Dataplex definisce diversi ruoli di Identity and Access Management (IAM). Ogni ruolo predefinito contiene un insieme di autorizzazioni IAM che consentono ai principali di eseguire determinate azioni. Puoi utilizzare un criterio IAM per assegnare a un'entità uno o più ruoli IAM.
IAM offre anche la possibilità di creare ruoli personalizzati. Puoi creare ruoli IAM personalizzati e assegnare al ruolo una o più autorizzazioni. Dopodiché, puoi concedere il nuovo ruolo ai tuoi principali. Utilizza i ruoli personalizzati per creare un modello di controllo accessi che si mappa direttamente alle tue esigenze, insieme ai ruoli predefiniti disponibili.
Questo documento descrive i ruoli IAM pertinenti per Dataplex.
Per una descrizione dettagliata di IAM e delle sue funzionalità, consulta la documentazione di IAM.
Informazioni sui ruoli Dataplex
I ruoli IAM di Dataplex sono un insieme di una o più autorizzazioni. Assegni i ruoli alle entità per consentire loro di eseguire azioni sulle risorse Dataplex del tuo progetto. Ad esempio, il ruolo visualizzatore Dataplex contiene le autorizzazioni dataplex.*.get e dataplex.*.list, che consentono agli utenti di recuperare ed elencare le risorse Dataplex in un progetto. Per ulteriori informazioni, consulta
Autorizzazioni Dataplex.
Puoi applicare i ruoli Dataplex a qualsiasi risorsa nella gerarchia del servizio, inclusi progetti, lake e zone di dati.
Ruoli di base
Puoi assegnare ruoli di base a livello di progetto utilizzando i ruoli IAM Project. Di seguito è riportato l'elenco delle autorizzazioni associate ai ruoli del progetto IAM:
| Ruolo progetto | Autorizzazioni |
|---|---|
| Proprietario progetto | Tutte le autorizzazioni di Editor del progetto, oltre alle autorizzazioni per gestire il controllo dell'accesso per il progetto (get/set IamPolicy) e per configurare la fatturazione del progetto |
| Editor progetto | Tutte le autorizzazioni di Visualizzatore progetto, oltre a tutte le autorizzazioni del progetto per le azioni che modificano lo stato (creazione, eliminazione, aggiornamento, utilizzo) |
| Visualizzatore progetto | Tutte le autorizzazioni del progetto per azioni di sola lettura che preservano lo stato (get, list) |
Ruoli predefiniti per Dataplex
I ruoli predefiniti contengono le autorizzazioni necessarie per eseguire un'attività o un gruppo di attività correlate.
Tieni presente quanto segue:
- I ruoli Dataplex Administrator, Dataplex Editor e Dataplex Viewer non forniscono accesso alle risorse di Dataplex Catalog.
- Nessun ruolo concede autorizzazioni per aggiungere o eliminare voci di Dataplex Catalog da gruppi di voci definiti dal sistema, ad esempio
@bigquerye@dataplex. - Il ruolo Dataplex Entry Owner include quanto segue:
- Concede l'accesso completo alle operazioni relative alle voci.
- Concede le autorizzazioni per aggiungere aspetti di alcuni dei tipi di aspetti di sistema, come
Schema,Generic,OvervieweContacts. - Concede le autorizzazioni per creare voci di tipo
GenericEntry. - Questo ruolo ti consente di creare una voce con un tipo di voce e un tipo di aspetto, dove il tipo di voce e il tipo di aspetto sono definiti nello stesso progetto della voce. In caso contrario, devono essere concessi altri ruoli Dataplex Entry Type User e Dataplex Aspect Type User nei progetti in cui sono definiti il tipo di voce e il tipo di aspetto.
- Quando utilizzi il metodo
LookupEntryo il metodoSearchEntries, questo ruolo non concede le autorizzazioni per leggere le voci create da Google Cloud risorse esterne a Dataplex, come le voci BigQuery. Per leggere queste voci, devi disporre delle autorizzazioni per le risorse del sistema di origine. In alternativa, puoi leggere le voci solo con il ruolo Proprietario voce Dataplex utilizzando il metodoGetEntry.
- Per cercare le voci utilizzando il metodo
SearchEntries, devi disporre di almeno uno dei ruoli IAM di Dataplex Catalog per il progetto utilizzato nella richiesta dell'API. Le autorizzazioni per i risultati di ricerca vengono controllate indipendentemente dal progetto selezionato.
