Model keamanan Dataplex memungkinkan Anda mengelola siapa yang memiliki akses untuk melakukan tugas-tugas berikut:
- Mengelola danau (membuat dan menambahkan aset, zona, dan danau tambahan)
- Mengakses data yang terhubung ke lake melalui aset pemetaan (resource Google Cloud seperti bucket Cloud Storage dan set data BigQuery)
- Mengakses metadata tentang data yang terhubung ke lake
Administrator untuk lake mengontrol akses ke resource Dataplex (danau, zona, dan aset) dengan memberikan peran dasar dan yang telah ditetapkan berikut.
Peran dasar
| Peran | Deskripsi |
|---|---|
| Viewer Dataplex ( roles/dataplex.viewer) |
Kemampuan untuk melihat (tetapi tidak mengedit) lake dan zona serta asetnya yang dikonfigurasi. |
| Editor Dataplex ( roles/dataplex.editor) |
Kemampuan untuk mengedit danau. Dapat membuat dan mengonfigurasi danau, zona, aset, dan tugas. |
| Administrator Dataplex ( roles/dataplex.administrator) |
Kemampuan untuk mengelola danau sepenuhnya. |
| Developer Dataplex ( roles/dataplex.developer) |
Kemampuan untuk menjalankan beban kerja analisis data di lake. * |
Untuk menjalankan tugas Spark, buat cluster Dataproc dan kirim tugas Dataproc dalam project yang ingin Anda atribusikan ke komputasi.
Peran yang telah ditetapkan
Google Cloud mengelola peran berikut, yang memberikan akses terperinci untuk Dataplex.
Peran metadata
Peran metadata memiliki kemampuan untuk melihat metadata, seperti skema tabel.
| Peran | Deskripsi |
|---|---|
| Penulis Metadata Dataplex ( roles/dataplex.metadataWriter) |
Kemampuan untuk memperbarui metadata dari resource tertentu. |
| Pembaca Metadata Dataplex ( roles/dataplex.metadataReader) |
Kemampuan untuk membaca metadata (misalnya, untuk membuat kueri tabel). |
Peran data
Memberikan peran data ke akun utama akan memberinya kemampuan untuk membaca atau menulis data dalam resource pokok yang ditunjuk oleh aset lake.
Dataplex memetakan perannya ke peran data untuk setiap resource penyimpanan yang mendasarinya (Cloud Storage, BigQuery).
Dataplex menerjemahkan dan menyebarkan peran data Dataplex ke resource penyimpanan yang mendasarinya, sehingga menetapkan peran yang benar untuk setiap resource penyimpanan. Manfaatnya adalah Anda dapat memberikan satu peran data Dataplex pada hierarki lake (misalnya, lake), dan Dataplex mempertahankan akses tertentu ke data pada semua resource yang terhubung ke lake tersebut (misalnya, bucket Cloud Storage dan set data BigQuery dirujuk oleh aset di zona dasarnya).
Misalnya, memberikan peran dataplex.dataWriter kepada akun utama untuk suatu lake
akan memberikan akses tulis kepada akun utama ke semua data dalam lake, baik zona
dasarnya maupun asetnya. Peran akses data yang diberikan pada tingkat (zona) yang lebih rendah
diwariskan dalam hierarki lake ke aset pokok.
| Peran | Deskripsi |
|---|---|
| Pembaca Dataplex ( roles/dataplex.dataReader) |
Kemampuan untuk membaca data dari penyimpanan yang terpasang pada aset, termasuk bucket penyimpanan dan set data BigQuery (beserta isinya). * |
| Penulis Dataplex ( roles/dataplex.dataWriter) |
Kemampuan untuk menulis ke resource pokok yang ditunjuk oleh aset. * |
| Pemilik Data Dataplex ( roles/dataplex.dataOwner) |
Memberikan peran Owner ke resource yang mendasarinya, termasuk kemampuan untuk mengelola resource turunan. Misalnya, sebagai Pemilik Data set data BigQuery, Anda dapat mengelola tabel pokok. |
Amankan danau Anda
Anda dapat mengamankan dan mengelola akses ke lake Anda serta data yang terkait dengannya. Di Konsol Google Cloud, gunakan salah satu tampilan berikut:
- Tampilan Manage Dataplex, pada tab Permissions, atau
- Tampilan Dataplex Secure
Menggunakan tampilan Manage
Tab Izin memungkinkan Anda mengelola semua izin pada resource lake dan menampilkan tampilan semua izin yang tidak difilter, termasuk yang diwarisi.
Untuk mengamankan danau Anda, ikuti langkah-langkah berikut:
Buka Dataplex di konsol Google Cloud.
