Lakes schützen

Mit dem Sicherheitsmodell von Dataplex können Sie festlegen, wer Zugriff auf folgende Aufgaben hat:

  • Lakes verwalten (Assets, Zonen und zusätzliche Lakes erstellen und anhängen)
  • Zugriff auf Daten, die mit einem Lake über das Zuordnungs-Asset verbunden sind (Google Cloud-Ressourcen wie Cloud Storage-Buckets und BigQuery-Datasets)
  • Zugriff auf Metadaten zu den Daten, die mit einem Lake verbunden sind

Ein Administrator für einen Lake steuert den Zugriff auf Dataplex-Ressourcen (See, Zone und Assets) mit den folgenden einfachen und vordefinierten Rollen.

Einfache Rollen

Rolle Beschreibung
Dataplex-Betrachter
(roles/dataplex.viewer)		 Kann den Lake und die konfigurierten Zonen und Assets ansehen (aber nicht bearbeiten)
Dataplex-Bearbeiter
(roles/dataplex.editor)		 Kann den Lake bearbeiten. Kann Lakes, Zonen, Assets und Aufgaben erstellen und konfigurieren.
Dataplex-Administrator
(roles/dataplex.administrator)		 Kann vollständige Lakes verwalten.
Dataplex-Entwickler
(roles/dataplex.developer)		 Kann Arbeitslasten für Datenanalysen auf einem Lake ausführen. *
* Zum Abfragen einer BigQuery-Tabelle benötigen Sie die Berechtigung zum Ausführen eines BigQuery-Jobs. Legen Sie diese Berechtigung in dem Projekt fest, dem die Rechenausgaben des Jobs zugeordnet oder in Rechnung gestellt werden sollen. Weitere Informationen finden Sie unter Vordefinierte Rollen und Berechtigungen für BigQuery.
Erstellen Sie zum Ausführen eines Spark-Jobs Dataproc-Cluster und senden Sie Dataproc-Jobs in dem Projekt, dem die Compute Engine zugewiesen werden soll.

Vordefinierte Rollen

Google Cloud verwaltet die folgenden Rollen, die einen detaillierten Zugriff auf Dataplex ermöglichen.

Metadatenrollen

Mit Metadatenrollen können Metadaten wie Tabellenschemas angezeigt werden.

Rolle Beschreibung
Dataplex-Metadaten-Autor
(roles/dataplex.metadataWriter)		 Kann die Metadaten einer bestimmten Ressource aktualisieren.
Dataplex-Metadaten-Leser
(roles/dataplex.metadataReader)		 Die Möglichkeit, die Metadaten zu lesen (z. B. um eine Tabelle abzufragen).

Datenrollen

Wenn Sie einem Hauptkonto Datenrollen zuweisen, können sie Daten in den zugrunde liegenden Ressourcen lesen oder schreiben, auf die die Assets des Lake verweisen.

Dataplex ordnet seine Rollen den Datenrollen für jede zugrunde liegende Speicherressource (Cloud Storage, BigQuery) zu.

Dataplex übersetzt und überträgt Dataplex-Datenrollen an die zugrunde liegende Speicherressource. Dabei werden für jede Speicherressource die richtigen Rollen festgelegt. Der Vorteil besteht darin, dass Sie eine einzelne Dataplex-Datenrolle in der Lake-Hierarchie (z. B. einen Lake) gewähren können. Dataplex behält den angegebenen Zugriff auf Daten in allen Ressourcen, die mit diesem Lake verbunden sind (z. B. werden Cloud Storage-Buckets und BigQuery-Datasets durch Assets in den zugrunde liegenden Zonen referenziert).

Wenn Sie einem Hauptkonto beispielsweise die Rolle dataplex.dataWriter für einen Lake gewähren, erhält das Hauptkonto Schreibzugriff auf alle Daten innerhalb des Lakes, dessen zugrunde liegenden Zonen und Assets. Auf einer niedrigeren Ebene (Zone) gewährte Datenzugriffsrollen werden in der Lake-Hierarchie für die zugrunde liegenden Assets übernommen.