La tabella seguente elenca i ruoli predefiniti di Dataplex e le autorizzazioni associate a ciascun ruolo:
| Role | Permissions |
|---|---|
Dataplex Administrator( Full access to Dataplex resources, except Dataplex Catalog. |
|
Dataplex Aspect Type Owner( Grants access to creating and managing Aspect Types. Does not give the right to create/modify Entries. |
|
Dataplex Aspect Type User( Grants access to use Aspect Types to create/modify Entries with the corresponding aspects. |
|
Dataplex Binding Administrator( Full access on DataAttribute Bindig resources. |
|
Dataplex Catalog Admin( Has full access to Catalog resources: Entry Groups, Entry Types, Aspect Types and Entries. |
|
Dataplex Catalog Editor( Has write access to Catalog resources: Entry Groups, Entry Types, Aspect Types and Entries. Cannot set IAM policies on resources |
|
Dataplex Catalog Viewer( Has read access to Catalog resources: Entry Groups, Entry Types, Aspect Types and Entries. Can view IAM policies on Catalog resources. |
|
Dataplex Data Owner( Owner access to data. To be granted to Dataplex resources Lake, Zone or Asset only. |
|
Dataplex Data Reader( Read only access to data. To be granted to Dataplex resources Lake, Zone or Asset only. |
|
Dataplex DataScan Administrator( Full access to DataScan resources. |
|
Dataplex DataScan Creator( Access to create new DataScan resources. |
|
Dataplex DataScan DataViewer( Read access to DataScan resources and additional contents. |
|
Dataplex DataScan Editor( Write access to DataScan resources. |
|
Dataplex DataScan Viewer( Read access to DataScan resources. |
|
Dataplex Data Writer( Write access to data. To be granted to Dataplex resources Lake, Zone or Asset only. |
|
Dataplex Developer( Allows running data analytics workloads in a lake. |
|
Dataplex Editor( Write access to Dataplex resources. |
|
Dataplex Encryption Admin( Gives user permissions to manage encryption config. |
|
Dataplex Entry Group Exporter Beta( Grants access to export this entry group for Metadata Job processing. |
|
Dataplex Entry Group Importer( Grants access to import this entry group for Metadata Job processing. |
|
Dataplex Entry Group Owner( Owns Entry Groups and Entries inside of them. |
|
Dataplex Entry Owner( Owns Metadata Entries. |
|
Dataplex Entry Type Owner( Grants access to creating and managing Entry Types. Does not give the right to create/modify Entries. |
|
Dataplex Entry Type User( Grants access to use Entry Types to create/modify Entries of those types. |
|
Dataplex Metadata Job Owner( Grants access to creating and managing Metadata Jobs. Does not give the right to create/modify Entry Groups. |
|
Dataplex Metadata Job Viewer( Read access to Metadata Job resources. |
|
Dataplex Metadata Reader( Read only access to metadata. |
|
Dataplex Metadata Writer( Write and Read access to metadata. |
|
Dataplex Security Administrator( Permissions configure ResourceAccess and DataAccess Specs on Data Attributes. |
|
Dataplex Storage Data Owner( Owner access to data. Should not be used directly. This role is granted by Dataplex to managed resources like Cloud Storage buckets, BigQuery datasets etc. |
|
Dataplex Storage Data Reader( Read only access to data. Should not be used directly. This role is granted by Dataplex to managed resources like Cloud Storage buckets, BigQuery datasets etc. |
|
Dataplex Storage Data Writer( Write access to data. Should not be used directly. This role is granted by Dataplex to managed resources like Cloud Storage buckets, BigQuery datasets etc. |
|
Dataplex Taxonomy Administrator( Full access to DataTaxonomy, DataAttribute resources. |
|
Dataplex Taxonomy Viewer( Read access on DataTaxonomy, DataAttribute resources. |
|
Dataplex Viewer( Read access to Dataplex resources. |
|
Ruoli predefiniti per la definizione della struttura dei dati
Per accedere alla cronologia di qualsiasi voce di Dataplex Catalog, devi avere accesso alla voce in Dataplex. Per accedere alla voce di Dataplex Catalog, devi disporre di un ruolo di visualizzatore per la corrispondente risorsa di sistema o del ruolo Dataplex Catalog Viewer (roles/dataplex.catalogViewer) per il progetto che memorizza la voce di Dataplex Catalog. Questa sezione descrive i ruoli necessari per visualizzare la sequenza.
Ruolo di visualizzatore della cronologia
Il ruolo Data Lineage Viewer (roles/datalineage.viewer) ti consente di visualizzare la struttura di Dataplex nella console Google Cloud e di leggere le informazioni sulla struttura utilizzando l'API Data Lineage. Le esecuzioni e gli eventi di un determinato processo sono tutti archiviati nello stesso progetto del processo. Nel caso della genealogia automatica,
la procedura, le esecuzioni e gli eventi
vengono archiviati nel progetto in cui è stato eseguito il job che ha generato la genealogia. Ad esempio, il progetto in cui è stato eseguito un job BigQuery.
Per visualizzare la sequenza tra gli asset e i metadati
delle risorse, sono necessari ruoli diversi. Per il primo, devi disporre del
ruolo Visualizzatore della cronologia dei dati (roles/datalineage.viewer).
