Utilizzare l'archivio attributi Dataplex

Questo documento descrive come utilizzare il Dataplex Attribute Store.

Il Dataplex Attribute Store è un'infrastruttura estensibile che consente di specificare comportamenti correlati ai criteri nelle risorse associate. Gli amministratori di Dataplex possono utilizzare l'Attribute Store per definire il modo in cui devono essere trattati determinati dati associandoli ad attributi.

Con l'Attribute Store puoi aggiungere più attributi a un oggetto, ad esempio una colonna. L'Attribute Store unisce i comportamenti di tutti gli attributi associati a un oggetto e li presenta come un'unica norma nella risorsa di base.

Puoi impostare gli attributi per i set di dati pubblicati. I set di dati pubblicati fanno riferimento ai set di dati creati da Dataplex dalle tabelle rilevate in un asset bucket.

Sono supportati i seguenti comportamenti delle norme:

  • Specifiche delle risorse: specifica l'accesso a una risorsa, ad esempio una tabella
  • Specifiche delle colonne: specifica l'accesso a una colonna in una tabella BigQuery

Puoi utilizzare il repository di attributi per definire una gerarchia di attributi chiamata tassonomia. In una tassonomia, un attributo secondario eredita le specifiche dalla gerarchia degli attributi principali. Le specifiche della risorsa principale vengono unite in un elenco unificato, che viene propagato alla risorsa.

Puoi utilizzare il Dataplex Attribute Store per:

  • Creare tassonomie.
  • Crea gli attributi e organizzali in una gerarchia.
  • Associa uno o più attributi alle tabelle.
  • Associa uno o più attributi alle colonne.

Terminologia

Questa sezione descrive la terminologia utilizzata in questo documento.

Tassonomia degli attributi

Una tassonomia dei dati è una gerarchia di attributi. In una tassonomia, gli attributi dei nodi principali consentono agli attributi sottostanti (attributi secondari) di ereditare e aggiungere alle proprie le specifiche di comportamento degli attributi principali.

Ad esempio: se un attributo denominato PII ha una specifica della risorsa group-a@company.com e un attributo secondario di PII denominato Social Security numbers ha una specifica della risorsagroup-b@company.com, le specifiche della risorsa applicate ai criteri a cui è associato l'attributo Social Security numbers sarannogroup-a@company.com e group-b@company.com.

Quando definisci un attributo, puoi scegliere se si tratta di un attributo principale o secondario. Quando definisci un attributo secondario, devi specificare l'attributo principale.

Specifiche delle colonne

Le specifiche di comportamento per le colonne. Specifica le persone o i gruppi che hanno accesso in lettura alle colonne. Se associ un attributo contenente una specifica della colonna alla colonna di una tabella, a questa colonna viene aggiunto un tag di criteri per le colonne BigQuery.

Specifiche delle risorse

Le autorizzazioni per persone o gruppi per accedere alle risorse (tabelle). Se associ un attributo alla specifica della risorsa, Dataplex propaga i ruoli IAM agli utenti specificati per accedere alle tabelle associate all'attributo.

Prima di iniziare

Limitazioni

Dataplex propaga le norme di specifica delle colonne come tag di criteri BigQuery. BigQuery ha una limitazione di un tag criterio per colonna. Se in una colonna esiste già un tag criterio, Dataplex genera un errore nel log di governance nella scheda Gestisci.

Quote

Di seguito sono riportate le quote e i limiti che si applicano allo Store di attributi Dataplex:

Limite Predefinito
Numero massimo di tassonomie in una regione 100
Numero massimo di attributi in tutte le tassonomie di una regione 10.000
Numero massimo di attributi che possono essere associati a una risorsa (tabella) 50
Numero massimo di attributi che possono essere associati a una colonna 100
Profondità massima per albero di attributi dei dati in una tassonomia degli attributi 4

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per utilizzare l'attributo store Dataplex, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

  • Gestisci le tassonomie e gli attributi: Dataplex Taxonomy Admin (roles/dataplex.taxonomyAdmin)
  • Visualizza le associazioni associate a risorse e attributi: Dataplex Taxonomy Viewer (roles/dataplex.taxonomyViewer)
  • Crea e gestisci le risorse di associazione in un progetto:
  • Gestisci le specifiche di accesso alle risorse e ai dati: Dataplex Security Admin (roles/dataplex.securityAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare l'attributo store Dataplex. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per utilizzare l'attributo store Dataplex sono necessarie le seguenti autorizzazioni:

