En este documento, se describe cómo proteger y administrar el acceso a los lagos de Dataplex.
El modelo de seguridad de Dataplex te permite administrar los permisos de los usuarios para las siguientes tareas:
- Administrar un lake (crear y conectar recursos, zonas y lakes adicionales)
- Acceder a los datos conectados a un lago a través del recurso de asignación (por ejemplo, recursosGoogle Cloud , como buckets de Cloud Storage y conjuntos de datos de BigQuery)
- Cómo acceder a los metadatos sobre los datos conectados a un lago
Un administrador de un lake controla el acceso a los recursos de Dataplex, como el lake, la zona y los recursos, otorgando los roles básicos y predefinidos.
Funciones básicas
| Rol | Descripción |
|---|---|
| Visualizador de Dataplex ( roles/dataplex.viewer) |
Capacidad para ver (pero no editar) el lake y sus zonas y recursos configurados |
| Editor de Dataplex ( roles/dataplex.editor) |
Posibilidad de editar el lago Puede crear y configurar lakes, zonas, recursos y tareas. |
| Administrador de Dataplex ( roles/dataplex.administrator) |
Capacidad para administrar un lake por completo |
| Desarrollador de Dataplex ( roles/dataplex.developer) |
Capacidad para ejecutar cargas de trabajo de análisis de datos en un lake * |
Para ejecutar un trabajo de Spark, crea clústeres de Dataproc y envía trabajos de Dataproc en el proyecto al que deseas que se atribuya el procesamiento.
Funciones predefinidas
Google Cloud administra los roles predefinidos que proporcionan acceso detallado a Dataplex.
Roles de metadatos
Los roles de metadatos pueden ver metadatos, como los esquemas de tablas.
| Rol | Descripción |
|---|---|
| Escritor de metadatos de Dataplex ( roles/dataplex.metadataWriter) |
Capacidad para actualizar los metadatos de un recurso determinado. |
| Lector de metadatos de Dataplex ( roles/dataplex.metadataReader) |
Capacidad para leer los metadatos (por ejemplo, para consultar una tabla) |
Roles de datos
Otorgar roles de datos a un miembro le permite leer o escribir datos en los recursos subyacentes a los que apuntan los activos del lago.
Dataplex asigna sus roles a los roles de datos de cada recurso de almacenamiento subyacente, como Cloud Storage y BigQuery.
Dataplex traduce y propaga los roles de datos de Dataplex al recurso de almacenamiento subyacente y establece los roles correctos para cada recurso de almacenamiento. Puedes otorgar un solo rol de datos de Dataplex en la jerarquía del lake (por ejemplo, un lake), y Dataplex mantiene el acceso especificado a los datos en todos los recursos conectados a ese lake (por ejemplo, los buckets de Cloud Storage y los conjuntos de datos de BigQuery a los que se hace referencia en las zonas subyacentes).
Por ejemplo, otorgar a una principal el rol dataplex.dataWriter para un lake le otorga acceso de escritura a todos los datos del lake, sus zonas y recursos subyacentes. Los roles de acceso a los datos otorgados en un nivel inferior (zona) se heredan en la jerarquía del lago a los recursos subyacentes.
| Rol | Descripción |
|---|---|
| Lector de datos de Dataplex ( roles/dataplex.dataReader) |
Capacidad para leer datos del almacenamiento conectado a los recursos, incluidos los buckets de almacenamiento y los conjuntos de datos de BigQuery (y su contenido) * |
| Escritor de datos de Dataplex ( roles/dataplex.dataWriter) |
Capacidad de escribir en los recursos subyacentes a los que apunta el recurso * |
| Propietario de datos de Dataplex ( roles/dataplex.dataOwner) |
Otorga el rol de propietario a los recursos subyacentes, incluida la capacidad de administrar recursos secundarios. Por ejemplo, como propietario de datos de un conjunto de datos de BigQuery, puedes administrar las tablas subyacentes. |
Protege tu lake
Puedes proteger y administrar el acceso a tu lago y los datos adjuntos a él. En la consola de Google Cloud, usa una de las siguientes vistas:
- Vista Administrar de Dataplex en la pestaña Permisos
- Vista de Dataplex Secure
Usa la vista Administrar
La pestaña Permisos te permite administrar todos los permisos de un recurso de lago y presenta una vista sin filtrar de todos los permisos, incluidos los heredados.
