Usa archivio attributi Dataplex

Questo documento mostra come utilizzare l'archivio attributi Dataplex.

L'archivio attributi Dataplex è un'infrastruttura estensibile che consente di specificare comportamenti relativi ai criteri sulle risorse associate. Gli amministratori di Dataplex possono utilizzare l'archivio attributi per definire la modalità di trattamento di determinati dati, associandoli agli attributi.

Il vantaggio principale dello sfruttamento dell'archivio attributi è che puoi aggiungere più attributi a un oggetto, ad esempio una colonna. L'archivio attributi unisce i comportamenti di tutti gli attributi associati a un oggetto e li presenta come un unico criterio sulla risorsa sottostante.

Puoi impostare attributi su set di dati pubblicati. I set di dati pubblicati si riferiscono ai set di dati creati da Dataplex dalle tabelle rilevate in un asset del bucket.

Sono supportati i seguenti comportamenti dei criteri:

  • Specifiche della risorsa: specifica l'accesso a una risorsa, ad esempio una tabella.
  • Specifiche delle colonne: specifica l'accesso a una colonna in una tabella BigQuery.

Puoi utilizzare l'archivio attributi per definire una gerarchia di attributi chiamata tassonomia. In una tassonomia, un attributo figlio eredita le specifiche dalla gerarchia degli attributi principali. Le specifiche dell'elemento padre e secondario vengono unite in un elenco unificato, che viene propagato alla risorsa.

Puoi utilizzare l'archivio attributi Dataplex per eseguire le seguenti operazioni:

  • Crea tassonomie.
  • Crea attributi e organizzali in una gerarchia.
  • Associa uno o più attributi alle tabelle.
  • Associa uno o più attributi alle colonne.

Terminologia

Nel documento viene utilizzata la seguente terminologia:

Tassonomia degli attributi

Una tassonomia dei dati è una gerarchia di attributi. In una tassonomia, gli attributi nei nodi principali consentono agli attributi secondari (attributi figlio) di ereditare e aggiungere le specifiche di comportamento degli attributi padre alle proprie.

Ad esempio: se un attributo denominato PII ha una specifica della risorsa group-a@company.com e un attributo secondario di PII denominato Social Security numbers ha una specifica della risorsa group-b@company.com, le specifiche della risorsa applicate ai criteri a cui sono associati l'attributo Social Security numbers saranno group-a@company.com e group-b@company.com.

Quando definisci un attributo, puoi scegliere se è principale o secondario. Quando definisci un attributo figlio, devi specificarne l'attributo principale.

Specifiche delle colonne

Le specifiche di comportamento per le colonne. Specifica persone o gruppi che hanno accesso in lettura alle colonne. Se associ un attributo contenente una specifica di colonna alla colonna di una tabella, verrà aggiunto un tag del criterio della colonna BigQuery a quella colonna.

Specifiche delle risorse

Le autorizzazioni per persone o gruppi per l'accesso alle risorse (tabelle). Se associ un attributo alla specifica delle risorse, Dataplex promuove i ruoli IAM agli utenti specificati per l'accesso alle tabelle associate all'attributo.

Prima di iniziare

Limitazioni

Dataplex propaga i criteri di specifica delle colonne come tag di criteri BigQuery. BigQuery prevede un limite di un tag di criteri per colonna. Se in una colonna è già presente un tag di criteri, Dataplex genera un errore nel log di governance della scheda Gestisci.

Quote

Di seguito sono riportate le quote e i limiti che si applicano all'archivio attributi Dataplex:

Limite Predefinito
Numero massimo di tassonomie in una regione 100
Numero massimo di attributi in tutte le tassonomie di una regione 10.000
Numero massimo di attributi che possono essere associati a una risorsa (tabella) 50
Numero massimo di attributi che possono essere associati a una colonna 100
Profondità massima per albero degli attributi dei dati in una tassonomia degli attributi 4

