Per impostazione predefinita, tutti i progetti Google Cloud hanno un singolo utente, l'autore originale del progetto. Nessun altro utente ha accesso al progetto e, di conseguenza, può accedere alle risorse Dataplex fino a quando un utente non viene aggiunto come membro del progetto o non è associato a una risorsa specifica. Questa pagina descrive i modi in cui puoi aggiungere nuovi utenti al tuo progetto e come impostare il controllo dell'accesso per le tue risorse Dataplex.
Che cos'è IAM?
Google Cloud offre Identity and Access Management (IAM), che ti consente di concedere un accesso più granulare a specifiche risorse Google Cloud e impedisce l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo l'accesso necessario alle tue risorse.
IAM consente inoltre di controllare chi (identità) dispone di quale (ruoli)
e quali risorse impostando i criteri IAM.
I criteri IAM concedono ruoli specifici a un membro del progetto, concedendo all'identità determinate autorizzazioni.
Ad esempio, per una determinata risorsa come un progetto, puoi assegnare il ruolo roles/dataplex.admin a un Account Google e questo account può controllare le risorse Dataplex nel progetto, ma non può gestire altre risorse. Puoi anche usare IAM per gestire i ruoli
di base concessi ai membri del team di progetto.
Opzioni di controllo dell'accesso per gli utenti
Per consentire agli utenti di creare e gestire le tue risorse Dataplex, puoi aggiungere utenti come membri del team al progetto o a risorse specifiche e concedere loro le autorizzazioni utilizzando i ruoli IAM.
Un membro del team può essere un singolo utente con un Account Google valido, un gruppo Google, un account di servizio o un dominio Google Workspace. Quando aggiungi un membro del team a un progetto o a una risorsa, specifichi i ruoli da concedergli. IAM offre tre tipi di ruoli: ruoli predefiniti, ruoli di base e ruoli personalizzati.
Per visualizzare un elenco delle funzionalità di ciascun ruolo Dataplex e dei metodi API a cui un ruolo specifico concede l'autorizzazione, consulta la documentazione sui ruoli IAM di Dataplex.
Per altri tipi di membri, ad esempio account di servizio e gruppi, consulta il Riferimento per l'associazione dei criteri.
Account di servizio
Dataplex utilizza un account di servizio a cui sono state concesse le autorizzazioni necessarie per accedere alle risorse gestite all'interno di un lake. A questo account di servizio vengono concesse automaticamente le autorizzazioni nel progetto contenente un'istanza del lake. Devi concedere esplicitamente le autorizzazioni ad altri progetti e risorse che vuoi aggiungere e gestire all'interno di un lake.
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com.CUSTOMER_PROJECT_NUMBERè il progetto in cui è abilitata l'API Dataplex.
Devi concedere all'agente di servizio Dataplex
(roles/dataplex.serviceAgent) l'accesso agli asset sottostanti che aggiungi a un lake o a una zona dati.
Criteri IAM per le risorse
Dataplex aggiunge una gerarchia virtuale alle risorse di archiviazione di base come bucket Cloud Storage e set di dati BigQuery. Dataplex propaga i criteri IAM assegnati al lake fino agli asset delle zone dati e infine alle risorse a cui puntano questi asset. I criteri vengono aggiunti a quelli già esistenti nella risorsa di archiviazione di base (bucket Cloud Storage e set di dati BigQuery).
Un criterio IAM consente di gestire i ruoli IAM su queste risorse anziché, o in aggiunta, gestire i ruoli a livello di progetto. Questo ti offre la flessibilità necessaria per applicare il principio del privilegio minimo, ovvero concedere l'accesso solo alle risorse specifiche necessarie ai collaboratori per svolgere il loro lavoro.
Le risorse ereditano anche i criteri delle risorse padre. Se imposti un criterio a livello di progetto, questo viene ereditato da tutte le risorse figlio. Il criterio effettivo per una risorsa è l'unione del criterio impostato a livello di risorsa e del criterio ereditato dai livelli superiori nella gerarchia. Per maggiori informazioni, consulta la pagina relativa alla gerarchia dei criteri IAM.
Puoi ottenere e impostare i criteri IAM utilizzando la console Google Cloud, l'API IAM o Google Cloud CLI.
- Per la console Google Cloud, consulta Controllo dell'accesso utilizzando la console Google Cloud.
- Per l'API, vedi Controllo dell'accesso utilizzando l'API.
- Per Google Cloud CLI, vedi Controllo dell'accesso utilizzando Google Cloud CLI.
Che cosa succede dopo?
- Scopri di più sui ruoli IAM.
- Scopri di più sulle autorizzazioni IAM.
- Scopri di più sulla sicurezza dei dataplex lake.