De forma predeterminada, todos los proyectos Google Cloud tienen un solo usuario, el creador original del proyecto. Ningún otro usuario tiene acceso al proyecto y, por lo tanto, a los recursos de Dataplex Universal Catalog, hasta que se añade como miembro del proyecto o se vincula a un recurso específico. En esta página se describen las formas de añadir usuarios nuevos a tu proyecto y cómo configurar el control de acceso a tus recursos de Dataplex Universal Catalog.
Información general sobre IAM
Google Cloud ofrece Gestión de Identidades y Accesos (IAM), que te permite dar un acceso más granular a recursos Google Cloud específicos e impide el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de mínimos accesos, por lo que solo concedes el acceso necesario a tus recursos.
La gestión de identidades y accesos también te permite controlar quién (identidad) tiene qué permisos (roles) para acceder a qué recursos mediante la configuración de políticas de gestión de identidades y accesos.
Las políticas de gestión de identidades y accesos(IAM) asignan roles específicos a un miembro del proyecto, lo que otorga a la identidad determinados permisos.
Por ejemplo, en un recurso concreto, como un proyecto, puedes asignar el rol roles/dataplex.admin a una cuenta de Google para que pueda controlar los recursos del catálogo universal de Dataplex en el proyecto, pero no pueda gestionar otros recursos. También puedes usar la gestión de identidades y accesos para gestionar los roles básicos concedidos a los miembros del equipo del proyecto.
Opciones de control de acceso para usuarios
Para dar a los usuarios la posibilidad de crear y gestionar tus recursos de Universal Catalog de Dataplex, puedes añadirlos como miembros del equipo a tu proyecto o a recursos específicos y concederles permisos mediante roles de IAM.
Un miembro del equipo puede ser un usuario individual con una cuenta de Google válida, un grupo de Google, una cuenta de servicio o un dominio de Google Workspace. Cuando añades un miembro del equipo a un proyecto o a un recurso, especificas los roles que quieres asignarle. Gestión de identidades y accesos ofrece tres tipos de roles: roles predefinidos, roles básicos y roles personalizados.
Para obtener más información sobre las funciones de cada rol de Dataplex Universal Catalog y los métodos de API a los que un rol específico concede permiso, consulta Roles de gestión de identidades y accesos de Dataplex Universal Catalog.
Para otros tipos de miembros, como cuentas de servicio y grupos, consulta la referencia de vinculación de políticas.
Cuentas de servicio
Dataplex Universal Catalog usa una cuenta de servicio a la que se le han concedido los permisos necesarios para acceder a los recursos gestionados en un lago. A esta cuenta de servicio se le conceden permisos automáticamente en el proyecto que contiene una instancia de lake. Debe concederle permisos explícitamente a otros proyectos y recursos que quiera añadir y gestionar en un lake.
La cuenta de servicio de Dataplex Universal Catalog tiene el siguiente formato:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
CUSTOMER_PROJECT_NUMBER es el proyecto en el que has habilitado la API de Dataplex.
Debes conceder acceso al agente de servicio de Dataplex Universal Catalog (roles/dataplex.serviceAgent) a los recursos subyacentes que añadas a un lago o a una zona de datos.
Políticas de gestión de identidades y accesos de recursos
Dataplex Universal Catalog añade una jerarquía virtual a los recursos de almacenamiento base, como los segmentos de Cloud Storage y los conjuntos de datos de BigQuery. Dataplex Universal Catalog propaga las políticas de gestión de identidades y accesos asignadas al lago a los recursos de la zona de datos y, por último, a los recursos a los que apuntan estos recursos. Las políticas se añaden a las que ya existen en el recurso de almacenamiento base (segmento de Cloud Storage y conjunto de datos de BigQuery).
Una política de gestión de identidades y accesos te permite gestionar roles de gestión de identidades y accesos en esos recursos en lugar de gestionar roles a nivel de proyecto, o además de hacerlo. De esta forma, puedes aplicar el principio de mínimos accesos, que consiste en conceder acceso únicamente a los recursos específicos que los colaboradores necesitan para hacer su trabajo.
Los recursos también heredan las políticas de sus recursos superiores. Si defines una política a nivel de proyecto, todos sus recursos secundarios la heredarán. La política efectiva de un recurso es la unión de la política definida en ese recurso y la política heredada de un nivel superior de la jerarquía. Para obtener más información, consulta la jerarquía de políticas de IAM.
Puede obtener y definir políticas de gestión de identidades y accesos mediante la Google Cloud consola, la API de gestión de identidades y accesos o la CLI de Google Cloud.
- Para la consola de Google Cloud , consulta Control de acceso mediante la consola de Google Cloud .
- Para obtener información sobre la API, consulta Control de acceso mediante la API.
- Para obtener información sobre Google Cloud CLI, consulta Control de acceso con Google Cloud CLI.
Siguientes pasos
- Consulta más información sobre los roles de gestión de identidades y accesos.
- Más información sobre los permisos de gestión de identidades y accesos
- Más información sobre la seguridad de los lagos de Dataplex Universal Catalog