Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Dataplex définit plusieurs rôles Identity and Access Management (IAM).
Chaque rôle prédéfini contient un ensemble d'autorisations IAM qui permettent aux comptes principaux d'effectuer certaines actions. Vous pouvez utiliser une stratégie IAM pour attribuer un ou plusieurs rôles IAM à un compte principal.
IAM permet également de créer des rôles personnalisés. Vous pouvez créer des rôles IAM personnalisés et leur attribuer une ou plusieurs autorisations. Ensuite, vous pouvez accorder le nouveau rôle à vos comptes principaux. Pour créer un modèle de contrôle des accès correspondant directement à vos besoins, utilisez des rôles personnalisés qui viendront s'ajouter aux rôles prédéfinis disponibles.
Ce document décrit les rôles IAM pertinents pour Dataplex.
Pour une description détaillée d'IAM et de ses fonctionnalités, consultez la documentation IAM.
À propos des rôles Dataplex
Les rôles IAM Dataplex sont des ensembles constitués d'une ou de plusieurs autorisations. Vous accordez des rôles aux comptes principaux pour leur permettre d'effectuer des actions sur les ressources Dataplex dans votre projet. Par exemple, le rôle Lecteur Dataplex contient les autorisations dataplex.*.get et dataplex.*.list, qui permettent aux utilisateurs d'obtenir et de répertorier les ressources Dataplex dans un projet. Pour en savoir plus, consultez la section Autorisations Dataplex.
Vous pouvez appliquer des rôles Dataplex à toutes les ressources de la hiérarchie de services, y compris aux projets, aux lacs et aux zones de données.
Rôles de base
Vous pouvez attribuer des rôles de base au niveau du projet à l'aide des rôles IAM Projet. Voici la liste des autorisations associées aux rôles de projet IAM:
Rôle de projet
Autorisations
Propriétaire du projet
Toutes les autorisations de l'éditeur de projet, ainsi que celles permettant de gérer le contrôle d'accès au projet (get / set IamPolicy) et de configurer la facturation du projet
Éditeur de projet
Toutes les autorisations lecteur de projet, ainsi que toutes les autorisations de projet pour les actions qui modifient l'état (créer, supprimer, mettre à jour, utiliser)
Lecteur de projets
Toutes les autorisations de projet pour les actions en lecture seule préservant l'état (get, list)
Rôles prédéfinis pour Dataplex
Les rôles prédéfinis contiennent les autorisations nécessaires pour effectuer une tâche ou un groupe de tâches connexes.
Veuillez noter les points suivants :
Les rôles Administrateur Dataplex, Éditeur Dataplex et Lecteur Dataplex n'offrent pas d'accès aux ressources du catalogue Dataplex.
Aucun rôle n'accorde d'autorisations pour ajouter ou supprimer des entrées du catalogue Dataplex à partir de groupes d'entrées définis par le système, tels que @bigquery et @dataplex.
Le rôle de propriétaire d'entrées Dataplex inclut les éléments suivants :
Accorde un accès complet aux opérations liées aux entrées.
Accorde des autorisations pour ajouter des aspects de certains types d'aspects système, tels que Schema, Generic, Overview et Contacts.
Accorde des autorisations pour créer des entrées de type GenericEntry.
Ce rôle vous permet de créer une entrée avec un type d'entrée et un type d'aspect, où le type d'entrée et le type d'aspect sont définis dans le même projet que l'entrée.
Sinon, des rôles supplémentaires de type "Utilisateur du type d'entrée Dataplex" et "Utilisateur du type d'aspect Dataplex" doivent être accordés sur les projets où le type d'entrée et le type d'aspect sont définis.
Lorsque vous utilisez la méthode LookupEntry ou la méthode SearchEntries, ce rôle n'accorde pas d'autorisations pour lire les entrées créées à partir de ressourcesGoogle Cloud en dehors de Dataplex, telles que les entrées BigQuery. Pour lire ces entrées, vous devez disposer d'autorisations sur les ressources système source. Vous pouvez également lire les entrées avec le rôle "Propriétaire de l'entrée Dataplex" uniquement à l'aide de la méthode GetEntry.
Pour rechercher des entrées à l'aide de la méthode SearchEntries, vous devez disposer d'au moins un des rôles IAM du catalogue Dataplex sur le projet utilisé dans la requête API. Les autorisations sur les résultats de recherche sont vérifiées indépendamment du projet sélectionné.
