Dataplex define varios roles de administración de identidades y accesos (IAM). Cada rol predefinido contiene un conjunto de permisos de IAM que permiten a las principales realizar ciertas acciones. Puedes usar una política de IAM para asignar a una principal uno o más roles de IAM.
Identity and Access Management (IAM) también ofrece la capacidad de crear funciones personalizadas de IAM. Puedes crear funciones personalizadas de IAM y asignarles un permiso o más. Luego, puedes otorgar la nueva función a tus principales. Usa funciones personalizadas para crear un modelo de control de acceso que se asigne de manera directa a tus necesidades, junto con las funciones predefinidas disponibles.
Este documento se centra en los roles de IAM relevantes para Dataplex.
Antes de comenzar
- Lee la documentación de IAM.
Roles de Dataplex
Los roles de Identity and Access Management (IAM) de Dataplex son un conjunto de uno o más
permisos. Otorgas roles a las principales para permitirles realizar acciones en
los recursos de Dataplex en tu proyecto. Por ejemplo, el
rol de visualizador de Dataplex contiene los permisos
dataplex.*.get y
dataplex.*.list, que permiten a un usuario obtener y enumerar los servicios, los recursos y
las operaciones de Dataplex en un proyecto.
Las funciones de Dataplex se pueden aplicar a cualquier recurso de la jerarquía de servicios, incluidos proyectos, lakes y zonas de datos.
Roles básicos
Puedes asignar funciones básicas a nivel de proyecto mediante las funciones de proyecto de IAM. Aquí hay un resumen de los permisos asociados con las funciones de proyecto de IAM:
| Función de proyecto | Permisos |
|---|---|
| Propietario del proyecto | Todos los permisos de Editor del proyecto más los permisos para administrar el control de acceso del proyecto (obtener/configurar IamPolicy) y para configurar la facturación del proyecto |
| Editor de proyecto | Todos los permisos de Lector del proyecto más todos los permisos del proyecto para acciones que modifican el estado (crear, borrar, actualizar y usar) |
| Lector del proyecto | Todos los permisos de proyecto para acciones de solo lectura que conservan el estado (obtener y enumerar) |
Roles predefinidos
En la siguiente tabla, se enumeran los roles predefinidos (o seleccionados) de Dataplex y los permisos asociados con cada uno:
| ID de función | Permisos |
|---|---|
| roles/dataplex.admin | dataplex.*.create dataplex.*.update dataplex.*.delete dataplex.*.get dataplex.*.getData dataplex.*.list dataplex.*.getIamPolicy dataplex.*.setIamPolicy |
| roles/dataplex.editor | dataplex.*.create dataplex.*.update dataplex.*.delete |
| roles/dataplex.viewer | dataplex.*.get dataplex.*.list |
Notas:
- "*" hace referencia a los tipos de recursos, como "lagos" o "zonas". Algunos permisos no se definen en ciertos tipos de recursos.
- El rol
dataplex.adminotorga acceso completo a todos los recursos de Dataplex, incluida la administración de políticas de IAM. - El rol
dataplex.editorotorga acceso de lectura y escritura a todos los recursos de Dataplex. - El rol
dataplex.viewerotorga acceso de lectura a todos los recursos de Dataplex. - En el caso de los recursos de análisis de datos, se requiere el permiso
dataplex.datascans.getDatapara obtener la vista completa del recurso. Este permiso no se incluye enroles/dataplex.viewerniroles/dataplex.editor. Consulta Permisos y roles del análisis de datos para obtener más detalles.
Roles de datos
Dataplex define los siguientes tres roles de IAM que se aplican a cualquier recurso administrado por Dataplex:
| Rol de datos | Capacidades | Justificación |
|---|---|---|
| roles/dataplex.dataOwner | Todos los permisos en el recurso administrado. Todos los permisos en todos los recursos secundarios (sin importar el tipo de recurso) | Los propietarios de datos pueden actualizar metadatos de recursos, otorgar permisos de mayor nivel de detalle (por ejemplo, en tablas secundarias de un conjunto de datos de BigQuery) y crear recursos secundarios, además de muchos otros permisos. Tienen la propiedad total del recurso. |
| roles/dataplex.dataReader | Capacidad de leer datos en el recurso administrado y sus elementos secundarios. Y la capacidad de leer metadatos del recurso administrado y sus elementos secundarios. | Habilita la capacidad de leer datos y metadatos. |
| roles/dataplex.dataWriter | Capacidad de crear/actualizar/borrar datos (no metadatos) | Habilita los recorridos principales de los usuarios de Dataplex. |
¿Qué sigue?
- Aprende cómo crear funciones personalizadas de IAM.
- Aprende a otorgar y administrar funciones.
- Consulta la asignación de permisos de IAM de Dataplex.