Buka tampilan Manage.
Klik nama danau yang Anda buat.
Klik tab Izin.
Klik tab Lihat menurut Peran.
Klik Tambahkan untuk menambahkan peran baru. Tambahkan peran Dataplex Data Reader, Data Writer, dan Data Owner.
Pastikan peran Dataplex Data Reader, Data Writer, dan Pemilik Data muncul.
Menggunakan tampilan Secure
Tampilan Dataplex Secure di Konsol Google Cloud menyediakan hal berikut:
- Tampilan sederhana yang dapat difilter hanya untuk peran Dataplex yang berpusat pada resource tertentu.
- Memisahkan peran data dari peran resource lake.
- Akun layanan yang mewarisi peran Administrator Dataplex dari project.
- Principal (alamat email) yang mewarisi peran Editor Dataplex dan Viewer dari project. Ini adalah peran yang berlaku untuk semua resource.
- Akun utama (alamat email) yang mewarisi peran Administrator Dataplex dari project.
Manajemen kebijakan
Setelah Anda menentukan kebijakan keamanan, Dataplex akan menyebarkan izin ke kebijakan IAM dari resource terkelola.
Kebijakan keamanan yang dikonfigurasi di level lake diterapkan ke semua resource yang dikelola di dalam lake tersebut. Dataplex memberikan status dan visibilitas propagasi ke dalam propagasi berskala besar ini di tab Kelola > Izin Dataplex. Platform ini terus memantau resource terkelola untuk mendeteksi setiap perubahan pada kebijakan IAM di luar Dataplex.
Pengguna yang sudah memiliki izin pada suatu resource akan tetap memilikinya setelah resource dilampirkan ke dataplex lake. Demikian pula, binding peran non-Dataplex yang dibuat atau diperbarui setelah menambahkan resource ke Dataplex akan tetap sama.
Menetapkan kebijakan tingkat kolom, tingkat baris, dan tingkat tabel
Aset bucket Cloud Storage memiliki tabel eksternal BigQuery terkait yang dilampirkan.
Anda dapat mengupgrade aset bucket Cloud Storage, yang berarti Dataplex akan menghapus tabel eksternal yang terpasang dan melampirkan tabel BigLake.
Anda dapat menggunakan tabel BigLake, bukan tabel eksternal, untuk memberi Anda kontrol akses yang terperinci, termasuk kontrol tingkat baris, kontrol tingkat kolom, dan masking data kolom.
Keamanan metadata
Metadata terutama mengacu pada informasi skema yang terkait dengan data pengguna yang ada dalam resource yang dikelola oleh danau.
Dataplex Discovery memeriksa data dalam resource terkelola dan mengekstrak informasi skema tabel. Tabel ini dipublikasikan ke sistem BigQuery, Dataproc Metastore, dan Katalog Data.
BigQuery
Setiap tabel yang ditemukan memiliki tabel terkait yang terdaftar di BigQuery. Untuk setiap zona, ada set data BigQuery terkait tempat semua tabel eksternal yang terkait dengan tabel yang ditemukan dalam zona data tersebut terdaftar.
Tabel yang dihosting Cloud Storage yang ditemukan akan didaftarkan di set data yang dibuat untuk zona tersebut.
Dataproc Metastore
Database dan tabel disediakan di Dataproc Metastore yang terkait dengan instance Dataplex lake. Setiap zona data memiliki database terkait, dan setiap aset dapat memiliki satu atau beberapa tabel terkait.
Data dalam layanan Dataproc Metastore diamankan dengan mengonfigurasi jaringan VPC-SC Anda. Instance Dataproc Metastore disediakan ke Dataplex selama pembuatan lake, sehingga menjadikannya resource yang dikelola pengguna.
Data Catalog
Setiap tabel yang ditemukan memiliki entri terkait di Data Catalog, untuk mengaktifkan penelusuran dan penemuan.
Karena Data Catalog memerlukan nama kebijakan IAM selama pembuatan entri, Dataplex memberikan nama kebijakan IAM dari resource aset Dataplex yang harus dikaitkan dengan entri tersebut. Akibatnya, izin pada entri
Dataplex didorong oleh izin pada resource aset. Berikan peran Dataplex
Metadata Reader (roles/dataplex.metadataReader) dan peran Dataplex Metadata
Writer (roles/dataplex.metadataWriter) pada resource aset.
Apa langkah selanjutnya?
- Pelajari IAM Dataplex lebih lanjut.
- Pelajari Peran IAM lebih lanjut
- Pelajari izin IAM lebih lanjut.