Dataplex définit plusieurs Identity and Access Management (IAM). Chaque rôle prédéfini contient un ensemble d'autorisations IAM qui permettent aux comptes principaux d'effectuer certaines actions. Vous pouvez utiliser une stratégie IAM pour attribuer d'autres rôles IAM.
Cloud Identity and Access Management (IAM) permet également de créer des rôles IAM personnalisés. Vous pouvez créer des rôles IAM personnalisés et leur attribuer une ou plusieurs autorisations. Ensuite, vous pouvez accorder le nouveau rôle à vos comptes principaux. Pour créer un modèle de contrôle des accès correspondant directement à vos besoins, utilisez des rôles personnalisés qui viendront s'ajouter aux rôles prédéfinis disponibles.
Ce document porte sur les rôles IAM pertinents pour Dataplex.
Avant de commencer
- Consultez la documentation IAM.
Rôles Dataplex
Les rôles Dataplex (Identity and Access Management) (IAM) sont un ensemble d'un ou de plusieurs
autorisations. Vous accordez des rôles aux comptes principaux pour leur permettre d'effectuer des actions sur
les ressources Dataplex dans votre projet. Par exemple,
Le rôle Lecteur Dataplex contient les rôles dataplex.*.get
et
dataplex.*.list
autorisations, qui permettent à
pour obtenir et répertorier les ressources Dataplex d'un projet.
Les rôles Dataplex peuvent être appliqués à toutes les ressources du service y compris les projets, les lacs et les zones de données.
Rôles de base
Vous pouvez attribuer des rôles de base au niveau du projet à l'aide des rôles IAM Projet. Voici un récapitulatif des autorisations associées à ces rôles :
Rôle de projet | Autorisations |
---|---|
Propriétaire du projet | Toutes les autorisations de l'éditeur de projet, ainsi que celles permettant de gérer le contrôle d'accès au projet (get / set IamPolicy) et de configurer la facturation du projet |
Éditeur de projet | Toutes les autorisations lecteur de projet, ainsi que toutes les autorisations de projet pour les actions qui modifient l'état (créer, supprimer, mettre à jour, utiliser) |
Lecteur de projets | Toutes les autorisations de projet pour les actions en lecture seule préservant l'état (get, list) |
Rôles prédéfinis
Les rôles prédéfinis contiennent les autorisations nécessaires pour effectuer une tâche. un groupe de tâches connexes.
Veuillez noter les points suivants :
- Les rôles Administrateur, Éditeur Dataplex et Lecteur Dataplex qui donnent accès aux ressources du catalogue Dataplex.
- Aucun rôle n'accorde l'autorisation d'ajouter ou de supprimer un catalogue Dataplex
les entrées de groupes d'entrées définis par le système, tels que
@bigquery
et@dataplex
. - Le rôle "Propriétaire d'entrées Dataplex" inclut les éléments suivants:
<ph type="x-smartling-placeholder">
- </ph>
- Accorde un accès complet aux opérations liées aux entrées.
- Accorde les autorisations nécessaires pour ajouter des aspects de certains types d'aspects du système,
comme
Schema
,Generic
,Overview
etContacts
. - Accorde les autorisations nécessaires pour créer des entrées de type
GenericEntry
. - Ce rôle vous permet de créer une entrée avec un type d'entrée et un type d'aspect, où le type d'entrée et le type d'aspect sont définis dans le même projet que l'entrée. Sinon, les autres utilisateurs des types d'entrées Dataplex et des types d'aspect Dataplex des rôles doivent être accordés sur les projets dont le type d'entrée et le type d'aspect sont définies.
- Lorsque vous utilisez les méthodes
LookupEntry
ouSearchEntries
, ce rôle n'accorde pas l'autorisation de lire les entrées créées à partir de aux ressources Google Cloud externes à Dataplex, telles que Entrées BigQuery. Pour lire ces entrées, vous devez disposer sur les ressources du système source. Vous pouvez également consulter les les entrées disposant uniquement du rôle "Propriétaire de l'entrée Dataplex" à l'aide de l'GetEntry
.
- Pour rechercher des entrées à l'aide de la méthode
SearchEntries
, vous devez disposer au moins un des rôles IAM du catalogue Dataplex sur le projet utilisée dans la requête API. Les autorisations sur les résultats de recherche sont vérifiées indépendamment du projet sélectionné.
Le tableau suivant présente les ressources Dataplex prédéfinies et les autorisations associées à chacun d'eux.