  • Gestisci le tassonomie e gli attributi:
    • dataplex.datataxonomies.*
    • dataplex.dataattributes.* (except dataplex.dataattributes.configureResourceAccess and dataplex.dataattributes.configureDataAccess)
  • Visualizza le associazioni associate a risorse e attributi:
    • dataplex.datataxonomies.get
    • dataplex.datataxonomies.list
    • dataplex.dataattributes.get
    • dataplex.dataattributes.list
    • dataplex.dataattributebindings.get
    • dataplex.dataattributebindings.list
  • Crea e gestisci le risorse di associazione in un progetto: dataplex.dataattributebindings.*
  • Gestisci le specifiche di accesso alle risorse e ai dati:
    • dataplex.datataxonomies.configureResourceAccess
    • dataplex.datataxonomies.configureDataAccess

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Esempi di casi d'uso

Prendiamo ad esempio un'azienda denominata ACME che dispone di tre tipi di dati:

  • Dati Red sensibili
  • Dati Green con limitazioni, ma meno sensibili
  • Dati senza categoria

L'amministratore di Dataplex di ACME crea il seguente insieme di attributi:

  • Attributo: Red

    • Specifiche delle colonne: secrets_team@acme con autorizzazione di lettura
    • Specifiche delle risorse: secrets_team@acme e tenured_employees@acme con autorizzazione di lettura

  • Attributo: Green

    • Specifiche delle colonne: full_time_employees@acme con autorizzazione di lettura
    • Specifiche delle risorse: full_time_employees@acme con autorizzazione di modifica

Questa immagine contiene le specifiche della colonna e della risorsa per gli attributi Rosso e Verde.

Gli attributi Red e Green controllano il comportamento di accesso alle risorse (tabelle) in base agli attributi associati alle tabelle e alle relative colonne.

Considera una tabella con le seguenti colonne:

  • ID
  • Codice postale
  • Nome
  • Indirizzo
  • $Valore

Caso d'uso 1: associa lo stesso attributo alla tabella e a una colonna

Questa immagine mostra l'attributo Rosso associato alla tabella e alla colonna Nome.

Se associ l'attributo Red alla tabella e alla relativa colonna Nome, Dataplex propaga le seguenti norme:

  • I dipendenti di secrets_team@acme e tenured_employees@acme possono leggere la tabella, visualizzarne i metadati ed eseguire query.
  • Solo i dipendenti di secrets_team@acme possono eseguire query sulla colonna Nome, poiché è protetta ulteriormente dalle specifiche delle colonne.

Caso d'uso 2: combinare gli attributi

Considera le seguenti associazioni:

  • Associa gli attributi Red e Green alla tabella.
  • Associa gli attributi Red e Green alla colonna Nome.
  • Associa l'attributo Red alla colonna $Value.

Questa immagine mostra gli attributi Rosso e Verde associati alla tabella e alla colonna Nome, nonché l'attributo Rosso associato alla colonna $value

In questo caso, Dataplex propaga i seguenti criteri:

  • I dipendenti di secrets_team@acme, tenured_employees@acme e full_time_employees@acme possono accedere alla tabella. Questo accade perché Dataplex unisce le specifiche delle risorse degli attributi Red e Green.
  • I dipendenti di secrets_team@acme e full_time_employees@acme possono accedere alla colonna Nome. Questo perché Dataplex unisce le specifiche delle colonne degli attributi Red e Green.
  • Solo i dipendenti in secrets_team@acme possono eseguire query sulla colonna $Value.

Caso d'uso 3: organizzare gli attributi in una gerarchia

Puoi organizzare gli attributi in una gerarchia specificando i sottotipi di attributi. Considera il seguente insieme di attributi:

Attributo principale 1:
Attributo: PII

  • Specifiche delle colonne: secrets_team@acme
  • Specifiche delle risorse: secrets_team@acme e tenured_employees@acme

Attributo secondario di PII:
Attributo: Email

  • Specifiche delle colonne: email_comm@acme
  • Specifiche della risorsa: email_comm@acme

Attributo genitore 2:
Attributo: Financial

  • Specifiche delle colonne: full_time_employees@acme
  • Specifiche della risorsa: full_time_employees@acme

Questa immagine mostra un esempio di gerarchia degli attributi.

