De forma predeterminada, todos los proyectos de Google Cloud incluyen un solo usuario, el creador original del proyecto. Ningún otro usuario tiene acceso al proyecto y, por lo tanto, tampoco puede acceder a recursos de Dataplex hasta que se lo agregue como miembro del proyecto o se lo vincule a un recurso específico. En esta página, se describe cómo agregar usuarios nuevos al proyecto y cómo establecer el control de acceso para los recursos de Dataplex.
Descripción general de IAM
Google Cloud ofrece administración de identidades y accesos (IAM), que te permite brindar acceso más detallado a recursosGoogle Cloud específicos y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgas el acceso necesario a tus recursos.
IAM te permite controlar quién (identidad) tiene qué (funciones) permisos sobre qué recursos mediante la configuración de políticas de IAM.
Las políticas de IAM otorgan funciones específicas a un miembro del proyecto y otorgan ciertos permisos a la identidad.
Por ejemplo, para un recurso determinado, como un proyecto, puedes asignar el rol roles/dataplex.admin a una Cuenta de Google y esa cuenta puede controlar los recursos de Dataplex en el proyecto, pero no puede administrar otros recursos. También puedes usar IAM para administrar las funciones básicas otorgadas a los miembros del equipo del proyecto.
Opciones de control de acceso para usuarios
Para otorgar a los usuarios la capacidad de crear y administrar tus recursos de Dataplex, puedes agregar usuarios como miembros del equipo a tu proyecto o a recursos específicos, y otorgarles permisos mediante roles de IAM.
Un miembro del equipo puede ser un usuario individual con una Cuenta de Google válida, un Grupo de Google, una cuenta de servicio o un dominio de Google Workspace. Cuando agregas un miembro del equipo a un proyecto o recurso, debes especificar qué funciones le otorgas. IAM proporciona tres tipos de roles: predefinidos, básicos y personalizados.
Para obtener más información sobre las capacidades de cada rol de Dataplex y los métodos de la API a los que otorga permiso un rol específico, consulta Roles de IAM de Dataplex.
Para otros tipos de miembros, como cuentas de servicio y grupos, consulta la referencia de vinculación de políticas.
Cuentas de servicio
Dataplex usa una cuenta de servicio a la que se le otorgaron los permisos necesarios para acceder a los recursos administrados dentro de un lake. A esta cuenta de servicio se le otorgan permisos automáticamente en el proyecto que contiene una instancia de lago. Debes otorgarle permisos de forma explícita a otros proyectos y recursos que desees agregar y administrar dentro de un lago.
La cuenta de servicio en Dataplex tiene el siguiente formato:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
CUSTOMER_PROJECT_NUMBER es el proyecto en el que habilitaste la API de Dataplex.
Debes otorgarle acceso al agente de servicio de Dataplex (roles/dataplex.serviceAgent) a los recursos subyacentes que agregues a un lake o una zona de datos.
Políticas de IAM para los recursos
Dataplex agrega una jerarquía virtual sobre los recursos de almacenamiento básicos, como los buckets de Cloud Storage y los conjuntos de datos de BigQuery. Dataplex propaga las políticas de IAM asignadas al lake hasta los recursos de la zona de datos y, por último, a los recursos a los que apuntan estos recursos. Las políticas se agregan a las que ya existen en el recurso de almacenamiento base (bucket de Cloud Storage y conjunto de datos de BigQuery).
Una política de IAM te permite administrar funciones de IAM en esos recursos en lugar de administrar funciones a nivel de proyecto, o además de hacerlo. Esto te brinda flexibilidad para aplicar el principio de privilegio mínimo, que significa otorgar acceso solo a los recursos específicos que los colaboradores necesitan para hacer su trabajo.
Los recursos también heredan las políticas de sus recursos superiores. Si estableces una política a nivel de proyecto, todos sus recursos secundarios la heredan. La política vigente para un recurso es la unión de la política establecida en ese recurso y la política heredada de una jerarquía superior. Para obtener más información, consulta la jerarquía de políticas de IAM.
Puedes obtener y configurar políticas de IAM con la consola de Google Cloud, la API de IAM o Google Cloud CLI.
- Para obtener información sobre la consola de Google Cloud, consulta Control de acceso a través de la consola de Google Cloud.
- Para la API, consulta Control de acceso a través de la API.
- Para Google Cloud CLI, consulta Control de acceso con Google Cloud CLI.
Próximos pasos
- Obtén más información sobre las funciones de IAM
- Obtén más información sobre los permisos de IAM.
- Obtén más información sobre la seguridad de los lakes de Dataplex.