Dataplex definisce diversi ruoli IAM (Identity and Access Management). Ogni ruolo predefinito contiene un insieme di autorizzazioni IAM che consentono alle entità di eseguire determinate azioni. Puoi utilizzare un criterio IAM per assegnare a un'entità uno o più ruoli IAM.
Identity and Access Management (IAM) offre anche la possibilità di creare ruoli IAM personalizzati. Puoi creare ruoli IAM personalizzati e assegnare al ruolo una o più autorizzazioni. Poi, potrai concedere il nuovo ruolo alle entità. Utilizza i ruoli personalizzati per creare un modello di controllo dell'accesso che si mappa direttamente in base alle tue esigenze, insieme ai ruoli predefiniti disponibili.
Questo documento è incentrato sui ruoli IAM pertinenti a Dataplex.
Prima di iniziare
- Leggi la documentazione di IAM.
Ruoli Dataplex
I ruoli Dataplex di Identity and Access Management (IAM) sono un pacchetto di una o più autorizzazioni. Concedi i ruoli alle entità per consentire loro di eseguire azioni sulle risorse Dataplex nel progetto. Ad esempio, il ruolo Visualizzatore Dataplex contiene le autorizzazioni dataplex.*.get e dataplex.*.list, che consentono a un utente di ottenere ed elencare i servizi, le risorse e le operazioni Dataplex in un progetto.
I ruoli Dataplex possono essere applicati a qualsiasi risorsa nella gerarchia dei servizi, inclusi progetti, data lake e zone dati.
Ruoli di base
Puoi assegnare ruoli di base a livello di progetto utilizzando i ruoli IAM Progetto. Ecco un riepilogo delle autorizzazioni associate ai ruoli del progetto IAM:
| Ruolo progetto | Autorizzazioni |
|---|---|
| Proprietario progetto | Tutte le autorizzazioni dell'Editor di progetto più quelle per gestire il controllo dell'accesso per il progetto (get/set IamPolicy) e per configurare la fatturazione del progetto |
| Editor progetto | Tutte le autorizzazioni di Visualizzatore progetto più tutte le autorizzazioni di progetto per azioni che modificano lo stato (creazione, eliminazione, aggiornamento, utilizzo) |
| Visualizzatore progetto | Tutte le autorizzazioni del progetto per le azioni di sola lettura che mantengono lo stato (get, list) |
Ruoli predefiniti
La seguente tabella elenca i ruoli Dataplex predefiniti (o selezionati) e le autorizzazioni associate a ciascun ruolo:
| ID ruolo | Autorizzazioni |
|---|---|
| roles/dataplex.admin | dataplex.*.create dataplex.*.update dataplex.*.delete dataplex.*.get dataplex.*.getData dataplex.*.list dataplex.*.getIamPolicy dataplex.*.setIamPolicy |
| roles/dataplex.editor | dataplex.*.create dataplex.*.update dataplex.*.delete |
| roles/dataplex.viewer | dataplex.*.get dataplex.*.list |
Note:
- "*" indica i tipi di risorse, ad esempio "laghi" o "zone". Alcune autorizzazioni non sono definite su determinati tipi di risorse.
- Il ruolo
dataplex.adminconcede l'accesso completo a tutte le risorse Dataplex, inclusa l'amministrazione dei criteri IAM. - Il ruolo
dataplex.editorconcede l'accesso in lettura e scrittura a tutte le risorse Dataplex. - Il ruolo
dataplex.viewerconcede l'accesso in lettura a tutte le risorse Dataplex. - Per le risorse di scansione dei dati, è necessaria l'autorizzazione
dataplex.datascans.getDataper ottenere la visualizzazione completa della risorsa. Questa autorizzazione non è inclusa inroles/dataplex.vieweroroles/dataplex.editor. Per ulteriori dettagli, vedi Autorizzazioni e ruoli dell'analisi dei dati.
Ruoli dati
Dataplex definisce i seguenti tre ruoli IAM da applicare a qualsiasi risorsa gestita da Dataplex:
| Ruolo dati | Funzionalità | Motivazione |
|---|---|---|
| roles/dataplex.dataOwner | Tutte le autorizzazioni per la risorsa gestita. Tutte le autorizzazioni per tutte le risorse figlio, indipendentemente dal tipo di risorsa. | I proprietari dei dati possono aggiornare i metadati delle risorse, concedere autorizzazioni con granularità superiore (ad esempio nelle tabelle figlio di un set di dati BigQuery) e creare risorse figlio, oltre ad altre autorizzazioni. Hanno la proprietà completa della risorsa. |
| roles/dataplex.dataReader | Può leggere i dati nella risorsa gestita e nelle relative risorse figlio. Possibilità di leggere i metadati della risorsa gestita e dei relativi figli. | Consente la lettura di dati e metadati. |
| roles/dataplex.dataWriter | Possibilità di creare/aggiornare/eliminare dati (non metadati). | Abilita i percorsi utente principali di Dataplex. |
Passaggi successivi
- Scopri come creare ruoli IAM personalizzati.
- Scopri come concedere e gestire i ruoli.
- Consulta la pagina relativa alla mappatura delle autorizzazioni IAM di Dataplex.