Rolle Beschreibung
Dataplex-Datenleser
(roles/dataplex.dataReader)		 Kann Daten aus dem Speicher lesen, der an Assets angehängt ist, einschließlich Storage-Buckets und BigQuery-Datasets (und ihre Inhalte). *
Dataplex-Datenautor
(roles/dataplex.dataWriter)		 Schreibfähigkeit in die zugrunde liegenden Ressourcen, auf die das Asset verweist. *
Dataplex-Dateninhaber
(roles/dataplex.dataOwner)		 Gewährt den zugrunde liegenden Ressourcen die Inhaberrolle, einschließlich der Möglichkeit, untergeordnete Ressourcen zu verwalten. Als Dateninhaber eines BigQuery-Datasets können Sie beispielsweise die zugrunde liegenden Tabellen verwalten.

Lakes schützen

Sie können den Zugriff auf Ihren Lake und die damit verknüpften Daten sichern und verwalten. Verwenden Sie in der Google Cloud Console eine der folgenden Ansichten:

  • Die Dataplex-Ansicht Verwalten unter dem Tab Berechtigungen oder
  • Die Dataplex-Ansicht Sicher

Ansicht Verwalten verwenden

Auf dem Tab Berechtigungen können Sie alle Berechtigungen für eine Lake-Ressource verwalten. Außerdem wird eine ungefilterte Ansicht aller Berechtigungen angezeigt, einschließlich der übernommenen.

So schützen Sie Ihren Lake:

  1. Rufen Sie in der Google Cloud Console Dataplex auf.

    Zu Dataplex

  2. Rufen Sie die Ansicht Verwalten auf.

  3. Klicken Sie auf den Namen des von Ihnen erstellten Lakes.

  4. Klicken Sie auf den Tab Berechtigungen.

  5. Klicken Sie auf den Tab Rollenansicht.

  6. Klicken Sie auf Hinzufügen, um eine neue Rolle hinzuzufügen. Fügen Sie die Rollen Dataplex-Datenleser, Datenautor und Dateninhaber hinzu.

  7. Prüfen Sie, ob die Rollen Dataplex-Datenleser, Datenautor und Dateninhaber angezeigt werden.

Ansicht Sicher

Die Dataplex-Ansicht Secure in der Google Cloud Console bietet folgende Optionen:

  • Eine einfache, filterbare Ansicht nur der Dataplex-Rollen, die auf eine bestimmte Ressource zentriert sind.
  • Trennen Sie Datenrollen von Lake-Ressourcenrollen.
Beispiel für Datenberechtigungen, die nicht von höheren Lake-Ressourcen übernommen werden
Abbildung 1: In diesem Beispiel haben ein Hauptkonto Datenberechtigungen für das Asset Cloud Storage-Daten. Diese Berechtigungen werden nicht von höheren Lake-Ressourcen übernommen.


Beispiel für Berechtigungen, die nicht von höheren Lake-Ressourcen übernommen werden
Abbildung 2: Beispiel:
  1. Ein Dienstkonto, das die Rolle „Dataplex-Administrator“ aus dem Projekt übernimmt.
  2. Hauptkonten (E-Mail-Adresse), die die Dataplex-Bearbeiter- und -Betrachterrollen vom Projekt übernehmen. Dies sind die Rollen, die für alle Ressourcen gelten.
  3. Ein Hauptkonto (E-Mail-Adresse), das die Rolle „Dataplex-Administrator“ aus dem Projekt übernimmt.

Richtlinienverwaltung

Nachdem Sie Ihre Sicherheitsrichtlinie angegeben haben, leitet Dataplex die Berechtigungen an die IAM-Richtlinien der verwalteten Ressourcen weiter.

