Per impostazione predefinita, tutti i progetti Google Cloud sono associati a un singolo utente, il creatore del progetto originale. Nessun altro utente ha accesso al progetto e quindi alle risorse Dataplex finché un utente non viene aggiunto come membro del progetto o non viene associato a una risorsa specifica. Questa pagina descrive i modi in cui puoi aggiungere nuovi utenti al tuo progetto e come impostare il controllo dell'accesso per le tue risorse Dataplex.
Panoramica di IAM
Google Cloud offre Identity and Access Management (IAM), che ti consente di concedere un accesso più granulare a risorse Google Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo il livello di accesso necessario per le tue risorse.
IAM ti consente inoltre di controllare chi (identità) ha quale (ruoli)
autorizzazione per quali risorse impostando i criteri IAM.
I criteri IAM assegnano uno o più ruoli specifici a un membro del progetto, concedendo all'identità determinate autorizzazioni.
Ad esempio, per una determinata risorsa, ad esempio un progetto, puoi assegnare il ruolo roles/dataplex.admin a un Account Google, che può controllare le risorse Dataplex nel progetto, ma non può gestire altre risorse. Puoi anche utilizzare IAM per gestire i ruoli di base concessi ai membri del team di progetto.
Opzioni di controllo dell'accesso per gli utenti
Per consentire agli utenti di creare e gestire le risorse Dataplex, puoi aggiungerli come membri del team al progetto o a risorse specifiche e concedere loro le autorizzazioni utilizzando i ruoli IAM.
Un membro del team può essere un singolo utente con un Account Google valido, un gruppo Google, un account di servizio o un dominio Google Workspace. Quando aggiungi un membro del team a un progetto o a una risorsa, specifica i ruoli da concedergli. IAM fornisce tre tipi di ruoli: predefiniti, di base e personalizzati.
Per ulteriori informazioni sulle funzionalità di ciascun ruolo Dataplex e sui metodi API a cui un ruolo specifico concede l'autorizzazione, consulta Ruoli IAM di Dataplex.
Per altri tipi di membri, come account di servizio e gruppi, consulta il riferimento per l'associazione di criteri.
Account di servizio
Dataplex utilizza un account di servizio a cui sono state concesse le autorizzazioni necessarie per accedere alle risorse gestite all'interno di un lake. A questo account di servizio vengono concesse automaticamente le autorizzazioni nel progetto contenente un'istanza del lago. Devi concedergli esplicitamente le autorizzazioni per altri progetti e risorse che vuoi aggiungere e gestire all'interno di un lake.
L'account di servizio in Dataplex ha il seguente formato:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
CUSTOMER_PROJECT_NUMBER è il progetto in cui hai attivato l'API Dataplex.
Devi concedere all'agente di servizio Dataplex
(roles/dataplex.serviceAgent) l'accesso agli asset sottostanti che aggiungi a
un lake o una zona di dati.
Criteri IAM per le risorse
Dataplex aggiunge una gerarchia virtuale alle risorse di archiviazione di base come i bucket Cloud Storage e i set di dati BigQuery. Dataplex propaga i criteri IAM assegnati al lake agli asset della zona di dati e infine alle risorse a cui fanno riferimento questi asset. I criteri vengono aggiunti a quelli già esistenti nella risorsa di archiviazione di base (bucket Cloud Storage e set di dati BigQuery).
Un criterio IAM ti consente di gestire i ruoli IAM su queste risorse anziché, o in aggiunta alla gestione dei ruoli a livello di progetto. In questo modo, puoi applicare il principio del privilegio minimo, ovvero concedere l'accesso solo alle risorse specifiche di cui i collaboratori hanno bisogno per svolgere il proprio lavoro.
Le risorse ereditano anche i criteri delle risorse principali. Se imposti un'impostazione a livello di progetto, questa viene ereditata da tutte le risorse figlio. Il criterio applicato a una risorsa è dato dall'unione del criterio impostato per quella risorsa e del criterio ereditato dal livello superiore della gerarchia. Per ulteriori informazioni, consulta la gerarchia dei criteri IAM.
Puoi ottenere e impostare i criteri IAM utilizzando la console Google Cloud, l'API IAM o Google Cloud CLI.
- Per la console Google Cloud, consulta Controllo dell'accesso tramite la console Google Cloud.
- Per l'API, vedi Controllo dell'accesso tramite l'API.
- Per Google Cloud CLI, consulta Controllo dell'accesso con Google Cloud CLI.
Passaggi successivi
- Scopri di più sui ruoli IAM.
- Scopri di più sulle autorizzazioni IAM.
- Scopri di più sulla sicurezza del lake Dataplex.