataplex.datataxonomies.get
-
dataplex.datataxonomies.list
-
dataplex.dataattributes.get
-
dataplex.dataattributes.list
-
dataplex.dataattributebindings.get
-
dataplex.dataattributebindings.list
-
-
Crea e gestisci risorse di associazione in un progetto:
dataplex.dataattributebindings.*
-
Gestisci le specifiche dell'accesso alle risorse e ai dati:
-
dataplex.datataxonomies.configureResourceAccess
-
dataplex.datataxonomies.configureDataAccess
-
Potresti anche essere in grado di ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
Esempi di casi d'uso
Prendiamo in considerazione un'azienda denominata ACME che dispone di tre tipi di dati:
Red
di dati sensibili.Green
di dati soggetti a restrizioni, ma meno sensibili.- Dati senza categoria.
L'amministratore Dataplex di ACME crea il seguente set di attributi:
Attributo:
Red
- Specifiche della colonna:
secrets_team@acme
con autorizzazione di lettura - Specifiche delle risorse:
secrets_team@acme
etenured_employees@acme
con autorizzazione di lettura
- Specifiche della colonna:
Attributo:
Green
- Specifiche della colonna:
full_time_employees@acme
con autorizzazione di lettura - Specifiche della risorsa:
full_time_employees@acme
con autorizzazione di modifica
- Specifiche della colonna:
Gli attributi Red
e Green
controllano il comportamento di accesso alle risorse (tabelle) a seconda degli attributi associati alle tabelle e alle relative colonne.
Considera una tabella con le seguenti colonne:
- ID
- Codice postale
- Nome
- Indirizzo
- Valore$
Caso d'uso 1: associare lo stesso attributo alla tabella e a una colonna
Se associ l'attributo Red
alla tabella e alla relativa colonna Nome, Dataplex propaga i seguenti criteri:
- I dipendenti in
secrets_team@acme
etenured_employees@acme
possono leggere la tabella, visualizzarne i metadati ed eseguire query. - Solo i dipendenti di
secrets_team@acme
possono eseguire query sulla colonna Nome, poiché è ulteriormente protetta dalle specifiche della colonna.
Caso d'uso 2: combinare gli attributi
Considera le seguenti associazioni:
- Associa gli attributi
Red
eGreen
alla tabella. - Associa gli attributi
Red
eGreen
alla colonna Nome. - Associa l'attributo
Red
alla colonna $Value.
In questo caso, Dataplex propaga i seguenti criteri:
- I dipendenti in
secrets_team@acme
,tenured_employees@acme
efull_time_employees@acme
possono accedere alla tabella. Questo perché Dataplex unisce le specifiche delle risorse degli attributiRed
eGreen
. - I dipendenti sia in
secrets_team@acme
che infull_time_employees@acme
possono accedere alla colonna Nome. Questo perché Dataplex unisce le specifiche di colonna degli attributiRed
eGreen
. - Solo i dipendenti di
secrets_team@acme
possono eseguire query sulla colonna $Value.
Caso d'uso 3: organizzare gli attributi in una gerarchia
Puoi organizzare gli attributi in una gerarchia specificando i sottotipi degli attributi. Considera il seguente insieme di attributi:
Attributo principale 1:
Attributo: PII
- Specifiche della colonna:
secrets_team@acme
- Specifiche della risorsa:
secrets_team@acme
etenured_employees@acme
Attributo secondario di PII
:
Attributo: Email
- Specifiche della colonna:
email_comm@acme
- Specifiche della risorsa:
email_comm@acme
Attributo principale 2:
Attributo: Financial
- Specifiche della colonna:
full_time_employees@acme
- Specifiche della risorsa:
full_time_employees@acme
Considera le seguenti associazioni:
- Associa gli attributi
Email
eFinancial
alla tabella. - Associa gli attributi
Email
eFinancial
alla colonna Nome. - Associa l'attributo
PII
alla colonna $Value.
In questo caso, Dataplex propaga i seguenti criteri:
- I dipendenti in
secrets_team@acme
,tenured_employees@acme
,full_time_employees@acme
eemail_comm@acme
possono accedere alla tabella. Questo perché Dataplex unisce le specifiche delle risorse degli attributiFinancial
eEmail
e l'attributoEmail
eredita le specifiche dall'attributoPII
. - I dipendenti in
secrets_team@acme
,email_comm@acme
,full_time_employees@acme
possono accedere alla colonna Nome. Questo perché Dataplex unisce le specifiche di colonna degli attributiFinancial
eEmail
. - Solo i dipendenti di
secrets_team@acme
possono eseguire query sulla colonna $Value.
Configura gli attributi
Per creare un attributo, devi prima creare una tassonomia, quindi creare gli attributi dei dati principali e secondari.
Creare una tassonomia degli attributi dei dati
Nella console Google Cloud, vai alla pagina Archivio attributi di Dataplex.
Fai clic su Crea tassonomia.
Inserisci il Nome tassonomia, l'ID e la Descrizione.
Seleziona una regione.
Fai clic su Invia.
La nuova tassonomia viene visualizzata nella pagina Tassonomie dei dati.
Crea un attributo principale
Nella console Google Cloud, vai alla pagina Archivio attributi di Dataplex.