Considera le seguenti associazioni:

  • Associa gli attributi Email e Financial alla tabella.
  • Associa gli attributi Email e Financial alla colonna Nome.
  • Associa l'attributo PII alla colonna $Value.

Questa immagine mostra come gli attributi in una gerarchia possono essere associati alla tabella e alle colonne.

In questo caso, Dataplex propaga i seguenti criteri:

  • I dipendenti di secrets_team@acme, tenured_employees@acme, full_time_employees@acme e email_comm@acme possono accedere alla tabella. Questo accade perché Dataplex unisce le specifiche delle risorse degli attributi Financial e Email e l'attributo Email eredita le specifiche dall'attributo PII.
  • I dipendenti in secrets_team@acme, email_comm@acme, full_time_employees@acme possono accedere alla colonna Nome. Questo accade perché Dataplex unisce le specifiche delle colonne degli attributi Financial e Email.
  • Solo i dipendenti in secrets_team@acme possono eseguire query sulla colonna $Value.

Configura gli attributi

Per creare un attributo, devi prima creare una tassonomia, quindi gli attributi dei dati principali e secondari.

Crea una tassonomia degli attributi dei dati

  1. Nella console Google Cloud, vai alla pagina Attribute Store (Repository di attributi) di Dataplex.

    Vai all'attributo store

  2. Fai clic su Crea tassonomia.

  3. Inserisci il nome della tassonomia, l'ID e la descrizione.

  4. Seleziona una regione.

  5. Fai clic su Invia.

    La nuova tassonomia viene visualizzata nella pagina Taxonomie dei dati.

Creare un attributo principale

  1. Nella console Google Cloud, vai alla pagina Attribute Store (Repository di attributi) di Dataplex.

    Vai all'attributo store

  2. Nella pagina Tassonomie dei dati, fai clic sulla tassonomia in cui vuoi creare l'attributo principale.

  3. Nella pagina Dettagli tassonomia, fai clic su Aggiungi attributo dati.

  4. Seleziona Crea attributo dei dati padre.

  5. Inserisci un nome, un ID e una descrizione per l'attributo principale.

  6. (Facoltativo) Configura le specifiche degli attributi.

    1. Configura le specifiche delle risorse:

      1. Fai clic su Gestisci autorizzazioni per Risorsa.
      2. Fai clic su Aggiungi.
      3. Nel campo Nuovi amministratori, inserisci l'indirizzo email di una persona o di un gruppo che ha bisogno di accedere alla risorsa.
      4. Seleziona i Ruoli richiesti e fai clic su Salva.
      5. Fai clic su Salva.

    2. Configura le specifiche delle colonne:

      1. Fai clic su Gestisci autorizzazioni per Colonna.
      2. Fai clic su Aggiungi.
      3. Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla colonna.
      4. Seleziona i Ruoli richiesti e fai clic su Salva.
      5. Fai clic su Salva.

  7. Fai clic su Crea.

Creare un attributo figlio

  1. Nella console Google Cloud, vai alla pagina Attribute Store (Repository di attributi) di Dataplex.

    Vai all'attributo store

  2. Nella pagina Tassonomie dei dati, fai clic sulla tassonomia in cui vuoi creare l'attributo secondario.

  3. Nella pagina Dettagli tassonomia, fai clic su Aggiungi attributo dati.

  4. Seleziona Crea attributo dei dati figlio.

  5. Seleziona un attributo dei dati principale per l'attributo figlio che stai creando.

  6. Inserisci un nome, un ID e una descrizione per l'attributo secondario.

  7. (Facoltativo) Configura le specifiche degli attributi.

    1. Configura le specifiche delle risorse:

      1. Fai clic su Gestisci autorizzazioni per Risorsa.
      2. Fai clic su Aggiungi.
      3. Nel campo Nuovi amministratori, inserisci l'indirizzo email di una persona o di un gruppo che ha bisogno di accedere alla risorsa.
      4. Seleziona i Ruoli richiesti e fai clic su Salva.
      5. Fai clic su Salva.

