De forma predeterminada, todos los proyectos de Google Cloud incluyen un solo usuario, es decir, el creador original del proyecto. Ningún otro usuario tiene acceso al proyecto y, por lo tanto, tampoco puede acceder a recursos de Dataplex hasta que se lo agregue como miembro del proyecto o se lo vincule a un recurso específico. En esta página, se describe cómo agregar usuarios nuevos al proyecto y cómo establecer el control de acceso para los recursos de Dataplex.
¿Qué es IAM?
Google Cloud ofrece Identity and Access Management (IAM), que te permite brindar acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgas el acceso necesario a tus recursos.
IAM te permite controlar quién (identidad) tiene qué (funciones) permisos sobre qué recursos mediante la configuración de políticas de IAM.
Las políticas de IAM otorgan funciones específicas a un miembro del proyecto y otorgan ciertos permisos a la identidad.
Por ejemplo, para un recurso determinado, como un proyecto, puedes asignar la
roles/dataplex.admin a una Cuenta de Google, y esa cuenta puede
controlar los recursos de Dataplex en el proyecto, pero no
administrar otros recursos. También puedes usar IAM para administrar las funciones básicas otorgadas a los miembros del equipo del proyecto.
Opciones de control de acceso para usuarios
Para otorgar a los usuarios la capacidad de crear y administrar tus recursos de Dataplex, puedes agregar usuarios como miembros del equipo a tu proyecto o a recursos específicos, y otorgarles permisos mediante roles de IAM.
Un miembro del equipo puede ser un usuario individual con una Cuenta de Google válida, un Grupo de Google, una cuenta de servicio o un dominio de Google Workspace. Cuando agregas un miembro del equipo a un proyecto o recurso, debes especificar qué funciones le otorgas. IAM proporciona tres tipos de roles: predefinidos, básicos y personalizados.
Para ver una lista de las capacidades de cada rol de Dataplex y los métodos de la API a los que otorga permiso una función específica, revisa la documentación sobre las funciones de IAM de Dataplex.
Para otros tipos de miembros, como cuentas de servicio y grupos, consulta la referencia de vinculación de políticas.
Cuentas de servicio
Dataplex usa una cuenta de servicio a la que se le otorgó los permisos necesarios para acceder a los recursos administrados dentro de un lake. A esta cuenta de servicio se le otorgan permisos automáticamente en el proyecto que contiene una instancia de lago. Debes otorgarles explícitamente permisos a otros proyectos y recursos que quieres agregar y administrar en un lake.
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.comCUSTOMER_PROJECT_NUMBERes el proyecto en el que está habilitada la API de Dataplex.
Debes otorgarle al agente de servicio de Dataplex
(roles/dataplex.serviceAgent) acceso a los elementos subyacentes que agregues a los
un lake o una zona de datos.
Políticas de IAM para los recursos
Dataplex agrega una jerarquía virtual sobre el almacenamiento base recursos como buckets de Cloud Storage y BigQuery conjuntos de datos. Dataplex propaga políticas de IAM desde el lake hasta los recursos de la zona de datos de estos recursos. Las políticas se agregan a aquellas que ya existen recurso de almacenamiento base (bucket de Cloud Storage y conjunto de datos).
Una política de IAM te permite administrar roles de IAM en esos en lugar de, o además de, administrar roles a nivel de proyecto. Esto te brinda flexibilidad para aplicar el principio de privilegio mínimo, que significa otorgar acceso solo a los recursos específicos que los colaboradores necesitan para hacer su trabajo.
Los recursos también heredan las políticas de sus recursos superiores. Si estableces una política a nivel de proyecto, todos sus recursos secundarios la heredan. La política vigente para un recurso es la unión de la política establecida en ese recurso y la política heredada de una jerarquía superior. Para obtener más información, consulta la jerarquía de políticas de IAM.
Puedes obtener y establecer políticas de IAM con la consola de Google Cloud, la API de IAM o Google Cloud CLI.
- Para obtener información sobre la consola de Google Cloud, consulta Control de acceso a través de la consola de Google Cloud.
- Para la API, consulta Control de acceso a través de la API.
- Para Google Cloud CLI, consulta Control de acceso con Google Cloud CLI.
Próximos pasos
- Obtén más información sobre las funciones de IAM
- Obtén más información sobre los permisos de IAM.
- Obtén más información sobre la seguridad de los lakes de Dataplex.