Nella pagina Tassonomie dei dati, fai clic sulla tassonomia in cui vuoi creare l'attributo principale.
Nella pagina Dettagli tassonomia, fai clic su Aggiungi attributo dati.
Seleziona Crea attributo dei dati principali.
Inserisci un nome, un ID e una descrizione per l'attributo principale.
(Facoltativo) Configura le specifiche degli attributi.
Configura le specifiche delle risorse:
- Fai clic su Gestisci autorizzazioni per Risorsa.
- Fai clic su Aggiungi.
- Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla risorsa.
- Seleziona i Ruoli richiesti e fai clic su Salva.
- Fai clic su Salva.
Impostare le specifiche delle colonne:
- Fai clic su Gestisci autorizzazioni per Colonna.
- Fai clic su Aggiungi.
- Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla colonna.
- Seleziona i Ruoli richiesti e fai clic su Salva.
- Fai clic su Salva.
Fai clic su Crea.
Crea un attributo secondario
Nella console Google Cloud, vai alla pagina Archivio attributi di Dataplex.
Nella pagina Tassonomie dei dati, fai clic sulla tassonomia in cui vuoi creare l'attributo figlio.
Nella pagina Dettagli tassonomia, fai clic su Aggiungi attributo dati.
Seleziona Crea attributo dei dati secondari.
Seleziona un attributo dei dati principali per l'attributo secondario che stai creando.
Inserisci un nome, un ID e una descrizione per l'attributo secondario.
(Facoltativo) Configura le specifiche degli attributi.
Configura le specifiche delle risorse:
- Fai clic su Gestisci autorizzazioni per Risorsa.
- Fai clic su Aggiungi.
- Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla risorsa.
- Seleziona i Ruoli richiesti e fai clic su Salva.
- Fai clic su Salva.
Impostare le specifiche delle colonne:
- Fai clic su Gestisci autorizzazioni per Colonna.
- Fai clic su Aggiungi.
- Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla colonna.
- Seleziona i Ruoli richiesti e fai clic su Salva.
- Fai clic su Salva.
Fai clic su Crea.
Aggiorna risorse archivio attributi
Aggiorna i dettagli della tassonomia
Nella console Google Cloud, vai alla pagina Archivio attributi di Dataplex.
Fai clic sulla tassonomia che vuoi aggiornare.
Fai clic su Modifica.
Modifica il nome della tassonomia e la relativa descrizione, se necessario.
Fai clic su Invia.
Aggiorna dettagli attributo
Nella console Google Cloud, vai alla pagina Archivio attributi di Dataplex.
Fai clic sulla tassonomia che contiene l'attributo da aggiornare.
Fai clic sull'attributo da aggiornare.
Per aggiornare il nome e la descrizione dell'attributo, fai clic su Modifica.
- Se stai aggiornando un attributo principale, hai la possibilità di aggiornarlo in un attributo figlio e viceversa. Seleziona le opzioni di conseguenza.
- Modifica il nome dell'attributo e la relativa descrizione in base alle esigenze.
- Fai clic su Update (Aggiorna).
Per aggiornare le specifiche delle risorse per l'attributo, fai clic su
in corrispondenza di Specifiche delle risorse.Per aggiungere una nuova entità:
- Fai clic su Aggiungi.
- Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla risorsa.
- Seleziona i Ruoli richiesti.
- Fai clic su Salva.
Per aggiornare un'entità esistente:
- Fai clic su per l'entità da aggiornare.
- Seleziona i Ruoli richiesti.
- Fai clic su Salva.
Per rimuovere un'entità esistente:
- Seleziona l'entità che vuoi rimuovere.
- Fai clic su Rimuovi.
Per aggiornare le specifiche di colonna per l'attributo, fai clic su
in corrispondenza di Specifiche di colonna.Per aggiungere una nuova entità:
- Fai clic su Aggiungi.
- Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla colonna.
- Seleziona i Ruoli richiesti.
- Fai clic su Salva.
Per aggiornare un'entità esistente:
- Fai clic su per l'entità da aggiornare.
- Seleziona i Ruoli richiesti.
- Fai clic su Salva.
Per rimuovere un'entità esistente:
- Seleziona l'entità che vuoi rimuovere.
- Fai clic su Rimuovi.
Associa gli attributi alle risorse
Associare un attributo a una tabella
Nella console Google Cloud, vai alla pagina Archivio attributi di Dataplex.
Fai clic sulla tassonomia che contiene l'attributo.
Fai clic sull'attributo a cui vuoi associare una tabella.
Fai clic sulla scheda Risorse.
Fai clic su Aggiungi risorse.
Seleziona una tabella dall'elenco.
Fai clic su Seleziona.
Associare un attributo a una colonna
Nella console Google Cloud, vai alla pagina Archivio attributi di Dataplex.
Cerca e seleziona la tabella per la quale vuoi associare un attributo a una colonna.
Fai clic sulla scheda Tag di schema e colonna.
Fai clic su
in Tag di criteri per la colonna a cui vuoi associare un attributo.Seleziona la tassonomia che contiene l'attributo.
Seleziona l'attributo.
Fai clic su Allega.
Passaggi successivi
- Scopri di più sulla sicurezza Dataplex.
- Scopri di più sulla gestione dei criteri in Dataplex.
- Scopri di più sui ruoli IAM Dataplex.