Autorizzazioni e ruoli richiesti

Per ottenere le autorizzazioni necessarie per utilizzare l'archivio attributi Dataplex, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare l'archivio attributi Dataplex. Per visualizzare le autorizzazioni esatte necessarie, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per utilizzare l'archivio degli attributi Dataplex, sono necessarie le autorizzazioni seguenti:

  • Gestisci tassonomie e attributi:
    • dataplex.datataxonomies.*
    • dataplex.dataattributes.* (except dataplex.dataattributes.configureResourceAccess and dataplex.dataattributes.configureDataAccess)
  • Visualizza le associazioni associate a risorse e attributi:
    • dataplex.datataxonomies.get
    • dataplex.datataxonomies.list
    • dataplex.dataattributes.get
    • dataplex.dataattributes.list
    • dataplex.dataattributebindings.get
    • dataplex.dataattributebindings.list
  • Crea e gestisci risorse di associazione in un progetto: dataplex.dataattributebindings.*
  • Gestisci le specifiche dell'accesso alle risorse e ai dati:
    • dataplex.datataxonomies.configureResourceAccess
    • dataplex.datataxonomies.configureDataAccess

Potresti anche essere in grado di ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.

Esempi di casi d'uso

Prendiamo in considerazione un'azienda denominata ACME che dispone di tre tipi di dati:

  • Red di dati sensibili.
  • Green di dati soggetti a restrizioni, ma meno sensibili.
  • Dati senza categoria.

L'amministratore Dataplex di ACME crea il seguente set di attributi:

  • Attributo: Red

    • Specifiche della colonna: secrets_team@acme con autorizzazione di lettura
    • Specifiche delle risorse: secrets_team@acme e tenured_employees@acme con autorizzazione di lettura

  • Attributo: Green

    • Specifiche della colonna: full_time_employees@acme con autorizzazione di lettura
    • Specifiche della risorsa: full_time_employees@acme con autorizzazione di modifica

Questa immagine contiene le specifiche delle colonne e delle risorse per gli attributi rosso e verde.

Gli attributi Red e Green controllano il comportamento di accesso alle risorse (tabelle) a seconda degli attributi associati alle tabelle e alle relative colonne.

Considera una tabella con le seguenti colonne:

  • ID
  • Codice postale
  • Nome
  • Indirizzo
  • Valore$

Caso d'uso 1: associare lo stesso attributo alla tabella e a una colonna

Questa immagine mostra l'attributo rosso associato alla tabella e al nome della colonna.

Se associ l'attributo Red alla tabella e alla relativa colonna Nome, Dataplex propaga i seguenti criteri:

  • I dipendenti in secrets_team@acme e tenured_employees@acme possono leggere la tabella, visualizzarne i metadati ed eseguire query.
  • Solo i dipendenti di secrets_team@acme possono eseguire query sulla colonna Nome, poiché è ulteriormente protetta dalle specifiche della colonna.

Caso d'uso 2: combinare gli attributi

Considera le seguenti associazioni:

  • Associa gli attributi Red e Green alla tabella.
  • Associa gli attributi Red e Green alla colonna Nome.
  • Associa l'attributo Red alla colonna $Value.

Questa immagine mostra gli attributi rosso e verde associati alla tabella e al nome della colonna e l'attributo rosso associato alla colonna $value

In questo caso, Dataplex propaga i seguenti criteri:

  • I dipendenti in secrets_team@acme, tenured_employees@acme e full_time_employees@acme possono accedere alla tabella. Questo perché Dataplex unisce le specifiche delle risorse degli attributi Red e Green.
  • I dipendenti sia in secrets_team@acme che in full_time_employees@acme possono accedere alla colonna Nome. Questo perché Dataplex unisce le specifiche di colonna degli attributi Red e Green.
  • Solo i dipendenti di secrets_team@acme possono eseguire query sulla colonna $Value.

