Controllo dell'accesso con IAM

Per impostazione predefinita, tutti i progetti Google Cloud sono associati a un singolo utente, il creatore del progetto originale. Nessun altro utente ha accesso al progetto e pertanto, l'accesso alle risorse Dataplex, finché viene aggiunto come membro del progetto o è associato a una risorsa specifica. Questa pagina descrive i modi in cui puoi aggiungere nuovi utenti al tuo progetto e come impostare il controllo dell'accesso per le tue risorse Dataplex.

Che cos'è IAM?

Google Cloud offre Identity and Access Management (IAM), che ti consente di dare un accesso più granulare a alle risorse Google Cloud e impedisce l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo l'accesso necessario alle tue risorse.

IAM ti consente anche di controllare chi (identità) ha cosa (ruoli) a quali risorse impostando i criteri IAM. I criteri IAM assegnano uno o più ruoli specifici a un membro del progetto, concedendo all'identità determinate autorizzazioni. Ad esempio, per una determinata risorsa, ad esempio un progetto, puoi assegnare il ruolo roles/dataplex.admin a un Account Google, che può controllare le risorse Dataplex nel progetto, ma non può gestire altre risorse. Puoi anche utilizzare IAM per gestire i ruoli di base concessi ai membri del team di progetto.

Opzioni di controllo dell'accesso per gli utenti

Per consentire agli utenti di creare e gestire le risorse Dataplex, puoi aggiungerli come membri del team al progetto o a risorse specifiche e concedere loro le autorizzazioni utilizzando i ruoli IAM.

Un membro del team può essere un singolo utente con un Account Google valido, un account Gruppo, account di servizio o dominio Google Workspace. Quando aggiungi un team a un progetto o a una risorsa, devi specificare i ruoli da concedere. IAM fornisce tre tipi di ruoli: predefiniti, di base e personalizzati.

Per visualizzare un elenco delle funzionalità di ogni ruolo Dataplex e dei metodi API a cui un ruolo specifico concede l'autorizzazione, consulta la documentazione relativa ai ruoli IAM Dataplex.

Per altri tipi di membri, ad esempio account di servizio e gruppi, fai riferimento alle Norme riferimento vincolante.

Account di servizio

Dataplex utilizza un account di servizio a cui sono state concesse le autorizzazioni necessarie per accedere alle risorse gestite all'interno di un lake. Questo servizio all'account vengono concesse automaticamente le autorizzazioni nel progetto contenente un lake in esecuzione in un'istanza Compute Engine. Devi concedere esplicitamente le autorizzazioni ad altri progetti. alle risorse che vuoi aggiungere e gestire all'interno di un lake.

  • service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com.

    CUSTOMER_PROJECT_NUMBER è il progetto in cui è attivata l'API Dataplex.

Devi concedere all'agente di servizio Dataplex (roles/dataplex.serviceAgent) l'accesso agli asset sottostanti che aggiungi a un lake o una zona di dati.

Criteri IAM per le risorse

Dataplex aggiunge una gerarchia virtuale alle risorse di archiviazione di base come i bucket Cloud Storage e i set di dati BigQuery. Dataplex propaga i criteri IAM assegnati al lake agli asset della zona di dati e infine alle risorse a cui fanno riferimento questi asset. I criteri vengono aggiunti a quelli già esistenti nella risorsa di archiviazione di base (bucket Cloud Storage e BigQuery ).

Un criterio IAM consente di gestire i ruoli IAM su questi risorse anziché la gestione dei ruoli a livello di progetto o in aggiunta a questi ultimi. In questo modo, puoi applicare il principio del privilegio minimo, ovvero concedere l'accesso solo alle risorse specifiche di cui i collaboratori hanno bisogno per svolgere il proprio lavoro.

Le risorse ereditano anche i criteri delle rispettive risorse padre. Se imposti a livello di progetto, viene ereditato da tutte le risorse figlio. La il criterio effettivo per una risorsa è l'unione del criterio impostato per quella risorsa e il criterio ereditato dai livelli superiori nella gerarchia. Per ulteriori informazioni, scopri di più sulla gerarchia dei criteri IAM.

Puoi recuperare e impostare i criteri IAM utilizzando la console Google Cloud, l'API IAM o Google Cloud CLI.

Passaggi successivi