Role | Permissions |
---|---|
Dataplex Administrator( Full access to Dataplex resources, except Dataplex Catalog. |
|
Dataplex Aspect Type Owner( Grants access to creating and managing Aspect Types. Does not give the right to create/modify Entries. |
|
Dataplex Aspect Type User( Grants access to use Aspect Types to create/modify Entries with the corresponding aspects. |
|
Dataplex Binding Administrator( Full access on DataAttribute Bindig resources. |
|
Dataplex Catalog Admin( Has full access to Catalog resources: Entry Groups, Entry Types, Aspect Types and Entries. |
|
Dataplex Catalog Editor( Has write access to Catalog resources: Entry Groups, Entry Types, Aspect Types and Entries. Cannot set IAM policies on resources |
|
Dataplex Catalog Viewer( Has read access to Catalog resources: Entry Groups, Entry Types, Aspect Types and Entries. Can view IAM policies on Catalog resources. |
|
Dataplex Data Owner( Owner access to data. To be granted to Dataplex resources Lake, Zone or Asset only. |
|
Dataplex Data Reader( Read only access to data. To be granted to Dataplex resources Lake, Zone or Asset only. |
|
Dataplex DataScan Administrator( Full access to DataScan resources. |
|
Dataplex DataScan Creator( Access to create new DataScan resources. |
|
Dataplex DataScan DataViewer( Read access to DataScan resources and additional contents. |
|
Dataplex DataScan Editor( Write access to DataScan resources. |
|
Dataplex DataScan Viewer( Read access to DataScan resources. |
|
Dataplex Data Writer( Write access to data. To be granted to Dataplex resources Lake, Zone or Asset only. |
|
Dataplex Developer( Allows running data analytics workloads in a lake. |
|
Dataplex Editor( Write access to Dataplex resources. |
|
Dataplex Entry Group Owner( Owns Entry Groups and Entries inside of them. |
|
Dataplex Entry Owner( Owns Metadata Entries. |
|
Dataplex Entry Type Owner( Grants access to creating and managing Entry Types. Does not give the right to create/modify Entries. |
|
Dataplex Entry Type User( Grants access to use Entry Types to create/modify Entries of those types. |
|
Dataplex Metadata Reader( Read only access to metadata. |
|
Dataplex Metadata Writer( Write and Read access to metadata. |
|
Dataplex Security Administrator( Permissions configure ResourceAccess and DataAccess Specs on Data Attributes. |
|
Dataplex Storage Data Owner( Owner access to data. Should not be used directly. This role is granted by Dataplex to managed resources like Cloud Storage buckets, BigQuery datasets etc. |
|
Dataplex Storage Data Reader( Read only access to data. Should not be used directly. This role is granted by Dataplex to managed resources like Cloud Storage buckets, BigQuery datasets etc. |
|
Dataplex Storage Data Writer( Write access to data. Should not be used directly. This role is granted by Dataplex to managed resources like Cloud Storage buckets, BigQuery datasets etc. |
|
Dataplex Taxonomy Administrator( Full access to DataTaxonomy, DataAttribute resources. |
|
Dataplex Taxonomy Viewer( Read access on DataTaxonomy, DataAttribute resources. |
|
Dataplex Viewer( Read access to Dataplex resources. |
|
Rôles associés aux données
Dataplex définit les trois rôles IAM suivants, qui sont destinées à être appliquées à toute ressource gérée par Dataplex. Pour en savoir plus sur les autorisations associées à chaque rôle, consultez la section Rôles prédéfinis de ce document.
Rôle des données | Capacités | Justification |
---|---|---|
Propriétaire de données Dataplex (roles/dataplex.dataOwner ) |
Toutes les autorisations sur la ressource gérée. Toutes les autorisations sur toutes les ressources enfants (quel que soit le type de ressource). | Les propriétaires de données peuvent mettre à jour les métadonnées des ressources, accorder des autorisations plus précises (par exemple, sur les tables enfants d'un ensemble de données BigQuery) et créer des ressources enfants, en plus de diverses autres autorisations. Ils détiennent l'entière propriété de la ressource. |
Lecteur de données Dataplex (roles/dataplex.dataReader ) |
Permet de lire les données de la ressource gérée et de ses enfants. Capacité à lire les métadonnées de la ressource gérée et de ses enfants | Permet de lire les données et les métadonnées. |
Rédacteur de données Dataplex (roles/dataplex.dataWriter ) |
Possibilité de créer/mettre à jour/supprimer des données (pas des métadonnées). | Active les parcours utilisateur Dataplex principaux. |
Étape suivante
- Découvrez comment créer des rôles IAM personnalisés.
- Découvrez comment attribuer et gérer des rôles.
- Consultez la section Mappage des autorisations IAM Dataplex.