Se usó la API de Cloud Translation para traducir esta página.

Configura roles de Analytics Hub

En este documento, se describen los roles de los usuarios de Analytics Hub y cómo otorgarlos a los usuarios. Para obtener más información, consulta los roles de Analytics Hub.

Nota: Cuando administres el acceso de los usuarios en proveedores de identidad externos, reemplaza las instancias de los identificadores principales de la Cuenta de Google, como user:kiran@example.com, group:support@example.com y domain:example.com, por los identificadores principales de la federación de identidades de personal adecuados.

Roles de los usuarios de Analytics Hub

En las siguientes secciones, se describen los roles predefinidos de Analytics Hub. Puedes asignar estos roles a los usuarios para realizar varias tareas en tus intercambios de datos y fichas.

Rol Analytics Hub Admin

Para administrar intercambios de datos, Compartir (anteriormente Analytics Hub) proporciona el rol de administrador de Analytics Hub (roles/analyticshub.admin) que puedes otorgar para un proyecto o intercambio de datos. Este rol permite a los usuarios realizar las siguientes tareas:

Crear, actualizar y borrar intercambios de datos.
Crear, actualizar, borrar y compartir fichas.
Administrar los administradores de Analytics Hub, los administradores de fichas, los publicadores, los suscriptores y los visualizadores.

Los usuarios con este rol se denominan administradores.

Roles Analytics Hub Publisher y Listing Admin

Para administrar fichas, Compartir proporciona los siguientes roles predefinidos que puedes otorgar para un proyecto, un intercambio de datos o una ficha:

Rol Analytics Hub Publisher (roles/analyticshub.publisher), que permite a los usuarios realizar las siguientes tareas:
- Crear, actualizar y borrar fichas.
- Configurar políticas de IAM en las fichas.
Los usuarios con este rol se denominan publicadores.
Rol Analytics Hub Listing Admin (roles/analyticshub.listingAdmin), que permite a los usuarios realizar las siguientes tareas:
- Actualizar y borrar fichas.
- Configurar políticas de IAM en las fichas.

Roles Analytics Hub Subscriber y Viewer

Para ver fichas y suscribirse a ellas, Compartir proporciona los siguientes roles predefinidos que puedes otorgar para un proyecto, un intercambio de datos o una ficha:

Rol Analytics Hub Subscriber (roles/analyticshub.subscriber), que permite a los usuarios ver fichas y suscribirse a ellas.

Los usuarios con este rol se denominan suscriptores.
Rol Analytics Hub Viewer (roles/analyticshub.viewer), que permite a los usuarios ver fichas y permisos de intercambios de datos.

Los usuarios con este rol se denominan visualizadores.

Roles de propietario de la suscripción a Analytics Hub

Para administrar suscripciones, Compartir proporciona el siguiente rol predefinido que puedes otorgar a nivel de proyecto:

Rol de propietario de la suscripción a Analytics Hub (roles/analyticshub.subscriptionOwner), que permite a los usuarios administrar sus suscripciones.

Otorga roles de Analytics Hub

Según tu necesidad, puedes otorgar los roles de Analytics Hub en los siguientes niveles de la jerarquía de recursos:

Proyecto. Si otorgas a los usuarios un rol para un proyecto, este se aplica a todos los intercambios de datos y las fichas que contiene el proyecto.
Intercambio de datos. Si otorgas a los usuarios un rol para un intercambio de datos, se aplicará a todas las fichas que contenga el intercambio de datos.
Ficha. Si otorgas a los usuarios un rol para una ficha, se aplica solo a esa ficha específica.

Otorga el rol para un proyecto

Si deseas establecer políticas de IAM en un proyecto, debes tener el rol roles/resourcemanager.projectIamAdmin en ese proyecto. A fin de otorgar los roles de usuario predefinidos de Analytics Hub para un proyecto, sigue estos pasos:

Console

Ve al IAM del proyecto.

