Mapeamento de permissões do IAM entre o Data Catalog e o Dataplex Catalog

Este documento descreve o mapeamento entre as permissões do Data Catalog e do Dataplex Catalog.

Para ver mais informações, consulte os seguintes tópicos:

Grupos de entradas

A tabela a seguir fornece um mapeamento detalhado entre as permissões do Data Catalog e do Dataplex Catalog para operações comuns em grupos de entrada:

Operação Permissões necessárias no Data Catalog Permissões necessárias no Dataplex Catalog
Criar grupos de entrada datacatalog.entryGroups.create dataplex.entryGroups.create
Atualizar grupos de entrada datacatalog.entryGroups.update dataplex.entryGroups.update
Conferir detalhes de um grupo de entrada datacatalog.entryGroups.get dataplex.entryGroups.get
Excluir grupos de entrada datacatalog.entryGroups.delete dataplex.entryGroups.delete

Para mais informações sobre grupos de entrada, consulte Grupos de entrada no Data Catalog e Grupos de entrada no Dataplex Catalog.

Entradas

A tabela a seguir fornece um mapeamento detalhado entre as permissões do Data Catalog e do Dataplex Catalog para operações comuns em entradas:

Operação Permissões necessárias no Data Catalog Permissões necessárias no Dataplex Catalog Observações
Criar entradas personalizadas datacatalog.entries.create

dataplex.entries.create

dataplex.entryTypes.use (para usar o tipo de entrada para criar entradas desse tipo)

dataplex.aspectTypes.use (para usar tipos de aspecto para criar entradas com os aspectos correspondentes)

O Data Catalog não tem a noção de tipos de entrada.

No Data Catalog, só é possível criar tags para uma entrada depois de criar a entrada. No Dataplex Catalog, é possível criar aspectos para uma entrada quando você a cria.
Usar tipos de entrada reutilizáveis do sistema para criar entradas Não relevante Permissão especificada no grupo de entrada, por exemplo, dataplex.entryGroups.useENTRY_TYPE Para mais informações, consulte Tipos de entrada e de aspecto do sistema.
Conferir os detalhes de uma entrada personalizada datacatalog.entries.get dataplex.entries.get -
Conferir detalhes de uma entrada do sistema Permissão específica do sistema, por exemplo, bigquery.tables.get

dataplex.entries.get (para o método entries.get)
ou permissão do sistema
específica, por exemplo, bigquery.tables.get (para o método lookupEntry)

No Dataplex Catalog, é possível recuperar uma entrada usando o método entries.get ou lookupEntry. A diferença entre esses métodos é a permissão necessária.

O console do Google Cloud usa o método lookupEntry.
Listar entradas datacatalog.entries.list (para entradas personalizadas) dataplex.entries.list (para entradas do sistema e personalizadas)

O Data Catalog não oferece suporte para a listagem de entradas do sistema.

No Dataplex Catalog, os grupos de entrada do sistema são recursos válidos para definir permissões.
Fazer uma pesquisa Nenhuma permissão é necessária para a própria ação de pesquisa dataplex.projects.search

No Data Catalog, é possível realizar a pesquisa sem precisar de permissões especiais.

Para realizar a pesquisa no Dataplex Catalog, você precisa da permissão dataplex.projects.search no projeto usado para realizar a pesquisa. Esse projeto é definido usando o parâmetro name no método searchEntries, enquanto o parâmetro scope define em quais projetos você está pesquisando.

No Data Catalog e no Dataplex Catalog, os resultados da pesquisa estão sujeitos a verificações de permissão específicas do sistema. Você só tem acesso aos recursos que tem autorização para acessar.

Para mais informações sobre as permissões necessárias para pesquisar entradas no Dataplex Catalog, consulte Permissões do Dataplex Catalog.