Le tableau suivant répertorie les rôles prédéfinis Dataplex et les autorisations associées à chaque rôle:
Role
Permissions
Dataplex Administrator
(roles/dataplex.admin)
Full access to Dataplex resources, except Dataplex Catalog.
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
dataplex.assetActions.list
dataplex.assets.create
dataplex.assets.delete
dataplex.assets.get
dataplex.assets.getIamPolicy
dataplex.assets.list
dataplex.assets.setIamPolicy
dataplex.assets.update
dataplex.content.*
dataplex.content.create
dataplex.content.delete
dataplex.content.get
dataplex.content.getIamPolicy
dataplex.content.list
dataplex.content.setIamPolicy
dataplex.content.update
dataplex.dataAttributeBindings.*
dataplex.dataAttributeBindings.create
dataplex.dataAttributeBindings.delete
dataplex.dataAttributeBindings.get
dataplex.dataAttributeBindings.getIamPolicy
dataplex.dataAttributeBindings.list
dataplex.dataAttributeBindings.setIamPolicy
dataplex.dataAttributeBindings.update
dataplex.dataAttributes.*
dataplex.dataAttributes.bind
dataplex.dataAttributes.create
dataplex.dataAttributes.delete
dataplex.dataAttributes.get
dataplex.dataAttributes.getIamPolicy
dataplex.dataAttributes.list
dataplex.dataAttributes.setIamPolicy
dataplex.dataAttributes.update
dataplex.dataTaxonomies.*
dataplex.dataTaxonomies.configureDataAccess
dataplex.dataTaxonomies.configureResourceAccess
dataplex.dataTaxonomies.create
dataplex.dataTaxonomies.delete
dataplex.dataTaxonomies.get
dataplex.dataTaxonomies.getIamPolicy
dataplex.dataTaxonomies.list
dataplex.dataTaxonomies.setIamPolicy
dataplex.dataTaxonomies.update
dataplex.datascans.*
dataplex.datascans.create
dataplex.datascans.delete
dataplex.datascans.get
dataplex.datascans.getData
dataplex.datascans.getIamPolicy
dataplex.datascans.list
dataplex.datascans.run
dataplex.datascans.setIamPolicy
dataplex.datascans.update
dataplex.encryptionConfig.*
dataplex.encryptionConfig.create
dataplex.encryptionConfig.delete
dataplex.encryptionConfig.get
dataplex.encryptionConfig.list
dataplex.encryptionConfig.update
dataplex.entities.*
dataplex.entities.create
dataplex.entities.delete
dataplex.entities.get
dataplex.entities.list
dataplex.entities.update
dataplex.entryGroups.export
dataplex.entryGroups.import
dataplex.environments.*
dataplex.environments.create
dataplex.environments.delete
dataplex.environments.execute
dataplex.environments.get
dataplex.environments.getIamPolicy
dataplex.environments.list
dataplex.environments.setIamPolicy
dataplex.environments.update
dataplex.lakeActions.list
dataplex.lakes.*
dataplex.lakes.create
dataplex.lakes.delete
dataplex.lakes.get
dataplex.lakes.getIamPolicy
dataplex.lakes.list
dataplex.lakes.setIamPolicy
dataplex.lakes.update
dataplex.locations.*
dataplex.locations.get
dataplex.locations.list
dataplex.metadataJobs.*
dataplex.metadataJobs.cancel
dataplex.metadataJobs.create
dataplex.metadataJobs.get
dataplex.metadataJobs.list
dataplex.operations.*
dataplex.operations.cancel
dataplex.operations.delete
dataplex.operations.get
dataplex.operations.list
dataplex.partitions.*
dataplex.partitions.create
dataplex.partitions.delete
dataplex.partitions.get
dataplex.partitions.list
dataplex.partitions.update
dataplex.tasks.*
dataplex.tasks.cancel
dataplex.tasks.create
dataplex.tasks.delete
dataplex.tasks.get
dataplex.tasks.getIamPolicy
dataplex.tasks.list
dataplex.tasks.run
dataplex.tasks.setIamPolicy
dataplex.tasks.update
dataplex.zoneActions.list
dataplex.zones.*
dataplex.zones.create
dataplex.zones.delete
dataplex.zones.get
dataplex.zones.getIamPolicy
dataplex.zones.list
dataplex.zones.setIamPolicy
dataplex.zones.update
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Aspect Type Owner
(roles/dataplex.aspectTypeOwner)
Grants access to creating and managing Aspect Types. Does not give the right to create/modify Entries.
