Il modello di sicurezza Dataplex consente di gestire chi ha accesso per eseguire le attività seguenti:
- Amministrazione di un lake (creazione e collegamento di asset, zone e lake aggiuntivi)
- Accesso ai dati connessi a un lake tramite l'asset di mappatura (risorse Google Cloud come bucket Cloud Storage e set di dati BigQuery)
- Accesso ai metadati sui dati collegati a un lake
Un amministratore di un lake controlla l'accesso alle risorse Dataplex (lake, zone e asset) concedendo i seguenti ruoli di base e predefiniti.
Ruoli di base
| Ruolo | Descrizione |
|---|---|
| Visualizzatore Dataplex ( roles/dataplex.viewer) |
Può visualizzare (ma non modificare) il lake, nonché le relative zone e asset configurati. |
| Editor Dataplex ( roles/dataplex.editor) |
Possibilità di modificare il lake. Può creare e configurare lake, zone, asset e attività. |
| Amministratore Dataplex ( roles/dataplex.administrator) |
Capacità di amministrare completamente un lake. |
| Sviluppatore Dataplex ( roles/dataplex.developer) |
Capacità di eseguire carichi di lavoro di analisi dei dati su un lake. * |
Per eseguire un job Spark, crea i cluster Dataproc e invia i job Dataproc nel progetto a cui vuoi attribuire il calcolo.
Ruoli predefiniti
Google Cloud gestisce i seguenti ruoli, che forniscono un accesso granulare a Dataplex.
Ruoli metadati
I ruoli di metadati consentono di visualizzare i metadati, come gli schemi delle tabelle.
| Ruolo | Descrizione |
|---|---|
| Writer metadati Dataplex ( roles/dataplex.metadataWriter) |
Possibilità di aggiornare i metadati di una determinata risorsa. |
| Lettore metadati Dataplex ( roles/dataplex.metadataReader) |
Possibilità di leggere i metadati (ad esempio, per eseguire query su una tabella). |
Ruoli dati
La concessione dei ruoli dei dati a un'entità offre la possibilità di leggere o scrivere dati nelle risorse sottostanti indicate dagli asset del lake.
Dataplex mappa i propri ruoli ai ruoli dei dati per ogni risorsa di archiviazione sottostante (Cloud Storage, BigQuery).
Dataplex traduce e propaga i ruoli dati di Dataplex nella risorsa di archiviazione sottostante, impostando i ruoli corretti per ciascuna risorsa di archiviazione. Il vantaggio è che puoi concedere un unico ruolo di dati Dataplex nella gerarchia del lake (ad esempio un lake) e Dataplex mantiene l'accesso specificato ai dati su tutte le risorse collegate a quel lake (ad esempio, i bucket e i set di dati BigQuery di Cloud Storage sono richiamati dagli asset nelle zone sottostanti).
Ad esempio, se un ruolo ha un ruolo dataplex.dataWriter per un lake, concede all'entità l'accesso in scrittura a tutti i dati all'interno del lake, alle zone e agli asset sottostanti. I ruoli di accesso ai dati concessi a un livello (zona) inferiore vengono ereditati nella gerarchia lake per gli asset sottostanti.
| Ruolo | Descrizione |
|---|---|
| Lettore dati Dataplex ( roles/dataplex.dataReader) |
Possibilità di leggere i dati dallo spazio di archiviazione associato agli asset, inclusi bucket di archiviazione e set di dati BigQuery (e i relativi contenuti). * |
| Writer dati Dataplex ( roles/dataplex.dataWriter) |
Può scrivere nelle risorse sottostanti indicate dall'asset. * |
| Proprietario dati Dataplex ( roles/dataplex.dataOwner) |
Concede il ruolo Proprietario alle risorse sottostanti, inclusa la possibilità di gestire le risorse figlio. Ad esempio, in qualità di proprietario dei dati di un set di dati BigQuery, puoi gestire le tabelle sottostanti. |
Proteggi il tuo lake
Puoi proteggere e gestire l'accesso al tuo lake e ai dati associati. Nella console Google Cloud, utilizza una delle seguenti viste:
- La visualizzazione Gestisci di Dataplex nella scheda Autorizzazioni oppure
- Visualizzazione Secure di Dataplex
Utilizzare la visualizzazione Gestisci
La scheda Autorizzazioni consente di gestire tutte le autorizzazioni su una risorsa lake e offre una visualizzazione non filtrata di tutte le autorizzazioni, incluse quelle ereditate.
Per proteggere il tuo lago, segui questi passaggi:
Vai a Dataplex nella console Google Cloud.
