Sécuriser votre lac

Ce document explique comment sécuriser et gérer l'accès aux lacs Dataplex.

Le modèle de sécurité Dataplex vous permet de gérer les autorisations des utilisateurs pour les tâches suivantes:

  • Administrer un lac (créer et associer des éléments, des zones et des lacs supplémentaires)
  • Accès aux données associées à un lac via l'élément de cartographie (par exemple, les ressourcesGoogle Cloud , telles que les buckets Cloud Storage et les ensembles de données BigQuery)
  • Accéder aux métadonnées des données associées à un lac

Un administrateur d'un lac contrôle l'accès aux ressources Dataplex, telles que le lac, la zone et les éléments, en attribuant les rôles de base et prédéfinis.

Rôles de base

Rôle Description
Lecteur Dataplex
(roles/dataplex.viewer)		 Possibilité d'afficher (mais pas de modifier) le lac et ses zones et composants configurés.
Éditeur Dataplex
(roles/dataplex.editor)		 Possibilité de modifier le lac. Peut créer et configurer des lacs, des zones, des éléments et des tâches.
Administrateur Dataplex
(roles/dataplex.administrator)		 Possibilité d'administrer entièrement un lac.
Développeur Dataplex
(roles/dataplex.developer)		 Possibilité d'exécuter des charges de travail d'analyse de données sur un lac. *
* Pour interroger une table BigQuery, vous devez disposer de l'autorisation d'exécuter une tâche BigQuery. Définissez cette autorisation dans le projet auquel vous souhaitez attribuer ou facturer les dépenses de calcul de la tâche. Pour en savoir plus, consultez la page Rôles et autorisations BigQuery prédéfinis.
Pour exécuter une tâche Spark, créez des clusters Dataproc et envoyez des tâches Dataproc dans le projet auquel vous souhaitez attribuer le calcul.

Rôles prédéfinis

Google Cloud gère les rôles prédéfinis qui fournissent un accès précis pour Dataplex.

Rôles de métadonnées

Les rôles de métadonnées permettent de consulter des métadonnées, telles que les schémas de table.

Rôle Description
Rédacteur de métadonnées Dataplex
(roles/dataplex.metadataWriter)		 Possibilité de mettre à jour les métadonnées d'une ressource spécifique.
Lecteur de métadonnées Dataplex
(roles/dataplex.metadataReader)		 Possibilité de lire les métadonnées (par exemple, pour interroger une table).

Rôles de données

Attribuer des rôles de données à un principal lui permet de lire ou d'écrire des données dans les ressources sous-jacentes pointées par les composants du lac.

Dataplex mappe ses rôles aux rôles de données pour chaque ressource de stockage sous-jacente, telle que Cloud Storage et BigQuery.

Dataplex traduit et propage les rôles de données Dataplex vers la ressource de stockage sous-jacente, en définissant les rôles appropriés pour chaque ressource de stockage. Vous pouvez accorder un seul rôle de données Dataplex au niveau de la hiérarchie du lac (par exemple, un lac), et Dataplex maintient l'accès spécifié aux données sur toutes les ressources associées à ce lac (par exemple, les buckets Cloud Storage et les ensembles de données BigQuery sont référencés par des éléments dans les zones sous-jacentes).

Par exemple, si vous attribuez le rôle dataplex.dataWriter à un compte principal pour un lac de données, ce compte principal dispose d'un accès en écriture à toutes les données du lac, à ses zones sous-jacentes et à ses composants. Les rôles d'accès aux données accordés à un niveau inférieur (zone) sont hérités dans la hiérarchie du lac par rapport aux éléments sous-jacents.

Rôle Description
Lecteur de données Dataplex
(roles/dataplex.dataReader)		 Possibilité de lire les données de l'espace de stockage associé aux éléments, y compris les buckets de stockage et les ensembles de données BigQuery (et leur contenu). *
Rédacteur de données Dataplex
(roles/dataplex.dataWriter)		 Possibilité d'écrire dans les ressources sous-jacentes pointées par l'élément. *
Propriétaire de données Dataplex
(roles/dataplex.dataOwner)		 Accorde le rôle "Propriétaire" aux ressources sous-jacentes, y compris la possibilité de gérer les ressources enfants. Par exemple, en tant que propriétaire des données d'un ensemble de données BigQuery, vous pouvez gérer les tables sous-jacentes.

Sécuriser votre lac

Vous pouvez sécuriser et gérer l'accès à votre lac et aux données qui y sont associées. Dans la console Google Cloud, utilisez l'une des vues suivantes:

  • Vue Gérer de Dataplex dans l'onglet Autorisations
  • Vue Sécurisé de Dataplex

Utiliser la vue Gérer

L'onglet Autorisations vous permet de gérer toutes les autorisations d'une ressource de lac et présente une vue non filtrée de toutes les autorisations, y compris celles héritées.