Die auf Lakeebene konfigurierte Sicherheitsrichtlinie wird an alle in diesem Lake verwalteten Ressourcen weitergegeben. Dataplex liefert den Weitergabestatus und die Sichtbarkeit dieser umfangreichen Skalierungen auf dem Dataplex-Tab Verwalten > Berechtigungen. Es überwacht kontinuierlich die verwalteten Ressourcen auf Änderungen an IAM-Richtlinien außerhalb von Dataplex.

Nutzer, die bereits Berechtigungen für eine Ressource haben, haben sie weiterhin, nachdem eine Ressource an einen Dataplex-See angehängt wurde. Ebenso bleiben Rollenbindungen, die nicht zu Dataplex gehören, die nach dem Anhängen der Ressource an Dataplex erstellt oder aktualisiert werden, unverändert.

Richtlinien auf Spalten-, Zeilen- und Tabellenebene festlegen

Mit Cloud Storage-Bucket-Assets sind externe BigQuery-Tabellen verknüpft.

Sie können ein Cloud Storage-Bucket-Asset upgraden. Dies bedeutet, dass Dataplex die angehängten externen Tabellen entfernt und stattdessen BigLake-Tabellen anhängt.

Sie können BigLake-Tabellen anstelle von externen Tabellen verwenden, um Ihnen eine detaillierte Zugriffssteuerung zu bieten, einschließlich Steuerelementen auf Zeilenebene, Steuerelemente auf Spaltenebene und Maskendaten.

Sicherheit von Metadaten

Metadaten beziehen sich hauptsächlich auf Schemainformationen, die mit Nutzerdaten verknüpft sind, die in Ressourcen vorhanden sind, die von einem Lake verwaltet werden.

Dataplex Discovery prüft die Daten in verwalteten Ressourcen und extrahiert tabellarische Schemainformationen. Diese Tabellen werden in BigQuery, Dataproc Metastore und Data Catalog-Systemen veröffentlicht.

BigQuery

Jede erkannte Tabelle ist mit einer in BigQuery registrierten Tabelle verknüpft. Für jede Zone gibt es ein verknüpftes BigQuery-Dataset, in dem alle externen Tabellen verknüpft sind, die mit in dieser Datenzone ermittelten Tabellen verknüpft sind.

Die erkannten in Cloud Storage gehosteten Tabellen werden unter dem Dataset registriert, das für die Zone erstellt wurde.

Dataproc Metastore

Datenbanken und Tabellen werden im Dataproc-Metastore bereitgestellt, der mit der Dataplex-Lake-Instanz verknüpft ist. Jede Datenzone ist mit einer Datenbank verknüpft und jedem Asset können eine oder mehrere verknüpfte Tabellen zugewiesen sein.

Die Daten in einem Dataproc Metastore-Dienst werden durch Konfiguration des VPC-SC-Netzwerks gesichert. Die Dataproc Metastore-Instanz wird Dataplex beim Erstellen des Lakes zur Verfügung gestellt. Dadurch wird sie bereits zu einer nutzerverwalteten Ressource.

Data Catalog

Jede erkannte Tabelle ist mit einem Dateneintrag in Data Catalog verknüpft, um die Suche und Erkennung zu ermöglichen.

Da für Data Catalog beim Erstellen eines Eintrags IAM-Richtliniennamen erforderlich sind, stellt Dataplex den IAM-Richtliniennamen der Dataplex-Asset-Ressource bereit, mit der der Eintrag verknüpft werden soll. Die Berechtigungen für den Dataplex-Eintrag werden daher von den Berechtigungen für die Asset-Ressource gesteuert. Sie müssen die Rolle „Dataplex-Metadaten-Leser“ (roles/dataplex.metadataReader) und die Rolle „Dataplex-Metadatenautor“ (roles/dataplex.metadataWriter) für die Asset-Ressource gewähren.

Nächste Schritte