Vai alla visualizzazione Gestisci.
Fai clic sul nome del lake che hai creato.
Fai clic sulla scheda Autorizzazioni.
Fai clic sulla scheda Visualizza per ruoli.
Fai clic su Aggiungi per aggiungere un nuovo ruolo. Aggiungi i ruoli Lettore dati Dataplex, Autore dati e Proprietario dati.
Verifica che vengano visualizzati i ruoli Lettore dati Dataplex, Autore dati e Proprietario dati.
Visualizzazione sicura
cloudasset.assets.analyzeIamPolicy
La vista Secure di Dataplex nella console Google Cloud fornisce quanto segue:
- Una visualizzazione semplice e filtrabile solo dei ruoli Dataplex incentrati su una risorsa specifica.
- Separa i ruoli dei dati dai ruoli delle risorse lake.
- Un account di servizio che eredita il ruolo Amministratore Dataplex dal progetto.
- Entità (indirizzo email) che ereditano i ruoli di editor e visualizzatore Dataplex dal progetto. Questi sono i ruoli che si applicano a tutte le risorse.
- Un'entità (indirizzo email) che eredita il ruolo Amministratore Dataplex dal progetto.
Gestione dei criteri
Dopo aver specificato il criterio di sicurezza, Dataplex propaga le autorizzazioni ai criteri IAM delle risorse gestite.
Il criterio di sicurezza configurato a livello di lake viene propagato a tutte le risorse gestite all'interno di quel lake. Dataplex fornisce stato di propagazione e visibilità su queste propagazioni su larga scala nella scheda Gestisci > Autorizzazioni di Dataplex. Monitora costantemente le risorse gestite per rilevare eventuali modifiche al criterio IAM al di fuori di Dataplex.
Dopo che una risorsa è stata collegata a un lake Dataplex, gli utenti che già dispongono di autorizzazioni per una risorsa continueranno ad averla. Analogamente, le associazioni di ruoli non Dataplex che vengono create o aggiornate dopo aver collegato la risorsa a Dataplex rimangono invariate.
Imposta i criteri a livello di colonna, di riga e di tabella
Agli asset bucket Cloud Storage sono associate tabelle esterne BigQuery associate.
Puoi eseguire l'upgrade di un asset del bucket Cloud Storage, il che significa che Dataplex rimuove le tabelle esterne collegate e collega invece le tabelle BigLake.
Puoi utilizzare le tabelle BigLake anziché le tabelle esterne per avere controllo dell'accesso granulare, inclusi i controlli a livello di riga, i controlli a livello di colonna e il mascheramento dei dati a livello di colonna.
Sicurezza dei metadati
I metadati si riferiscono principalmente a informazioni sullo schema associate ai dati utente presenti nelle risorse gestite da un lake.
Dataplex Discovery esamina i dati delle risorse gestite ed estrae informazioni sullo schema tabulare. Queste tabelle sono pubblicate nei sistemi BigQuery, Dataproc Metastore e Data Catalog.
BigQuery
A ogni tabella rilevata è associata una tabella registrata in BigQuery. Per ogni zona, è associato un set di dati BigQuery in cui sono registrate tutte le tabelle esterne associate alle tabelle scoperte in quella zona dati.
Le tabelle ospitate da Cloud Storage vengono registrate nel set di dati creato per la zona.
Dataproc Metastore
I database e le tabelle vengono resi disponibili nel metastore Dataproc associato all'istanza data lake di Dataplex. A ogni zona dati è associato un database e ogni asset può avere una o più tabelle associate.
I dati in un servizio Dataproc Metastore sono protetti configurando la tua rete VPC-SC. L'istanza Dataproc Metastore viene fornita a Dataplex durante la creazione del lake, che è già una risorsa gestita dall'utente.
Data Catalog
Ogni tabella rilevata ha una voce associata in Data Catalog per consentire la ricerca e il rilevamento.
Poiché Data Catalog richiede nomi di criteri IAM durante la creazione della voce, Dataplex fornisce il nome del criterio IAM della risorsa asset Dataplex a cui la voce deve essere associata. Di conseguenza, le autorizzazioni per la voce Dataplex sono generate dalle autorizzazioni per la risorsa asset. Dovrai concedere il ruolo Lettore metadati Dataplex (roles/dataplex.metadataReader) e il ruolo Writer metadati Dataplex (roles/dataplex.metadataWriter) alla risorsa asset.
Quali sono i passaggi successivi?
- Scopri di più su Dataplex IAM.
- Scopri di più sui ruoli IAM.
- Scopri di più sulle autorizzazioni IAM.