datacatalog.migrationConfig.get
dataplex.aspectTypes.*
dataplex.aspectTypes.create
dataplex.aspectTypes.delete
dataplex.aspectTypes.get
dataplex.aspectTypes.getIamPolicy
dataplex.aspectTypes.list
dataplex.aspectTypes.setIamPolicy
dataplex.aspectTypes.update
dataplex.aspectTypes.use
dataplex.operations.get
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Aspect Type User
(roles/dataplex.aspectTypeUser)
Grants access to use Aspect Types to create/modify Entries with the corresponding aspects.
datacatalog.migrationConfig.get
dataplex.aspectTypes.get
dataplex.aspectTypes.list
dataplex.aspectTypes.use
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Binding Administrator
(roles/dataplex.bindingAdmin)
Full access on DataAttribute Bindig resources.
dataplex.dataAttributeBindings.*
dataplex.dataAttributeBindings.create
dataplex.dataAttributeBindings.delete
dataplex.dataAttributeBindings.get
dataplex.dataAttributeBindings.getIamPolicy
dataplex.dataAttributeBindings.list
dataplex.dataAttributeBindings.setIamPolicy
dataplex.dataAttributeBindings.update
Dataplex Catalog Admin
(roles/dataplex.catalogAdmin)
Has full access to Catalog resources: Entry Groups, Entry Types, Aspect Types and Entries.
datacatalog.migrationConfig.get
dataplex.aspectTypes.*
dataplex.aspectTypes.create
dataplex.aspectTypes.delete
dataplex.aspectTypes.get
dataplex.aspectTypes.getIamPolicy
dataplex.aspectTypes.list
dataplex.aspectTypes.setIamPolicy
dataplex.aspectTypes.update
dataplex.aspectTypes.use
dataplex.entries.*
dataplex.entries.create
dataplex.entries.delete
dataplex.entries.get
dataplex.entries.list
dataplex.entries.update
dataplex.entryGroups.*
dataplex.entryGroups.create
dataplex.entryGroups.delete
dataplex.entryGroups.export
dataplex.entryGroups.get
dataplex.entryGroups.getIamPolicy
dataplex.entryGroups.import
dataplex.entryGroups.list
dataplex.entryGroups.setIamPolicy
dataplex.entryGroups.update
dataplex.entryGroups.useContactsAspect
dataplex.entryGroups.useGenericAspect
dataplex.entryGroups.useGenericEntry
dataplex.entryGroups.useOverviewAspect
dataplex.entryGroups.useSchemaAspect
dataplex.entryTypes.*
dataplex.entryTypes.create
dataplex.entryTypes.delete
dataplex.entryTypes.get
dataplex.entryTypes.getIamPolicy
dataplex.entryTypes.list
dataplex.entryTypes.setIamPolicy
dataplex.entryTypes.update
dataplex.entryTypes.use
dataplex.operations.get
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Catalog Editor
(roles/dataplex.catalogEditor)
Has write access to Catalog resources: Entry Groups, Entry Types, Aspect Types and Entries. Cannot set IAM policies on resources
datacatalog.migrationConfig.get
dataplex.aspectTypes.create
dataplex.aspectTypes.delete
dataplex.aspectTypes.get
dataplex.aspectTypes.getIamPolicy
dataplex.aspectTypes.list
dataplex.aspectTypes.update
dataplex.aspectTypes.use
dataplex.entries.*
dataplex.entries.create
dataplex.entries.delete
dataplex.entries.get
dataplex.entries.list
dataplex.entries.update
dataplex.entryGroups.create
dataplex.entryGroups.delete
dataplex.entryGroups.get
dataplex.entryGroups.getIamPolicy
dataplex.entryGroups.list
dataplex.entryGroups.update
dataplex.entryGroups.useContactsAspect
dataplex.entryGroups.useGenericAspect
dataplex.entryGroups.useGenericEntry
dataplex.entryGroups.useOverviewAspect
dataplex.entryGroups.useSchemaAspect
dataplex.entryTypes.create
dataplex.entryTypes.delete
dataplex.entryTypes.get
dataplex.entryTypes.getIamPolicy
dataplex.entryTypes.list
dataplex.entryTypes.update
dataplex.entryTypes.use
dataplex.operations.get
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Catalog Viewer
(roles/dataplex.catalogViewer)
Has read access to Catalog resources: Entry Groups, Entry Types, Aspect Types and Entries. Can view IAM policies on Catalog resources.
