De forma predeterminada, todos los proyectos de Google Cloud incluyen un solo usuario, es decir, el creador original del proyecto. Ningún otro usuario tiene acceso al proyecto y, por lo tanto, tampoco puede acceder a los recursos de Dataplex, hasta que se lo agregue como miembro del proyecto o se lo vincule a un recurso específico. En esta página, se describen las formas en que puedes agregar usuarios nuevos a tu proyecto y cómo configurar el control de acceso para tus recursos de Dataplex.
¿Qué es IAM?
Google Cloud ofrece la administración de identidades y accesos (IAM), que te permite brindar un acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgas el acceso necesario a tus recursos.
IAM te permite controlar quién (identidad) tiene qué (funciones) permisos sobre qué recursos mediante la configuración de políticas de IAM.
Las políticas de IAM otorgan funciones específicas a un miembro del proyecto y otorgan ciertos permisos a la identidad.
Por ejemplo, para un recurso determinado, como un proyecto, puedes asignar la función roles/dataplex.admin a una Cuenta de Google, y esa cuenta puede controlar los recursos de Dataplex en el proyecto, pero no puede administrar otros recursos. También puedes usar IAM para administrar las funciones básicas otorgadas a los miembros del equipo del proyecto.
Opciones de control de acceso para usuarios
Para otorgar a los usuarios la capacidad de crear y administrar tus recursos de Dataplex, puedes agregar usuarios como miembros del equipo a tu proyecto o a recursos específicos y otorgarles permisos mediante funciones de IAM.
Un miembro del equipo puede ser un usuario individual con una Cuenta de Google válida, un Grupo de Google, una cuenta de servicio o un dominio de Google Workspace. Cuando agregas un miembro del equipo a un proyecto o recurso, debes especificar qué funciones le otorgas. IAM proporciona tres tipos de funciones: predefinidas, básicas y personalizadas.
Para ver la lista de las capacidades de cada función de Dataplex y métodos de API a los que otorga permiso una función específica, consulta la documentación de funciones de IAM de Dataplex.
Para otros tipos de miembros, como cuentas de servicio y grupos, consulta la referencia de vinculación de políticas.
Cuentas de servicio
Dataplex usa una cuenta de servicio a la que se le otorgaron los permisos necesarios para acceder a los recursos administrados dentro de un lake. A esta cuenta de servicio se le otorgan permisos automáticamente en el proyecto que contiene una instancia de lake. Debes otorgarle permisos de forma explícita a otros proyectos o recursos que desees agregar y administrar dentro de un lake.
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.comCUSTOMER_PROJECT_NUMBERes el proyecto en el que está habilitada la API de Dataplex.
Debes otorgar al agente de servicios de Dataplex (roles/dataplex.serviceAgent) acceso a los recursos subyacentes que agregues a un lake o una zona de datos.
Políticas de IAM para los recursos
Dataplex agrega una jerarquía virtual sobre los recursos de almacenamiento base, como los buckets de Cloud Storage y los conjuntos de datos de BigQuery. Dataplex propaga las políticas de IAM asignadas al lake hacia los recursos de la zona de datos y, por último, a los recursos a los que apuntan estos recursos. Las políticas se agregan a las que ya existen en el recurso de almacenamiento base (bucket de Cloud Storage y conjunto de datos de BigQuery).
Una política de IAM te permite administrar funciones de IAM en esos recursos en lugar de administrar funciones a nivel de proyecto, o además de hacerlo. Esto te brinda flexibilidad para aplicar el principio de privilegio mínimo, que es otorgar acceso solo a los recursos específicos que los colaboradores necesitan para hacer su trabajo.
Los recursos también heredan las políticas de sus recursos superiores. Si estableces una política a nivel de proyecto, todos sus recursos secundarios la heredan. La política vigente para un recurso es la unión de la política establecida en ese recurso y la política heredada de una jerarquía superior. Para obtener más información, consulta la jerarquía de políticas de IAM.
Puedes obtener y configurar políticas de IAM con Google Cloud Console, la API de IAM o Google Cloud CLI.
- Para Google Cloud Console, consulta Control de acceso a través de Google Cloud Console.
- Para la API, consulta Control de acceso a través de la API.
- Para Google Cloud CLI, consulta Control de acceso a través de Google Cloud CLI.
Próximos pasos
- Obtén más información sobre las funciones de IAM
- Obtén más información sobre los permisos de IAM.
- Obtén más información sobre la seguridad del lake de Dataplex.