Ir a IAM
Haz clic en Grant access.
En el campo Nuevos principales, ingresa la dirección de correo electrónico de la identidad a la que deseas otorgar acceso. Por ejemplo:
- Correo electrónico de la Cuenta de Google: test-user@gmail.com
- Grupo de Google: admins@googlegroups.com
- Cuenta de servicio: server@example.gserviceaccount.com
- Dominio de Google Workspace: example.com
En la lista Seleccionar un rol, mantén el puntero sobre Analytics Hub y selecciona uno de los siguientes roles:
- Administrador de Analytics Hub
- Administrador de fichas de Analytics Hub
- Publicador de Analytics Hub
- Suscriptor de Analytics Hub
- Propietario de la suscripción a Analytics Hub
- Visualizador de Analytics Hub
Opcional: Para controlar aún más el acceso de los usuarios a los recursos de Google Cloud , agrega vinculaciones de funciones condicionales.
Guarda los cambios.

Puedes borrar y actualizar administradores para un proyecto a través del mismo panel de IAM, que se explica en los pasos anteriores.

gcloud

Para otorgar roles a nivel de proyecto, usa el comando gcloud projects add-iam-policy-binding:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member='PRINCIPAL' \
    --role='roles/analyticshub.admin'

Reemplaza lo siguiente:

PROJECT_ID: es el ID del proyecto, por ejemplo, my-project-1
PRINCIPAL: Una identidad válida a la que deseas otorgar la función.

Por ejemplo:
- Correo electrónico de la Cuenta de Google: user:user@gmail.com
- Grupo de Google: group:admins@googlegroups.com
- Cuenta de servicio: serviceAccount:server@example.gserviceaccount.com
- Dominio de Google Workspace: domain:example.com

API

Lee la política existente con el método getIamPolicy correspondiente del recurso. Para los proyectos, usa el método projects.getIamPolicy.
```
POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy
```
Reemplaza PROJECT_ID por el ID del proyecto para my-project-1.
Para agregar los principales y sus roles asociados, edita la política con un editor de texto. Usa el siguiente formato para agregar miembros:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
Por ejemplo, para otorgar la función roles/analyticshub.admin a group:admins@example.com, agrega la siguiente vinculación a la política:
```
{
 "members": [
   "group:admins@example.com"
 ],
 "role":"roles/analyticshub.admin"
}
```
Escribe la política actualizada mediante el método setIamPolicy.

Por ejemplo, para establecer una política a nivel de proyecto, usa el método project.setIamPolicy. En el cuerpo de la solicitud, proporciona la política de IAM actualizada del paso anterior.
```
POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy
```
Reemplaza PROJECT_ID por el ID del proyecto.

Otorga el rol para un intercambio de datos

A fin de otorgar el rol para un intercambio de datos, sigue estos pasos:

Console

En la consola de Google Cloud , ve a la página Uso compartido (Analytics Hub).

Ir a Uso compartido (Analytics Hub)
Haz clic en el nombre del intercambio de datos para el que deseas establecer permisos.
Ve a la pestaña Detalles.
Haz clic en Establecer permisos.
Para agregar principales, haz clic en Agregar principal.
En el campo Principales nuevos, agrega los IDs de correo electrónico a los que deseas otorgar acceso. También puedes usar allUsers para hacer que un recurso sea público y accesible para todos en Internet, o allAuthenticatedUsers para que solo los usuarios de Google que hayan accedido puedan acceder a él.
En el menú Selecciona un rol, selecciona Analytics Hub y, luego, elige uno de los siguientes roles de Identity and Access Management (IAM):
- Administrador de Analytics Hub
- Administrador de fichas de Analytics Hub
- Publicador de Analytics Hub
- Suscriptor de Analytics Hub
- Propietario de la suscripción a Analytics Hub
- Visualizador de Analytics Hub
Haz clic en Guardar.