Caso d'uso 3: organizzare gli attributi in una gerarchia

Puoi organizzare gli attributi in una gerarchia specificando i sottotipi degli attributi. Considera il seguente insieme di attributi:

Attributo principale 1:
Attributo: PII

  • Specifiche della colonna: secrets_team@acme
  • Specifiche della risorsa: secrets_team@acme e tenured_employees@acme

Attributo secondario di PII:
Attributo: Email

  • Specifiche della colonna: email_comm@acme
  • Specifiche della risorsa: email_comm@acme

Attributo principale 2:
Attributo: Financial

  • Specifiche della colonna: full_time_employees@acme
  • Specifiche della risorsa: full_time_employees@acme

Questa immagine mostra un esempio di gerarchia degli attributi.

Considera le seguenti associazioni:

  • Associa gli attributi Email e Financial alla tabella.
  • Associa gli attributi Email e Financial alla colonna Nome.
  • Associa l'attributo PII alla colonna $Value.

Questa immagine mostra come associare gli attributi in una gerarchia alla tabella e alle colonne.

In questo caso, Dataplex propaga i seguenti criteri:

  • I dipendenti in secrets_team@acme, tenured_employees@acme, full_time_employees@acme e email_comm@acme possono accedere alla tabella. Questo perché Dataplex unisce le specifiche delle risorse degli attributi Financial e Email e l'attributo Email eredita le specifiche dall'attributo PII.
  • I dipendenti in secrets_team@acme, email_comm@acme, full_time_employees@acme possono accedere alla colonna Nome. Questo perché Dataplex unisce le specifiche di colonna degli attributi Financial e Email.
  • Solo i dipendenti di secrets_team@acme possono eseguire query sulla colonna $Value.

Configura gli attributi

Per creare un attributo, devi prima creare una tassonomia, quindi creare gli attributi dei dati principali e secondari.

Creare una tassonomia degli attributi dei dati

  1. Nella console Google Cloud, vai alla pagina Archivio attributi di Dataplex.

    Vai all'archivio attributi

  2. Fai clic su Crea tassonomia.

  3. Inserisci il Nome tassonomia, l'ID e la Descrizione.

  4. Seleziona una regione.

  5. Fai clic su Invia.

    La nuova tassonomia viene visualizzata nella pagina Tassonomie dei dati.

Crea un attributo principale

  1. Nella console Google Cloud, vai alla pagina Archivio attributi di Dataplex.

    Vai all'archivio attributi

  2. Nella pagina Tassonomie dei dati, fai clic sulla tassonomia in cui vuoi creare l'attributo principale.

  3. Nella pagina Dettagli tassonomia, fai clic su Aggiungi attributo dati.

  4. Seleziona Crea attributo dei dati principali.

  5. Inserisci un nome, un ID e una descrizione per l'attributo principale.

  6. (Facoltativo) Configura le specifiche degli attributi.

    1. Configura le specifiche delle risorse:

      1. Fai clic su Gestisci autorizzazioni per Risorsa.
      2. Fai clic su Aggiungi.
      3. Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla risorsa.
      4. Seleziona i Ruoli richiesti e fai clic su Salva.
      5. Fai clic su Salva.

    2. Impostare le specifiche delle colonne:

      1. Fai clic su Gestisci autorizzazioni per Colonna.
      2. Fai clic su Aggiungi.
      3. Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla colonna.
      4. Seleziona i Ruoli richiesti e fai clic su Salva.
      5. Fai clic su Salva.

  7. Fai clic su Crea.

Crea un attributo secondario

  1. Nella console Google Cloud, vai alla pagina Archivio attributi di Dataplex.

    Vai all'archivio attributi

  2. Nella pagina Tassonomie dei dati, fai clic sulla tassonomia in cui vuoi creare l'attributo figlio.

  3. Nella pagina Dettagli tassonomia, fai clic su Aggiungi attributo dati.

  4. Seleziona Crea attributo dei dati secondari.

  5. Seleziona un attributo dei dati principali per l'attributo secondario che stai creando.

  6. Inserisci un nome, un ID e una descrizione per l'attributo secondario.

  7. (Facoltativo) Configura le specifiche degli attributi.

    1. Configura le specifiche delle risorse:

      1. Fai clic su Gestisci autorizzazioni per Risorsa.
      2. Fai clic su Aggiungi.
      3. Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla risorsa.
      4. Seleziona i Ruoli richiesti e fai clic su Salva.
      5. Fai clic su Salva.