datacatalog.migrationConfig.get
dataplex.aspectTypes.get
dataplex.aspectTypes.getIamPolicy
dataplex.aspectTypes.list
dataplex.entries.get
dataplex.entries.list
dataplex.entryGroups.get
dataplex.entryGroups.getIamPolicy
dataplex.entryGroups.list
dataplex.entryTypes.get
dataplex.entryTypes.getIamPolicy
dataplex.entryTypes.list
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Data Owner
(roles/dataplex.dataOwner)
Owner access to data. To be granted to Dataplex resources Lake, Zone or Asset only.
dataplex.assets.ownData
dataplex.assets.readData
dataplex.assets.writeData
Dataplex Data Reader
(roles/dataplex.dataReader)
Read only access to data. To be granted to Dataplex resources Lake, Zone or Asset only.
dataplex.assets.readData
Dataplex DataScan Administrator
(roles/dataplex.dataScanAdmin)
Full access to DataScan resources.
dataplex.datascans.*
dataplex.datascans.create
dataplex.datascans.delete
dataplex.datascans.get
dataplex.datascans.getData
dataplex.datascans.getIamPolicy
dataplex.datascans.list
dataplex.datascans.run
dataplex.datascans.setIamPolicy
dataplex.datascans.update
dataplex.operations.get
dataplex.operations.list
Dataplex DataScan Creator
(roles/dataplex.dataScanCreator)
Access to create new DataScan resources.
dataplex.datascans.create
dataplex.datascans.get
dataplex.datascans.list
dataplex.operations.get
Dataplex DataScan DataViewer
(roles/dataplex.dataScanDataViewer)
Read access to DataScan resources and additional contents.
dataplex.datascans.get
dataplex.datascans.getData
dataplex.datascans.getIamPolicy
dataplex.datascans.list
Dataplex DataScan Editor
(roles/dataplex.dataScanEditor)
Write access to DataScan resources.
dataplex.datascans.create
dataplex.datascans.delete
dataplex.datascans.get
dataplex.datascans.getData
dataplex.datascans.getIamPolicy
dataplex.datascans.list
dataplex.datascans.run
dataplex.datascans.update
dataplex.operations.get
dataplex.operations.list
Dataplex DataScan Viewer
(roles/dataplex.dataScanViewer)
Read access to DataScan resources.
dataplex.datascans.get
dataplex.datascans.getIamPolicy
dataplex.datascans.list
Dataplex Data Writer
(roles/dataplex.dataWriter)
Write access to data. To be granted to Dataplex resources Lake, Zone or Asset only.
dataplex.assets.writeData
Dataplex Developer
(roles/dataplex.developer)
Allows running data analytics workloads in a lake.
dataplex.content.*
dataplex.content.create
dataplex.content.delete
dataplex.content.get
dataplex.content.getIamPolicy
dataplex.content.list
dataplex.content.setIamPolicy
dataplex.content.update
dataplex.environments.execute
dataplex.environments.get
dataplex.environments.list
dataplex.tasks.cancel
dataplex.tasks.create
dataplex.tasks.delete
dataplex.tasks.get
dataplex.tasks.list
dataplex.tasks.run
dataplex.tasks.update
Dataplex Editor
(roles/dataplex.editor)
Write access to Dataplex resources.
