O Dataplex define vários papéis de gerenciamento de identidade e acesso (IAM). Cada papel predefinido contém um conjunto de permissões do IAM que permitem que os principais executem determinadas ações. É possível usar uma política do IAM para atribuir um ou mais papéis do IAM ao principal.
O gerenciamento de identidade e acesso (IAM, na sigla em inglês) também oferece a capacidade de criar papéis de IAM personalizados. Também é possível criar papéis de IAM personalizados e atribuir a eles uma ou mais permissões. Em seguida, é possível conceder o novo papel a seus principais. Use papéis personalizados para criar um modelo de controle de acesso que corresponda às suas necessidades, junto com os papéis predefinidos disponíveis.
Este documento se concentra nos papéis do IAM relevantes para o Dataplex.
Antes de começar
- Leia a documentação do IAM.
Papéis do Dataplex
Os papéis do Dataplex do Identity and Access Management (IAM) são um pacote de uma ou mais
permissões. Atribua papéis aos principais para permitir que eles executem ações nos
recursos do Dataplex no projeto. Por exemplo, o
papel de Leitor do Dataplex contém as permissões
dataplex.*.get e dataplex.*.list, que permitem que um
usuário acesse e liste serviços, recursos e
operações do Dataplex em um projeto.
Os papéis do Dataplex podem ser aplicados a qualquer recurso na hierarquia de serviços, incluindo projetos, lakes e zonas de dados.
Papéis básicos
É possível atribuir papéis básicos no nível do projeto usando os papéis do Projeto do IAM. Veja um resumo das permissões associadas aos papéis do Projeto do IAM:
| Papel do projeto | Permissões |
|---|---|
| Proprietário do projeto | Todas as permissões do Editor do projeto acrescidas das permissões para gerenciar o controle de acesso do projeto (get/set IamPolicy) e configurar o faturamento do projeto |
| Editor do projeto | Todas as permissões do Visualizador do projeto acrescidas de todas as permissões do projeto para ações que modificam o estado (criar, excluir, atualizar, usar, cancelar) |
| Visualizador do projeto | Todas as permissões do projeto para ações somente leitura que preservam o estado (get, lista) |
Papéis predefinidos
A tabela a seguir lista os papéis predefinidos (ou selecionados) do Dataplex e as permissões associadas a cada papel:
| ID do papel | Permissões |
|---|---|
| roles/dataplex.admin | dataplex.*.create dataplex.*.update dataplex.*.delete dataplex.*.get dataplex.*.getData dataplex.*.list dataplex.*.getIamPolicy dataplex.*.setIamPolicy |
| roles/dataplex.editor | dataplex.*.create dataplex.*.update dataplex.*.delete |
| roles/dataplex.viewer | dataplex.*.get dataplex.*.list |
Observações:
- "*" significa tipos de recursos, como "lagos" ou "zonas". Algumas permissões não estão definidas em determinados tipos de recursos.
- O papel
dataplex.adminconcede acesso total a todos os recursos do Dataplex, incluindo a administração de políticas do IAM. - O papel
dataplex.editorconcede acesso de leitura e gravação a todos os recursos do Dataplex. - O papel
dataplex.viewerconcede acesso de leitura a todos os recursos do Dataplex. - Para recursos de verificação de dados, é necessária a permissão
dataplex.datascans.getDatapara ter a visualização completa do recurso. Essa permissão não está incluída emroles/dataplex.viewerouroles/dataplex.editor. Consulte Permissões e papéis de verificação de dados para mais detalhes.
Funções de dados
O Dataplex define os três papéis do IAM a seguir que devem ser aplicados a qualquer recurso gerenciado pelo Dataplex:
| Papel de dados | Recursos | Justificativa |
|---|---|---|
| roles/dataplex.dataOwner | Todas as permissões no recurso gerenciado. E todas as permissões em todos os recursos filhos, independentemente do tipo de recurso. | Os proprietários de dados podem atualizar metadados de recursos, conceder permissões de granularidade mais alta (por exemplo, em tabelas filhas de um conjunto de dados do BigQuery) e criar recursos filhos, além de várias outras permissões. Tem propriedade total do recurso. |
| roles/dataplex.dataReader | Capacidade de ler dados no recurso gerenciado e nos filhos dele. E capacidade de ler metadados do recurso gerenciado e dos filhos dele. | Permite ler dados e metadados. |
| roles/dataplex.dataWriter | Capacidade de criar/atualizar/excluir dados (não metadados). | Permite as principais jornadas do usuário do Dataplex. |
A seguir
- Saiba como criar papéis personalizados.
- Saiba como conceder e gerenciar papéis.
- Consulte o mapeamento de permissões do IAM do Dataplex.