Par défaut, tous les projets Google Cloud sont configurés avec un seul utilisateur : le créateur du projet d'origine. aucun autre utilisateur n'a accès au projet ; et donc l'accès aux ressources Dataplex, jusqu'à ce qu'un utilisateur est ajouté en tant que membre du projet ou est lié à une ressource spécifique. Cette page décrit les différentes façons d'ajouter des utilisateurs à votre projet et comment définir le contrôle des accès pour vos ressources Dataplex.
Qu'est-ce qu'IAM ?
Google Cloud propose Identity and Access Management (IAM), ce qui vous permet de définir de manière plus précise l'accès aux ressources Google Cloud et empêche tout accès indésirable à d'autres ressources. IAM vous permet d'adopter le principe de sécurité du moindre privilège afin de n'accorder que l'accès nécessaire à vos ressources.
En définissant des stratégies IAM, vous pouvez contrôler qui (identité) dispose de quelles autorisations d'accès (rôles) à quelles ressources.
Ces stratégies permettent d'attribuer un ou plusieurs rôles spécifiques à un membre du projet, et ainsi d'accorder à cette identité certaines autorisations.
Par exemple, pour une ressource donnée, telle qu'un projet, vous pouvez attribuer le paramètre
le rôle roles/dataplex.admin à un compte Google, et ce compte peut
contrôler les ressources Dataplex dans le projet, mais ne peut pas
gérer d'autres ressources. IAM permet également de gérer les rôles Basic accordés aux membres de l'équipe de projet.
Options de contrôle des accès pour les utilisateurs
Pour permettre à des utilisateurs de créer et de gérer vos ressources Dataplex, vous pouvez les ajouter en tant que membres d'une équipe à votre projet ou à des ressources spécifiques, et leur accorder des autorisations à l'aide de rôles IAM.
Un membre d'équipe peut désigner un utilisateur spécifique disposant d'un compte Google valide, un groupe Google, un compte de service ou un domaine Google Workspace. Lorsque vous ajoutez un membre d'équipe à un projet ou à une ressource, vous spécifiez les rôles à lui attribuer. IAM propose trois types de rôles : les rôles prédéfinis, les rôles de base et les rôles personnalisés.
Pour afficher la liste des fonctionnalités de chaque rôle Dataplex et les méthodes d'API auxquelles un rôle spécifique donne accès, consultez la documentation sur les rôles IAM pour Dataplex.
Pour les autres types de membres, tels que les comptes de service et les groupes, reportez-vous à la documentation de référence sur les liaisons de stratégie.
Comptes de service
Dataplex utilise un compte de service auquel les autorisations nécessaires ont été accordées pour accéder aux ressources gérées dans un lac. Ce service dispose automatiquement d'autorisations dans le projet contenant un lac Compute Engine. Vous devez explicitement lui accorder des autorisations sur d'autres projets que vous souhaitez ajouter et gérer dans un lac.
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com.CUSTOMER_PROJECT_NUMBERest le projet dans lequel L'API Dataplex est activée.
Vous devez accorder à l'agent de service Dataplex (roles/dataplex.serviceAgent) l'accès aux éléments sous-jacents que vous ajoutez à un lac ou à une zone de données.
Stratégies IAM pour les ressources
Dataplex ajoute une hiérarchie virtuelle au-dessus des ressources de stockage de base telles que les buckets Cloud Storage et les ensembles de données BigQuery. Dataplex propage les stratégies IAM sont attribuées au lac, aux éléments de la zone de données, et enfin aux ressources pointées par ces éléments. Les règles sont ajoutées à celles qui existent déjà sur le ressource de stockage de base (bucket Cloud Storage et BigQuery ensemble de données).
Une stratégie IAM vous permet de gérer des rôles IAM sur ces ressources au lieu ou en complément des rôles que vous gérez au niveau du projet. Vous avez ainsi la flexibilité d'appliquer le principe du moindre privilège, pour n'accorder l'accès qu'aux ressources spécifiques dont les collaborateurs ont besoin leur travail.
Les ressources héritent également des stratégies de leurs ressources parentes. Si vous définissez une stratégie au niveau du projet, elle est héritée par toutes les ressources enfants. La stratégie applicable à une ressource combine la stratégie définie pour celle-ci et la stratégie héritée des niveaux supérieurs de la hiérarchie. Pour en savoir plus, consultez la section concernant la hiérarchie des stratégies IAM.
Vous pouvez obtenir et définir des stratégies IAM à l'aide de la console Google Cloud, l'API IAM ou la Google Cloud CLI.
- Pour Google Cloud Console, consultez la section Contrôle des accès à l'aide de la console Google Cloud.
- Pour l'API, consultez Contrôle des accès à l'aide de l'API.
- Pour la Google Cloud CLI, consultez la page Contrôle des accès à l'aide de la Google Cloud CLI.
Étape suivante
- Obtenez plus d'informations sur les rôles IAM.
- Découvrez les autorisations IAM.
- En savoir plus sur la sécurité des lacs Dataplex