Para proteger tu lago, sigue estos pasos:
En la consola de Google Cloud, ve a Dataplex.
Navega a la vista Administrar.
Haz clic en el nombre del lago que creaste.
Haz clic en la pestaña Permisos.
Haz clic en la pestaña Ver por roles.
Haz clic en Agregar para agregar un rol nuevo. Agrega los roles de Lector de datos de Dataplex, Escritor de datos y Propietario de datos.
Verifica que aparezcan los roles de Lector de datos de Dataplex, Escritor de datos y Propietario de datos.
Usa la vista Seguro
La vista Seguro de Dataplex en la consola de Google Cloud proporciona lo siguiente:
- Una vista filtrable de solo los roles de Dataplex que se centran en un recurso específico
- Separa los roles de datos de los roles de recursos del lago
- Una cuenta de servicio que hereda el rol de administrador de Dataplex del proyecto
- Principales (dirección de correo electrónico) que heredan los roles de editor y visualizador de Dataplex del proyecto Estos son los roles que se aplican a todos los recursos.
- Una principal (dirección de correo electrónico) que hereda el rol de administrador de Dataplex del proyecto.
Administración de políticas
Después de especificar tu política de seguridad, Dataplex propaga los permisos a las políticas de IAM de los recursos administrados.
La política de seguridad configurada a nivel del lake se propaga a todos los recursos que se administran en ese lake. Dataplex proporciona el estado de propagación y la visibilidad de estas propagaciones a gran escala en la pestaña Administrar > permisos de Dataplex. Supervisa de forma continua los recursos administrados en busca de cambios en la política de IAM fuera de Dataplex.
Los usuarios que ya tienen permisos en un recurso los seguirán teniendo después de que un recurso se adjunte a un lago de Dataplex. De manera similar, las vinculaciones de roles que no son de Dataplex que se crean o actualizan después de conectar el recurso a Dataplex permanecen iguales.
Establece políticas a nivel de la columna, la fila y la tabla
Los activos de los buckets de Cloud Storage tienen asociadas tablas externas de BigQuery.
Puedes actualizar un activo de bucket de Cloud Storage, lo que significa que Dataplex quita las tablas externas adjuntas y, en su lugar, adjunta tablas de BigLake.
Puedes usar tablas de BigLake en lugar de tablas externas para obtener un control de acceso detallado, incluidos los controles a nivel de fila, los controles a nivel de columna y el enmascaramiento de datos de columna.
Seguridad de los metadatos
Los metadatos se refieren principalmente a la información del esquema asociada con los datos del usuario presentes en los recursos que administra un lago.
Dataplex Discovery examina los datos en los recursos administrados y extrae información del esquema tabular. Estas tablas se publican en los sistemas de BigQuery, Dataproc Metastore y Data Catalog.
BigQuery
Cada tabla descubierta tiene una tabla asociada registrada en BigQuery. Para cada zona, hay un conjunto de datos de BigQuery asociado en el que se registran todas las tablas externas asociadas con las tablas descubiertas en esa zona de datos.
Las tablas descubiertas alojadas en Cloud Storage se registran en el conjunto de datos creado para la zona.
Dataproc Metastore
Las bases de datos y las tablas están disponibles en Dataproc Metastore asociado con la instancia del lago de Dataplex. Cada zona de datos tiene una base de datos asociada, y cada activo puede tener una o más tablas asociadas.
Los datos de un servicio de Dataproc Metastore se protegen configurando tu red de VPC-SC. La instancia de Dataproc Metastore se proporciona a Dataplex durante la creación del lago, lo que ya lo convierte en un recurso administrado por el usuario.
Data Catalog
Cada tabla descubierta tiene una entrada asociada en Data Catalog para habilitar la búsqueda y el descubrimiento.
Data Catalog requiere nombres de políticas de IAM durante la creación de entradas. Por lo tanto, Dataplex proporciona el nombre de la política de IAM del recurso de activo de Dataplex con el que se debe asociar la entrada. Como resultado, los permisos de la entrada de Dataplex se basan en los permisos del recurso del activo.
Otorga el rol de lector de metadatos de Dataplex (roles/dataplex.metadataReader) y el rol de escritor de metadatos de Dataplex (roles/dataplex.metadataWriter) en el recurso de activo.
Próximos pasos
- Obtén más información sobre la IAM de Dataplex.
- Obtén más información sobre los roles de IAM de Dataplex.
- Obtén más información sobre los permisos de IAM de Dataplex.