    2. Impostare le specifiche delle colonne:

      1. Fai clic su Gestisci autorizzazioni per Colonna.
      2. Fai clic su Aggiungi.
      3. Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla colonna.
      4. Seleziona i Ruoli richiesti e fai clic su Salva.
      5. Fai clic su Salva.

  8. Fai clic su Crea.

Aggiorna risorse archivio attributi

Aggiorna i dettagli della tassonomia

  1. Nella console Google Cloud, vai alla pagina Archivio attributi di Dataplex.

    Vai all'archivio attributi

  2. Fai clic sulla tassonomia che vuoi aggiornare.

  3. Fai clic su Modifica.

  4. Modifica il nome della tassonomia e la relativa descrizione, se necessario.

  5. Fai clic su Invia.

Aggiorna dettagli attributo

  1. Nella console Google Cloud, vai alla pagina Archivio attributi di Dataplex.

    Vai all'archivio attributi

  2. Fai clic sulla tassonomia che contiene l'attributo da aggiornare.

  3. Fai clic sull'attributo da aggiornare.

  4. Per aggiornare il nome e la descrizione dell'attributo, fai clic su Modifica.

    1. Se stai aggiornando un attributo principale, hai la possibilità di aggiornarlo in un attributo figlio e viceversa. Seleziona le opzioni di conseguenza.
    2. Modifica il nome dell'attributo e la relativa descrizione in base alle esigenze.
    3. Fai clic su Update (Aggiorna).

  5. Per aggiornare le specifiche delle risorse per l'attributo, fai clic su in corrispondenza di Specifiche delle risorse.

    1. Per aggiungere una nuova entità:

      1. Fai clic su Aggiungi.
      2. Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla risorsa.
      3. Seleziona i Ruoli richiesti.
      4. Fai clic su Salva.

    2. Per aggiornare un'entità esistente:

      1. Fai clic su per l'entità da aggiornare.
      2. Seleziona i Ruoli richiesti.
      3. Fai clic su Salva.

    3. Per rimuovere un'entità esistente:

      1. Seleziona l'entità che vuoi rimuovere.
      2. Fai clic su Rimuovi.

  6. Per aggiornare le specifiche di colonna per l'attributo, fai clic su in corrispondenza di Specifiche di colonna.

    1. Per aggiungere una nuova entità:

      1. Fai clic su Aggiungi.
      2. Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla colonna.
      3. Seleziona i Ruoli richiesti.
      4. Fai clic su Salva.

    2. Per aggiornare un'entità esistente:

      1. Fai clic su per l'entità da aggiornare.
      2. Seleziona i Ruoli richiesti.
      3. Fai clic su Salva.

    3. Per rimuovere un'entità esistente:

      1. Seleziona l'entità che vuoi rimuovere.
      2. Fai clic su Rimuovi.

Associa gli attributi alle risorse

Associare un attributo a una tabella

  1. Nella console Google Cloud, vai alla pagina Archivio attributi di Dataplex.

    Vai all'archivio attributi

  2. Fai clic sulla tassonomia che contiene l'attributo.

  3. Fai clic sull'attributo a cui vuoi associare una tabella.

  4. Fai clic sulla scheda Risorse.

  5. Fai clic su Aggiungi risorse.

  6. Seleziona una tabella dall'elenco.

  7. Fai clic su Seleziona.

Associare un attributo a una colonna

  1. Nella console Google Cloud, vai alla pagina Archivio attributi di Dataplex.

    Vai all'archivio attributi

  2. Cerca e seleziona la tabella per la quale vuoi associare un attributo a una colonna.

  3. Fai clic sulla scheda Tag di schema e colonna.

  4. Fai clic su in Tag di criteri per la colonna a cui vuoi associare un attributo.

  5. Seleziona la tassonomia che contiene l'attributo.

  6. Seleziona l'attributo.

  7. Fai clic su Allega.

Passaggi successivi