Per il secondo, devi disporre degli stessi ruoli utilizzati per accedere alle voci dei metadati
in Dataplex.
Ruoli per visualizzare la linea di trasmissione tra due asset
Per visualizzare la sequenza tra gli asset, devi disporre del
ruolo Data Lineage Viewer (roles/datalineage.viewer)
nei seguenti progetti:
- Il progetto in cui stai visualizzando la sequenza (noto come progetto attivo), ovvero il progetto nel menu a discesa nella parte superiore della console Google Cloud o il progetto da cui vengono effettuate le chiamate API. In genere si tratta del progetto che contiene le risorse che creerai in Dataplex Catalog o a cui accederai in altri Google Cloud sistemi con l'API.
- I progetti in cui viene registrato il lignaggio (noti come progetti di calcolo). La cronologia viene archiviata nel progetto in cui è stato eseguito il processo corrispondente, come descritto in precedenza. Questo progetto può essere diverso da quello che memorizza la risorsa di cui stai visualizzando la cronologia.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso. Potresti anche riuscire a ottenere le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.
A seconda del caso d'uso, concedi il ruolo Visualizzatore della cronologia dei dati (roles/datalineage.viewer)
a livello di cartella o organizzazione per garantire l'accesso alla cronologia (vedi Concedere o revocare un singolo ruolo).
I ruoli richiesti per la definizione della struttura dei dati possono essere concessi solo tramite
la CLI Google Cloud.
Ruoli per visualizzare i metadati delle risorse durante la visualizzazione della cronologia
Quando i metadati di una risorsa sono archiviati in Dataplex Catalog, puoi visualizzarli solo se disponi del ruolo Visualizzatore per la corrispondente risorsa di sistema o del ruolo Visualizzatore di Dataplex Catalog (roles/dataplex.catalogViewer) nel progetto in cui è archiviata la voce di Dataplex Catalog. Potresti avere accesso agli asset nell'elenco o nel grafico della struttura gerarchica tramite i ruoli di visualizzatore appropriati, ma non avere accesso alla struttura gerarchica tra di loro. Questo accade quando non disponi del ruolo Visualizzatore della cronologia dei dati (roles/datalineage.viewer) nel progetto in cui è stata registrata la cronologia. In questo caso, l'API Data Lineage e la console Google Cloud non mostrano la cronologia e non restituiscono un errore, per evitare la fuga di informazioni sull'esistenza della cronologia. Pertanto, l'assenza di una derivazione per una risorsa non significa che non esista, ma che potresti non avere accesso a questa derivazione.
Ruolo Data Lineage Events Producer
Il ruolo Data Lineage Events Producer
(roles/datalineage.producer) consente agli utenti di registrare manualmente le informazioni sulla lineage utilizzando l'API Data Lineage.
Ruolo Data Lineage Editor
Il ruolo Data Lineage Editor
(roles/datalineage.editor) consente agli utenti di modificare manualmente le informazioni sulla lineage
utilizzando l'API Data Lineage.
Ruolo Data Lineage Administrator
Il ruolo Data Lineage Administrator (roles/datalineage.admin) consente agli utenti di eseguire tutte le operazioni di organizzazione elencate in questa sezione.
Ruoli di dati
Dataplex definisce i seguenti ruoli IAM che devono essere applicati a qualsiasi risorsa gestita da Dataplex. Per ulteriori informazioni sulle autorizzazioni associate a ciascun ruolo, consulta la sezione Ruoli predefiniti di questo documento.
| Ruolo dati | Funzionalità | Motivazione |
|---|---|---|
Dataplex Data Owner (roles/dataplex.dataOwner) |
Tutte le autorizzazioni per la risorsa gestita. E tutte le autorizzazioni per tutte le risorse secondarie (indipendentemente dal tipo di risorsa). | I proprietari dei dati possono aggiornare i metadati delle risorse, concedere autorizzazioni con maggiore granularità (ad esempio sulle tabelle secondarie di un set di dati BigQuery) e creare risorse secondarie, oltre a varie altre autorizzazioni. Hanno la proprietà completa della risorsa. |
Dataplex Data Reader (roles/dataplex.dataReader) |
Possibilità di leggere i dati nella risorsa gestita e nelle relative risorse figlio. E la possibilità di leggere i metadati della risorsa gestita e delle relative risorse figlio. | Consente di leggere dati e metadati. |
Dataplex Data Writer (roles/dataplex.dataWriter) |
Possibilità di creare/aggiornare/eliminare i dati (non i metadati). | Consente i percorsi utente di Dataplex di base. |
Passaggi successivi
- Scopri come creare ruoli IAM personalizzati.
- Scopri come concedere e gestire i ruoli.
- Consulta la mappatura delle autorizzazioni IAM di Dataplex.