cloudasset.assets.analyzeIamPolicy
dataplex.assetActions.list
dataplex.assets.create
dataplex.assets.delete
dataplex.assets.get
dataplex.assets.getIamPolicy
dataplex.assets.list
dataplex.assets.update
dataplex.content.delete
dataplex.content.get
dataplex.content.getIamPolicy
dataplex.content.list
dataplex.dataAttributeBindings.create
dataplex.dataAttributeBindings.delete
dataplex.dataAttributeBindings.get
dataplex.dataAttributeBindings.getIamPolicy
dataplex.dataAttributeBindings.list
dataplex.dataAttributeBindings.update
dataplex.dataAttributes.bind
dataplex.dataAttributes.create
dataplex.dataAttributes.delete
dataplex.dataAttributes.get
dataplex.dataAttributes.getIamPolicy
dataplex.dataAttributes.list
dataplex.dataAttributes.update
dataplex.dataTaxonomies.configureDataAccess
dataplex.dataTaxonomies.configureResourceAccess
dataplex.dataTaxonomies.create
dataplex.dataTaxonomies.delete
dataplex.dataTaxonomies.get
dataplex.dataTaxonomies.getIamPolicy
dataplex.dataTaxonomies.list
dataplex.dataTaxonomies.update
dataplex.datascans.create
dataplex.datascans.delete
dataplex.datascans.get
dataplex.datascans.getIamPolicy
dataplex.datascans.list
dataplex.datascans.run
dataplex.datascans.update
dataplex.environments.create
dataplex.environments.delete
dataplex.environments.get
dataplex.environments.getIamPolicy
dataplex.environments.list
dataplex.environments.update
dataplex.lakeActions.list
dataplex.lakes.create
dataplex.lakes.delete
dataplex.lakes.get
dataplex.lakes.getIamPolicy
dataplex.lakes.list
dataplex.lakes.update
dataplex.operations.*
dataplex.operations.cancel
dataplex.operations.delete
dataplex.operations.get
dataplex.operations.list
dataplex.tasks.cancel
dataplex.tasks.create
dataplex.tasks.delete
dataplex.tasks.get
dataplex.tasks.getIamPolicy
dataplex.tasks.list
dataplex.tasks.run
dataplex.tasks.update
dataplex.zoneActions.list
dataplex.zones.create
dataplex.zones.delete
dataplex.zones.get
dataplex.zones.getIamPolicy
dataplex.zones.list
dataplex.zones.update
Dataplex Encryption Admin
(roles/dataplex.encryptionAdmin)
Gives user permissions to manage encryption config.
dataplex.encryptionConfig.*
dataplex.encryptionConfig.create
dataplex.encryptionConfig.delete
dataplex.encryptionConfig.get
dataplex.encryptionConfig.list
dataplex.encryptionConfig.update
dataplex.operations.get
dataplex.operations.list
Dataplex Entry Group Exporter
Beta
(roles/dataplex.entryGroupExporter)
Grants access to export this entry group for Metadata Job processing.
dataplex.entryGroups.export
dataplex.entryGroups.get
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Entry Group Importer
(roles/dataplex.entryGroupImporter)
Grants access to import this entry group for Metadata Job processing.
dataplex.entryGroups.get
dataplex.entryGroups.import
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Entry Group Owner
(roles/dataplex.entryGroupOwner)
Owns Entry Groups and Entries inside of them.
datacatalog.migrationConfig.get
dataplex.aspectTypes.get
dataplex.aspectTypes.list
dataplex.aspectTypes.use
dataplex.entries.*
dataplex.entries.create
dataplex.entries.delete
dataplex.entries.get
dataplex.entries.list
dataplex.entries.update
dataplex.entryGroups.*
dataplex.entryGroups.create
dataplex.entryGroups.delete
dataplex.entryGroups.export
dataplex.entryGroups.get
dataplex.entryGroups.getIamPolicy
dataplex.entryGroups.import
dataplex.entryGroups.list
dataplex.entryGroups.setIamPolicy
dataplex.entryGroups.update
dataplex.entryGroups.useContactsAspect
dataplex.entryGroups.useGenericAspect
dataplex.entryGroups.useGenericEntry
dataplex.entryGroups.useOverviewAspect
dataplex.entryGroups.useSchemaAspect
dataplex.entryTypes.get
dataplex.entryTypes.list
dataplex.entryTypes.use
dataplex.operations.get
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Entry Owner
(roles/dataplex.entryOwner)
Owns Metadata Entries.
