De forma predeterminada, todos los proyectos de Google Cloud incluyen un solo usuario, es decir, el creador original del proyecto. Ningún otro usuario tiene acceso al proyecto y, por lo tanto, a los recursos de Dataplex hasta que se lo agregue como miembro del proyecto o se lo vincule a un recurso específico. En esta página, se describen las formas en que puedes agregar usuarios nuevos a tu proyecto y cómo establecer el control de acceso para tus recursos de Dataplex.
¿Qué es IAM?
Google Cloud ofrece Identity and Access Management (IAM), que te permite brindar un acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgas el acceso necesario a tus recursos.
IAM te permite controlar quién (identidad) tiene qué (funciones) permisos sobre qué recursos mediante la configuración de políticas de IAM.
Las políticas de IAM otorgan funciones específicas a un miembro del proyecto y otorgan ciertos permisos a la identidad.
Por ejemplo, para un recurso determinado, como un proyecto, puedes asignar el rol
roles/dataplex.admin a una Cuenta de Google y esa cuenta puede
controlar los recursos de Dataplex en el proyecto, pero no
administrar otros. También puedes usar IAM para administrar las funciones básicas otorgadas a los miembros del equipo del proyecto.
Opciones de control de acceso para usuarios
Para que los usuarios puedan crear y administrar tus recursos de Dataplex, puedes agregarlos como miembros del equipo a tu proyecto o a recursos específicos y otorgarles permisos mediante los roles de IAM.
Un miembro del equipo puede ser un usuario individual con una Cuenta de Google válida, un Grupo de Google, una cuenta de servicio o un dominio de Google Workspace. Cuando agregas un miembro del equipo a un proyecto o recurso, debes especificar qué funciones le otorgas. IAM proporciona tres tipos de funciones: predefinidas, básicas y personalizadas.
Para ver la lista de las funciones de cada rol de Dataplex y de los métodos de API a los que otorga permiso un rol específico, revisa la documentación de roles de IAM de Dataplex.
Para otros tipos de miembros, como cuentas de servicio y grupos, consulta la referencia de vinculación de políticas.
Cuentas de servicio
Dataplex usa una cuenta de servicio a la que se le otorgaron los permisos necesarios para acceder a los recursos administrados dentro de un lake. A esta cuenta de servicio se le otorgan permisos de forma automática en el proyecto que contiene una instancia de lake. Debes otorgarle permisos de manera explícita a otros proyectos y recursos que desees agregar y administrar dentro de un lake.
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com.CUSTOMER_PROJECT_NUMBERes el proyecto en el que está habilitada la API de Dataplex.
Debes otorgar al agente de servicio de Dataplex
(roles/dataplex.serviceAgent) acceso a los recursos subyacentes que agregues a
un lake o una zona de datos.
Políticas de IAM para los recursos
Dataplex agrega una jerarquía virtual a los recursos de almacenamiento base, como los buckets de Cloud Storage y los conjuntos de datos de BigQuery. Dataplex propaga las políticas de IAM asignadas al lake hasta los recursos de la zona de datos y, por último, los recursos a los que apuntan estos recursos. Se agregan políticas a las que ya existen en el recurso de almacenamiento base (bucket de Cloud Storage y conjunto de datos de BigQuery).
Una política de IAM te permite administrar las funciones de IAM en esos recursos en lugar de administrar funciones a nivel de proyecto, o además de hacerlo. Esto te brinda flexibilidad para aplicar el principio de privilegio mínimo, que es otorgar acceso solo a los recursos específicos que los colaboradores necesitan para hacer su trabajo.
Los recursos también heredan las políticas de sus recursos superiores. Si estableces una política a nivel de proyecto, todos sus recursos secundarios la heredan. La política vigente para un recurso es la unión de la política establecida en ese recurso y la política heredada de una jerarquía superior. Para obtener más información, consulta la jerarquía de políticas de IAM.
Puedes obtener y establecer políticas de IAM con la consola de Google Cloud, la API de IAM o Google Cloud CLI.
- Para obtener información sobre la consola de Google Cloud, consulta Control de acceso con la consola de Google Cloud.
- Para la API, consulta Control de acceso mediante la API.
- Para Google Cloud CLI, consulta Control de acceso con Google Cloud CLI.
Próximos pasos
- Obtén más información sobre las funciones de IAM
- Obtén más información sobre los permisos de IAM.
- Obtén más información sobre la seguridad del lake de Dataplex.