Pour sécuriser votre lac, procédez comme suit:

  1. Dans la console Google Cloud, accédez à Dataplex.

    Accéder à Dataplex

  2. Accédez à la vue Gérer.

  3. Cliquez sur le nom du lac que vous avez créé.

  4. Cliquez sur l'onglet Autorisations.

  5. Cliquez sur l'onglet Afficher par rôle.

  6. Cliquez sur Ajouter pour ajouter un rôle. Ajoutez les rôles Lecteur de données Dataplex, Rédacteur de données et Propriétaire des données.

  7. Vérifiez que les rôles Lecteur de données Dataplex, Rédacteur de données et Propriétaire des données apparaissent.

Utiliser la vue Sécurité

La vue Sécurisé de Dataplex dans la console Google Cloud fournit les éléments suivants:

  • Vue filtrable des seuls rôles Dataplex axés sur une ressource spécifique
  • Séparer les rôles de données des rôles de ressources de lac
Exemple d'autorisations de données qui ne sont pas héritées des ressources de lac de niveau supérieur
Figure 1: Dans cet exemple de lac de données, les deux principaux disposent d'autorisations de données sur l'élément appelé données Cloud Storage (données GCS). Ces autorisations ne sont pas héritées des ressources de lac de niveau supérieur.


Exemple d'autorisations qui ne sont pas héritées des ressources de lac de niveau supérieur
Figure 2: Cet exemple montre:
  1. Compte de service qui hérite du rôle d'administrateur Dataplex du projet.
  2. Comptes principaux (adresse e-mail) qui héritent des rôles Éditeur et Lecteur Dataplex du projet. Il s'agit des rôles qui s'appliquent à toutes les ressources.
  3. Compte principal (adresse e-mail) qui hérite du rôle Administrateur Dataplex du projet.

Gestion de la stratégie

Une fois que vous avez spécifié votre stratégie de sécurité, Dataplex propage les autorisations dans les stratégies IAM des ressources gérées.

La stratégie de sécurité configurée au niveau du lac est propagée à toutes les ressources gérées dans ce lac. Dataplex fournit l'état de propagation et la visibilité sur ces propagations à grande échelle dans l'onglet Manage >Permissions (Gérer >Autorisations). Il surveille en permanence les ressources gérées pour détecter toute modification de la stratégie IAM en dehors de Dataplex.

Les utilisateurs disposant déjà d'autorisations sur une ressource continuent de les avoir après l'association de la ressource à un lac Dataplex. De même, les liaisons de rôle autres que Dataplex créées ou mises à jour après l'association de la ressource à Dataplex restent identiques.

Définir des règles au niveau des colonnes, des lignes et des tables

Les composants de bucket Cloud Storage sont associés à des tables externes BigQuery.

Vous pouvez mettre à niveau un composant de bucket Cloud Storage, ce qui signifie que Dataplex supprime les tables externes associées et associe à la place des tables BigLake.

Vous pouvez utiliser des tables BigLake au lieu de tables externes pour bénéficier d'un contrôle précis des accès, y compris des contrôles au niveau des lignes, des contrôles au niveau des colonnes et du masquage des données des colonnes.

Sécurité des métadonnées

Les métadonnées font principalement référence aux informations de schéma associées aux données utilisateur présentes dans les ressources gérées par un lac.

Dataplex Discovery examine les données des ressources gérées et extrait des informations de schéma tabulaires. Ces tables sont publiées dans les systèmes BigQuery, Dataproc Metastore et Data Catalog.

BigQuery

Chaque table découverte est associée à une table enregistrée dans BigQuery. Pour chaque zone, un ensemble de données BigQuery est associé, sous lequel toutes les tables externes associées aux tables découvertes dans cette zone de données sont enregistrées.

Les tables hébergées dans Cloud Storage détectées sont enregistrées dans le jeu de données créé pour la zone.

Dataproc Metastore

Les bases de données et les tables sont disponibles dans Dataproc Metastore associé à l'instance de lac Dataplex. Chaque zone de données est associée à une base de données, et chaque composant peut être associé à une ou plusieurs tables.

Les données d'un service Dataproc Metastore sont sécurisées en configurant votre réseau VPC-SC. L'instance Dataproc Metastore est fournie à Dataplex lors de la création du lac, ce qui en fait déjà une ressource gérée par l'utilisateur.

Data Catalog

Chaque table découverte est associée à une entrée dans Data Catalog pour permettre la recherche et la découverte.

Data Catalog nécessite des noms de stratégie IAM lors de la création d'une entrée. Par conséquent, Dataplex fournit le nom de la stratégie IAM de la ressource d'élément Dataplex à laquelle l'entrée doit être associée. Par conséquent, les autorisations de l'entrée Dataplex sont déterminées par les autorisations de la ressource d'élément. Attribuez le rôle Lecteur de métadonnées Dataplex (roles/dataplex.metadataReader) et le rôle Rédacteur de métadonnées Dataplex (roles/dataplex.metadataWriter) à la ressource d'asset.

Étape suivante