Atualizar campos (exceto tags e aspectos) em entradas personalizadas datacatalog.entries.update

dataplex.entries.update

dataplex.entryTypes.use

 A permissão entryTypes.use no Dataplex Catalog protege os campos que não são de aspecto, como entrySource. Por exemplo, é possível usar essa permissão para impedir que os usuários modifiquem os campos definidos por um pipeline de conectividade gerenciada.
Definir permissão em uma entrada específica em vez de um grupo de entradas

Geralmente não é compatível.

No entanto, é possível definir a permissão em uma entrada específica ao atualizar tags para uma entrada do sistema. Isso exige permissões no sistema de origem.

 Sem suporte

As políticas do IAM são criadas apenas para grupos de entrada.

No Data Catalog, quando você atualiza tags de uma entrada do sistema, é necessário ter permissões no sistema de origem. Por exemplo, ao atualizar tags em uma tabela do BigQuery, você precisa da permissão bigquery.tables.updateTag. É possível definir essa permissão em uma entrada específica.

No Dataplex Catalog, para atualizar aspectos de uma entrada, você precisa de dataplex.entries.update, que não pode ser definido em uma entrada específica.
Excluir entradas datacatalog.entries.delete dataplex.entries.delete -

Para mais informações sobre entradas, consulte entradas no Data Catalog e entradas no Dataplex Catalog.

Modelos de tag e tipos de aspecto

A tabela a seguir mostra um mapeamento detalhado entre as permissões do Data Catalog e do Dataplex Catalog para operações comuns em modelos de tag (no Data Catalog) e tipos de aspecto (no Dataplex Catalog).

Operação Permissões necessárias no Data Catalog Permissões necessárias no Dataplex Catalog Observações
Criar modelos de tag ou tipos de aspecto datacatalog.tagTemplates.create dataplex.aspectTypes.create -
Atualizar modelos de tag ou tipos de aspecto datacatalog.tagTemplates.update dataplex.aspectTypes.update -
Conferir detalhes de um modelo de tag ou um tipo de aspecto datacatalog.tagTemplates.get dataplex.aspectTypes.get -
Listar todos os modelos de tag ou tipos de aspecto Sem suporte dataplex.aspectTypes.list O Data Catalog não oferece suporte a modelos de tag de listagem.
Usar tipos de aspecto do sistema reutilizáveis Não relevante A permissão especificada no grupo de entrada em vez de dataplex.aspectTypes.use. Por exemplo, dataplex.entryGroups.useASPECT_TYPE. Para mais informações, consulte Tipos de entrada e de aspecto do sistema.
Excluir modelos de tag ou tipos de aspecto datacatalog.tagTemplates.delete dataplex.aspectTypes.delete -

Tags e aspectos

A tabela a seguir fornece um mapeamento detalhado entre as permissões do Data Catalog e do Dataplex Catalog para operações comuns em tags (no Data Catalog) e aspectos (no Dataplex Catalog).

Operação Permissões necessárias no Data Catalog Permissões necessárias no Dataplex Catalog Observações
Criar, atualizar e excluir tags ou aspectos

datacatalog.entries.updateTag
ou
equivalente dependente do serviço, por exemplo, bigquery.tables.updateTag

datacatalog.tagTemplates.use

dataplex.entries.update

dataplex.aspectTypes.use

No Data Catalog, as tags são recursos independentes das entradas. Você atualiza tags e entradas usando métodos separados, e as respectivas permissões necessárias também são separadas.

No Dataplex Catalog, os aspectos são armazenados em entradas, não como recursos independentes. Para atualizar aspectos de uma entrada, atualize a entrada. Isso se aplica a entradas do sistema e personalizadas.
Listar tags ou aspectos

datacatalog.entries.get (para tags públicas e privadas)

datacatalog.tagTemplates.get (para cada tag privada. Se você não tiver acesso a uma tag, ela será omitida nos resultados da pesquisa.)

 dataplex.entries.get No Dataplex Catalog, quando você recupera uma entrada, os aspectos dela também são listados.

A seguir