datacatalog.migrationConfig.get
dataplex.aspectTypes.get
dataplex.aspectTypes.list
dataplex.aspectTypes.use
dataplex.entries.*
dataplex.entries.create
dataplex.entries.delete
dataplex.entries.get
dataplex.entries.list
dataplex.entries.update
dataplex.entryGroups.get
dataplex.entryGroups.useContactsAspect
dataplex.entryGroups.useGenericAspect
dataplex.entryGroups.useGenericEntry
dataplex.entryGroups.useOverviewAspect
dataplex.entryGroups.useSchemaAspect
dataplex.entryTypes.get
dataplex.entryTypes.list
dataplex.entryTypes.use
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Entry Type Owner
(roles/dataplex.entryTypeOwner)
Grants access to creating and managing Entry Types. Does not give the right to create/modify Entries.
datacatalog.migrationConfig.get
dataplex.entryTypes.*
dataplex.entryTypes.create
dataplex.entryTypes.delete
dataplex.entryTypes.get
dataplex.entryTypes.getIamPolicy
dataplex.entryTypes.list
dataplex.entryTypes.setIamPolicy
dataplex.entryTypes.update
dataplex.entryTypes.use
dataplex.operations.get
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Entry Type User
(roles/dataplex.entryTypeUser)
Grants access to use Entry Types to create/modify Entries of those types.
datacatalog.migrationConfig.get
dataplex.entryTypes.get
dataplex.entryTypes.list
dataplex.entryTypes.use
dataplex.projects.search
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Metadata Job Owner
(roles/dataplex.metadataJobOwner)
Grants access to creating and managing Metadata Jobs. Does not give the right to create/modify Entry Groups.
dataplex.metadataJobs.*
dataplex.metadataJobs.cancel
dataplex.metadataJobs.create
dataplex.metadataJobs.get
dataplex.metadataJobs.list
dataplex.operations.get
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Metadata Job Viewer
(roles/dataplex.metadataJobViewer)
Read access to Metadata Job resources.
dataplex.metadataJobs.get
dataplex.metadataJobs.list
dataplex.operations.get
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Metadata Reader
(roles/dataplex.metadataReader)
Read only access to metadata.
dataplex.assets.get
dataplex.assets.list
dataplex.entities.get
dataplex.entities.list
dataplex.partitions.get
dataplex.partitions.list
dataplex.zones.get
dataplex.zones.list
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Metadata Writer
(roles/dataplex.metadataWriter)
Write and Read access to metadata.
dataplex.assets.get
dataplex.assets.list
dataplex.entities.*
dataplex.entities.create
dataplex.entities.delete
dataplex.entities.get
dataplex.entities.list
dataplex.entities.update
dataplex.partitions.*
dataplex.partitions.create
dataplex.partitions.delete
dataplex.partitions.get
dataplex.partitions.list
dataplex.partitions.update
dataplex.zones.get
dataplex.zones.list
resourcemanager.projects.get
resourcemanager.projects.list
Dataplex Security Administrator
(roles/dataplex.securityAdmin)
Permissions configure ResourceAccess and DataAccess Specs on Data Attributes.
dataplex.dataTaxonomies.configureDataAccess
dataplex.dataTaxonomies.configureResourceAccess
Dataplex Storage Data Owner
(roles/dataplex.storageDataOwner)
Owner access to data. Should not be used directly. This role is granted by Dataplex to managed resources like Cloud Storage buckets, BigQuery datasets etc.
bigquery.datasets.get
bigquery.models.create
bigquery.models.delete
bigquery.models.export
bigquery.models.getData
bigquery.models.getMetadata
bigquery.models.list
bigquery.models.updateData
bigquery.models.updateMetadata
bigquery.routines.create
bigquery.routines.delete
bigquery.routines.get
bigquery.routines.list
bigquery.routines.update
bigquery.tables.create
bigquery.tables.createSnapshot
bigquery.tables.delete
bigquery.tables.deleteSnapshot
bigquery.tables.export
bigquery.tables.get
bigquery.tables.getData
bigquery.tables.list
bigquery.tables.restoreSnapshot
bigquery.tables.update
bigquery.tables.updateData
storage.buckets.get
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
storage.objects.update
Dataplex Storage Data Reader
(roles/dataplex.storageDataReader)
Read only access to data. Should not be used directly. This role is granted by Dataplex to managed resources like Cloud Storage buckets, BigQuery datasets etc.
