Dataplex définit plusieurs rôles de gestion de l'authentification et des accès (IAM). Chaque rôle prédéfini contient un ensemble d'autorisations IAM qui permettent aux comptes principaux d'effectuer certaines actions. Vous pouvez utiliser une stratégie IAM pour attribuer un ou plusieurs rôles IAM à un compte principal.
Cloud Identity and Access Management (IAM) permet également de créer des rôles IAM personnalisés. Vous pouvez créer des rôles IAM personnalisés et leur attribuer une ou plusieurs autorisations. Ensuite, vous pouvez accorder le nouveau rôle à vos comptes principaux. Pour créer un modèle de contrôle des accès correspondant directement à vos besoins, utilisez des rôles personnalisés qui viendront s'ajouter aux rôles prédéfinis disponibles.
Ce document porte sur les rôles IAM pertinents pour Dataplex.
Avant de commencer
- Consultez la documentation IAM.
Rôles Dataplex
Les rôles Dataplex Identity and Access Management (IAM) regroupent une ou plusieurs autorisations. Vous attribuez des rôles aux comptes principaux pour leur permettre d'effectuer des actions sur les ressources Dataplex de votre projet. Par exemple, le rôle Lecteur Dataplex contient les autorisations dataplex.*.get
et dataplex.*.list
, qui permettent à un utilisateur d'obtenir et de répertorier les services, les ressources et les opérations Dataplex d'un projet.
Les rôles Dataplex peuvent être appliqués à toutes les ressources de la hiérarchie de services, y compris aux projets, aux lacs et aux zones de données.
Rôles de base
Vous pouvez attribuer des rôles de base au niveau du projet à l'aide des rôles IAM Projet. Voici un récapitulatif des autorisations associées à ces rôles :
Rôle de projet | Autorisations |
---|---|
Propriétaire du projet | Toutes les autorisations de l'éditeur de projet, ainsi que celles permettant de gérer le contrôle d'accès au projet (get / set IamPolicy) et de configurer la facturation du projet |
Éditeur de projet | Toutes les autorisations lecteur de projet, ainsi que toutes les autorisations de projet pour les actions qui modifient l'état (créer, supprimer, mettre à jour, utiliser) |
Lecteur de projets | Toutes les autorisations de projet pour les actions en lecture seule préservant l'état (get, list) |
Rôles prédéfinis
Le tableau suivant répertorie les rôles prédéfinis (ou sélectionnés) de Dataplex et les autorisations associées à chaque rôle:
ID de rôle | Autorisations |
---|---|
roles/dataplex.admin | dataplex.*.create dataplex.*.update dataplex.*.delete dataplex.*.get dataplex.*.getData dataplex.*.list dataplex.*.getiamPolicy dataplex.*.setIamPolicy |
roles/dataplex.editor | dataplex.*.create dataplex.*.update dataplex.*.delete |
roles/dataplex.viewer | dataplex.*.get dataplex.*.list |
Remarques :
- "*" signifie les types de ressources, tels que "lacs" ou "zones". Certaines autorisations ne sont pas définies pour certains types de ressources.
- Le rôle
dataplex.admin
accorde un accès complet à toutes les ressources Dataplex, y compris pour l'administration des stratégies IAM. - Le rôle
dataplex.editor
accorde un accès en lecture et en écriture à toutes les ressources Dataplex. - Le rôle
dataplex.viewer
accorde un accès en lecture à toutes les ressources Dataplex. - Pour les ressources d'analyse de données, l'autorisation
dataplex.datascans.getData
est requise afin d'obtenir la vue complète de la ressource. Cette autorisation n'est pas incluse dansroles/dataplex.viewer
niroles/dataplex.editor
. Pour en savoir plus, consultez Rôles et autorisations pour l'analyse de données.
Rôles associés aux données
Dataplex définit les trois rôles IAM suivants, destinés à être appliqués à toutes les ressources gérées par Dataplex:
Rôle de données | Capacités | Justification |
---|---|---|
roles/dataplex.dataOwner | Toutes les autorisations sur la ressource gérée. Toutes les autorisations sur toutes les ressources enfants (quel que soit leur type). | Les propriétaires de données peuvent mettre à jour les métadonnées des ressources, accorder des autorisations plus précises (par exemple, sur les tables enfants d'un ensemble de données BigQuery) et créer des ressources enfants, en plus de diverses autres autorisations. Ils sont entièrement propriétaires de la ressource. |
roles/dataplex.dataReader | Permet de lire les données de la ressource gérée et de ses enfants. Et possibilité de lire les métadonnées de la ressource gérée et de ses enfants. | Permet de lire des données et des métadonnées. |
roles/dataplex.dataWriter | Possibilité de créer, mettre à jour et supprimer des données (pas des métadonnées). | Permet les principaux parcours utilisateur dans Dataplex. |
Étapes suivantes
- Découvrez comment créer des rôles IAM personnalisés.
- Découvrez comment attribuer et gérer des rôles.
- Consultez la section Mappage des autorisations IAM Dataplex.