    2. Configura le specifiche delle colonne:

      1. Fai clic su Gestisci autorizzazioni per Colonna.
      2. Fai clic su Aggiungi.
      3. Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla colonna.
      4. Seleziona i Ruoli richiesti e fai clic su Salva.
      5. Fai clic su Salva.

  8. Fai clic su Crea.

Aggiorna le risorse del negozio di attributi

Aggiorna i dettagli della tassonomia

  1. Nella console Google Cloud, vai alla pagina Attribute Store (Repository di attributi) di Dataplex.

    Vai all'attributo store

  2. Fai clic sulla tassonomia da aggiornare.

  3. Fai clic su Modifica.

  4. Modifica il nome della tassonomia e la relativa descrizione, se necessario.

  5. Fai clic su Invia.

Aggiorna i dettagli dell'attributo

  1. Nella console Google Cloud, vai alla pagina Attribute Store (Repository di attributi) di Dataplex.

    Vai all'Attributes Store

  2. Fai clic sulla tassonomia contenente l'attributo da aggiornare.

  3. Fai clic sull'attributo che vuoi aggiornare.

  4. Per aggiornare il nome e la descrizione dell'attributo, fai clic su Modifica.

    1. Se stai aggiornando un attributo principale, hai la possibilità di aggiornarlo in un attributo secondario e viceversa. Seleziona le opzioni di conseguenza.
    2. Modifica il nome dell'attributo e la relativa descrizione in base alle esigenze.
    3. Fai clic su Aggiorna.

  5. Per aggiornare le specifiche delle risorse per l'attributo, fai clic su Modifica in Specifiche delle risorse.

    1. Per aggiungere un nuovo principale:

      1. Fai clic su Aggiungi.
      2. Nel campo Nuovi amministratori, inserisci l'indirizzo email di una persona o di un gruppo che ha bisogno di accedere alla risorsa.
      3. Seleziona i Ruoli richiesti.
      4. Fai clic su Salva.

    2. Per aggiornare un principale esistente:

      1. Per l'entità che vuoi aggiornare, fai clic su Modifica.
      2. Seleziona i Ruoli richiesti.
      3. Fai clic su Salva.

    3. Per rimuovere un principale esistente:

      1. Seleziona l'entità che vuoi rimuovere.
      2. Fai clic su Rimuovi.

  6. Per aggiornare le specifiche delle colonne per l'attributo, fai clic su Modifica in Specifiche delle colonne.

    1. Per aggiungere un nuovo principale:

      1. Fai clic su Aggiungi.
      2. Nel campo Nuovi amministratori, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla colonna.
      3. Seleziona i Ruoli richiesti.
      4. Fai clic su Salva.

    2. Per aggiornare un principale esistente:

      1. Per l'entità che vuoi aggiornare, fai clic su Modifica.
      2. Seleziona i Ruoli richiesti.
      3. Fai clic su Salva.

    3. Per rimuovere un principale esistente:

      1. Seleziona l'entità che vuoi rimuovere.
      2. Fai clic su Rimuovi.

Associare gli attributi alle risorse

Associare un attributo a una tabella

  1. Nella console Google Cloud, vai alla pagina Attribute Store (Repository di attributi) di Dataplex.

    Vai all'attributo store

  2. Fai clic sulla tassonomia che contiene l'attributo.

  3. Fai clic sull'attributo a cui vuoi associare una tabella.

  4. Fai clic sulla scheda Risorse.

  5. Fai clic su Aggiungi risorse.

  6. Seleziona una tabella dall'elenco.

  7. Fai clic su Seleziona.

Associare un attributo a una colonna

  1. Nella console Google Cloud, vai alla pagina Ricerca del Catalogo di dati.

    Vai a Ricerca

  2. Cerca e seleziona la tabella a cui vuoi associare un attributo con una colonna.

  3. Fai clic sulla scheda Tag di schema e colonna.

  4. Per la colonna a cui vuoi associare un attributo, in Tag di policy, fai clic su Aggiungi.

  5. Seleziona la tassonomia contenente l'attributo.

  6. Seleziona l'attributo.

  7. Fai clic su Allega.

Passaggi successivi