bigquery.datasets.get
bigquery.models.export
bigquery.models.getData
bigquery.models.getMetadata
bigquery.models.list
bigquery.routines.get
bigquery.routines.list
bigquery.tables.export
bigquery.tables.get
bigquery.tables.getData
bigquery.tables.list
storage.buckets.get
storage.objects.get
storage.objects.list
Dataplex Storage Data Writer
(roles/dataplex.storageDataWriter)
Write access to data. Should not be used directly. This role is granted by Dataplex to managed resources like Cloud Storage buckets, BigQuery datasets etc.
bigquery.tables.updateData
storage.objects.create
storage.objects.delete
storage.objects.update
Dataplex Taxonomy Administrator
(roles/dataplex.taxonomyAdmin)
Full access to DataTaxonomy, DataAttribute resources.
dataplex.dataAttributes.*
dataplex.dataAttributes.bind
dataplex.dataAttributes.create
dataplex.dataAttributes.delete
dataplex.dataAttributes.get
dataplex.dataAttributes.getIamPolicy
dataplex.dataAttributes.list
dataplex.dataAttributes.setIamPolicy
dataplex.dataAttributes.update
dataplex.dataTaxonomies.create
dataplex.dataTaxonomies.delete
dataplex.dataTaxonomies.get
dataplex.dataTaxonomies.getIamPolicy
dataplex.dataTaxonomies.list
dataplex.dataTaxonomies.setIamPolicy
dataplex.dataTaxonomies.update
Dataplex Taxonomy Viewer
(roles/dataplex.taxonomyViewer)
Read access on DataTaxonomy, DataAttribute resources.
dataplex.dataAttributes.get
dataplex.dataAttributes.getIamPolicy
dataplex.dataAttributes.list
dataplex.dataTaxonomies.get
dataplex.dataTaxonomies.getIamPolicy
dataplex.dataTaxonomies.list
Dataplex Viewer
(roles/dataplex.viewer)
Read access to Dataplex resources.
cloudasset.assets.analyzeIamPolicy
dataplex.assetActions.list
dataplex.assets.get
dataplex.assets.getIamPolicy
dataplex.assets.list
dataplex.content.get
dataplex.content.getIamPolicy
dataplex.content.list
dataplex.dataAttributeBindings.get
dataplex.dataAttributeBindings.getIamPolicy
dataplex.dataAttributeBindings.list
dataplex.dataAttributes.get
dataplex.dataAttributes.getIamPolicy
dataplex.dataAttributes.list
dataplex.dataTaxonomies.get
dataplex.dataTaxonomies.getIamPolicy
dataplex.dataTaxonomies.list
dataplex.datascans.get
dataplex.datascans.getIamPolicy
dataplex.datascans.list
dataplex.environments.get
dataplex.environments.getIamPolicy
dataplex.environments.list
dataplex.lakeActions.list
dataplex.lakes.get
dataplex.lakes.getIamPolicy
dataplex.lakes.list
dataplex.operations.get
dataplex.operations.list
dataplex.tasks.get
dataplex.tasks.getIamPolicy
dataplex.tasks.list
dataplex.zoneActions.list
dataplex.zones.get
dataplex.zones.getIamPolicy
dataplex.zones.list
Rôles prédéfinis pour la lignée des données
Pour accéder à la lignée d'une entrée du catalogue Dataplex, vous devez avoir accès à l'entrée dans Dataplex. Pour accéder à l'entrée du catalogue Dataplex, vous devez disposer d'un rôle de lecteur sur la ressource système correspondante ou du rôle Lecteur du catalogue Dataplex (roles/dataplex.catalogViewer) sur le projet qui stocke l'entrée du catalogue Dataplex. Cette section décrit les rôles requis pour afficher la lignée.
Rôle de lecteur de la traçabilité
Le rôle Lecteur de la traçabilité des données (roles/datalineage.viewer) vous permet d'afficher la traçabilité des données Dataplex dans la console Google Cloud et de lire les informations de traçabilité à l'aide de l'API Data Lineage. Les exécutions et les événements d'un processus donné sont tous stockés dans le même projet que le processus. Dans le cas d'une lignée automatisée, le processus, les exécutions et les événements sont stockés dans le projet dans lequel s'exécutait la tâche ayant généré la lignée. Il peut s'agir, par exemple, du projet dans lequel un job BigQuery s'exécutait.
