Rôles IAM de Dataplex

Dataplex définit plusieurs rôles de gestion de l'authentification et des accès (IAM). Chaque rôle prédéfini contient un ensemble d'autorisations IAM qui permettent aux comptes principaux d'effectuer certaines actions. Vous pouvez utiliser une stratégie IAM pour attribuer un ou plusieurs rôles IAM à un compte principal.

Cloud Identity and Access Management (IAM) permet également de créer des rôles IAM personnalisés. Vous pouvez créer des rôles IAM personnalisés et leur attribuer une ou plusieurs autorisations. Ensuite, vous pouvez accorder le nouveau rôle à vos comptes principaux. Pour créer un modèle de contrôle des accès correspondant directement à vos besoins, utilisez des rôles personnalisés qui viendront s'ajouter aux rôles prédéfinis disponibles.

Ce document porte sur les rôles IAM pertinents pour Dataplex.

Avant de commencer

  • Consultez la documentation IAM.

Rôles Dataplex

Les rôles Dataplex Identity and Access Management (IAM) regroupent une ou plusieurs autorisations. Vous attribuez des rôles aux comptes principaux pour leur permettre d'effectuer des actions sur les ressources Dataplex de votre projet. Par exemple, le rôle Lecteur Dataplex contient les autorisations dataplex.*.get et dataplex.*.list, qui permettent à un utilisateur d'obtenir et de répertorier les services, les ressources et les opérations Dataplex d'un projet.

Les rôles Dataplex peuvent être appliqués à toutes les ressources de la hiérarchie de services, y compris aux projets, aux lacs et aux zones de données.

Rôles de base

Vous pouvez attribuer des rôles de base au niveau du projet à l'aide des rôles IAM Projet. Voici un récapitulatif des autorisations associées à ces rôles :

Rôle de projet Autorisations
Propriétaire du projet Toutes les autorisations de l'éditeur de projet, ainsi que celles permettant de gérer le contrôle d'accès au projet (get / set IamPolicy) et de configurer la facturation du projet
Éditeur de projet Toutes les autorisations lecteur de projet, ainsi que toutes les autorisations de projet pour les actions qui modifient l'état (créer, supprimer, mettre à jour, utiliser)
Lecteur de projets Toutes les autorisations de projet pour les actions en lecture seule préservant l'état (get, list)

Rôles prédéfinis

Le tableau suivant répertorie les rôles prédéfinis (ou sélectionnés) de Dataplex et les autorisations associées à chaque rôle:

ID de rôle Autorisations
roles/dataplex.admin dataplex.*.create
dataplex.*.update
dataplex.*.delete
dataplex.*.get
dataplex.*.getData
dataplex.*.list
dataplex.*.getiamPolicy
dataplex.*.setIamPolicy
roles/dataplex.editor dataplex.*.create
dataplex.*.update
dataplex.*.delete
roles/dataplex.viewer dataplex.*.get
dataplex.*.list

Remarques :

  • "*" signifie les types de ressources, tels que "lacs" ou "zones". Certaines autorisations ne sont pas définies pour certains types de ressources.
  • Le rôle dataplex.admin accorde un accès complet à toutes les ressources Dataplex, y compris pour l'administration des stratégies IAM.
  • Le rôle dataplex.editor accorde un accès en lecture et en écriture à toutes les ressources Dataplex.
  • Le rôle dataplex.viewer accorde un accès en lecture à toutes les ressources Dataplex.
  • Pour les ressources d'analyse de données, l'autorisation dataplex.datascans.getData est requise afin d'obtenir la vue complète de la ressource. Cette autorisation n'est pas incluse dans roles/dataplex.viewer ni roles/dataplex.editor. Pour en savoir plus, consultez Rôles et autorisations pour l'analyse de données.

Rôles associés aux données

Dataplex définit les trois rôles IAM suivants, destinés à être appliqués à toutes les ressources gérées par Dataplex:

Rôle de données Capacités Justification
roles/dataplex.dataOwner Toutes les autorisations sur la ressource gérée. Toutes les autorisations sur toutes les ressources enfants (quel que soit leur type). Les propriétaires de données peuvent mettre à jour les métadonnées des ressources, accorder des autorisations plus précises (par exemple, sur les tables enfants d'un ensemble de données BigQuery) et créer des ressources enfants, en plus de diverses autres autorisations. Ils sont entièrement propriétaires de la ressource.
roles/dataplex.dataReader Permet de lire les données de la ressource gérée et de ses enfants. Et possibilité de lire les métadonnées de la ressource gérée et de ses enfants. Permet de lire des données et des métadonnées.
roles/dataplex.dataWriter Possibilité de créer, mettre à jour et supprimer des données (pas des métadonnées). Permet les principaux parcours utilisateur dans Dataplex.

Étapes suivantes