Vous avez besoin de différents rôles pour afficher la lignée entre les composants et les métadonnées des composants. Pour le premier, vous avez besoin du rôle Lecteur de la lignée de données (roles/datalineage.viewer). Pour le second, vous avez besoin des mêmes rôles que ceux utilisés pour accéder aux entrées de métadonnées dans Dataplex.
Rôles permettant d'afficher la lignée entre deux composants
Pour afficher la traçabilité entre les composants, vous devez disposer du rôle Lecteur de la traçabilité des données (roles/datalineage.viewer) sur les projets suivants:
Projet dans lequel vous affichez la lignée (appelé projet actif), c'est-à-dire le projet dans le menu déroulant en haut de la console Google Cloud ou le projet à partir duquel des appels d'API sont effectués. Il s'agit généralement du projet contenant les ressources que vous allez créer dans Dataplex Catalog ou auxquelles vous allez accéder dans d'autres systèmes Google Cloud avec l'API.
Les projets dans lesquels la lignée est enregistrée (appelés projet de calcul).
La lignée est stockée dans le projet dans lequel le processus correspondant a été exécuté, comme décrit précédemment. Ce projet peut être différent du projet qui stocke l'asset pour lequel vous consultez la lignée.
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Selon le cas d'utilisation, attribuez le rôle Lecteur de la lignée de données (roles/datalineage.viewer) au niveau du dossier ou de l'organisation pour garantir l'accès à la lignée (voir Attribuer ou révoquer un rôle unique).
Les rôles requis pour la traçabilité des données ne peuvent être attribués que via la Google Cloud CLI.
Rôles permettant d'afficher les métadonnées des éléments lorsque vous consultez la lignée
Lorsque les métadonnées d'un composant sont stockées dans Dataplex Catalog, vous ne pouvez les afficher que si vous disposez d'un rôle de lecteur sur la ressource système correspondante ou du rôle Lecteur du catalogue Dataplex (roles/dataplex.catalogViewer) sur le projet dans lequel l'entrée du catalogue Dataplex est stockée. Vous pouvez avoir accès aux composants du graphique ou de la liste de la lignée via les rôles de lecteur appropriés, mais pas à la lignée entre eux. Cela se produit lorsque vous ne disposez pas du rôle Lecteur de la traçabilité des données (roles/datalineage.viewer) sur le projet dans lequel la traçabilité a été enregistrée. Dans ce cas, l'API Data Lineage et la console Google Cloud n'affichent pas la lignée et ne renvoient pas d'erreur, afin d'éviter de divulguer des informations sur l'existence de la lignée. Par conséquent, l'absence de filiation pour un composant ne signifie pas qu'il n'y a pas de filiation pour ce composant, mais que vous n'avez peut-être pas accès à cette filiation.
Rôle de producteur d'événements de traçabilité des données
Le rôle Éditeur de la traçabilité des données (roles/datalineage.editor) permet aux utilisateurs de modifier manuellement les informations de traçabilité à l'aide de l'API Data Lineage.
Dataplex définit les rôles IAM suivants qui sont destinés à être appliqués à toute ressource gérée par Dataplex.
Pour en savoir plus sur les autorisations associées à chaque rôle, consultez la section Rôles prédéfinis de ce document.
Rôle de données
Capacités
Justification
Propriétaire de données Dataplex (roles/dataplex.dataOwner)
Toutes les autorisations sur la ressource gérée. Et toutes les autorisations pour toutes les ressources enfants (quel que soit le type de ressource).
Les propriétaires de données peuvent mettre à jour les métadonnées des ressources, accorder des autorisations plus précises (par exemple, sur les tables enfants d'un ensemble de données BigQuery) et créer des ressources enfants, en plus de diverses autres autorisations. Il est le propriétaire complet de la ressource.
Lecteur de données Dataplex (roles/dataplex.dataReader)
Possibilité de lire les données de la ressource gérée et de ses enfants. et la possibilité de lire les métadonnées de la ressource gérée et de ses enfants.
Permet de lire les données et les métadonnées.
Rédacteur de données Dataplex (roles/dataplex.dataWriter)
Possibilité de créer, mettre à jour et supprimer des données (mais pas de métadonnées).
Active les principaux parcours utilisateur Dataplex.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/02/14 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/02/14 (UTC)."],[],[]]