API

Lee la política existente con el método getIamPolicy de la lista mediante el método projects.locations.dataExchanges.getIamPolicy:
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID:getIamPolicy
```
Reemplaza lo siguiente:
- PROJECT_ID: es el ID del proyecto, por ejemplo, my-project-1.
- LOCATION: la ubicación de tu intercambio de datos. Usa letras minúsculas.
- DATAEXCHANGE_ID: el ID del intercambio de datos.
BigQuery sharing (anteriormente Analytics Hub) muestra la política actual.
Para agregar o quitar miembros y sus roles asociados de Identity and Access Management (IAM), edita la política con un editor de texto. Usa el siguiente formato para agregar miembros:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
Por ejemplo, para otorgar la función roles/analyticshub.subscriber a group:subscribers@example.com, agrega la siguiente vinculación a la política:
```
{
 "members": [
   "group:subscribers@example.com"
 ],
 "role":"roles/analyticshub.subscriber"
}
```
Escribe la política actualizada mediante el método projects.locations.dataExchanges.setIamPolicy. En el cuerpo de la solicitud, proporciona la política de IAM actualizada del paso anterior.
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID:setIamPolicy
```
En el cuerpo de la solicitud, proporciona los detalles de la ficha. Si la solicitud se realiza de forma correcta, el cuerpo de la respuesta contendrá detalles de la ficha.

Cuando otorgas permisos a nivel del recurso, como en un intercambio de datos, debes usar letras minúsculas para la parte de la ubicación del nombre del recurso. El uso de valores en mayúsculas o en mayúsculas y minúsculas puede generar errores Permission Denied.

Usa: projects/myproject/locations/us/dataExchanges/123
Evita lo siguiente: projects/myproject/locations/US/dataExchanges/123
Evita lo siguiente: projects/myproject/locations/Eu/dataExchanges/123

Puedes borrar y actualizar roles para un intercambio de datos a través del mismo panel de IAM, que se explica en los pasos anteriores.

Otorga el rol para una ficha

A fin de otorgar el rol para una ficha, sigue estos pasos:

Console

En la consola de Google Cloud , ve a la página Uso compartido (Analytics Hub).

Ir a Uso compartido (Analytics Hub)
Haz clic en el nombre del intercambio de datos que contiene la ficha.
Haz clic en la ficha a la que deseas agregar usuarios.
Haz clic en Establecer permisos.
Para agregar principales, haz clic en Agregar principal.
En el campo Principales nuevos, agrega los IDs de correo electrónico de la identidad a la que deseas otorgar acceso.
En el menú Selecciona un rol, selecciona Analytics Hub y, luego, elige uno de los siguientes roles de Identity and Access Management (IAM):
- Administrador de Analytics Hub
- Administrador de fichas de Analytics Hub
- Publicador de Analytics Hub
- Suscriptor de Analytics Hub
- Propietario de la suscripción a Analytics Hub
- Visualizador de Analytics Hub
Haz clic en Guardar.

API

Lee la política existente con el método getIamPolicy de la lista mediante el método projects.locations.dataExchanges.listings.getIamPolicy:
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID/listings/LISTING_ID:getIamPolicy
```
Reemplaza lo siguiente:
- PROJECT_ID: es el ID del proyecto, por ejemplo, my-project-1.
- LOCATION: la ubicación del intercambio de datos que contiene la ficha. Usa letras minúsculas.
- DATAEXCHANGE_ID: el ID del intercambio de datos.
- LISTING_ID: el ID de la ficha.
Uso compartido muestra la política actual.
Para agregar o quitar miembros y sus roles asociados de Identity and Access Management (IAM), edita la política con un editor de texto. Usa el siguiente formato para agregar miembros:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
Por ejemplo, para otorgar la función roles/analyticshub.publisher a group:publishers@example.com, agrega la siguiente vinculación a la política:
```
{
 "members": [
   "group:publishers@example.com"
 ],
 "role":"roles/analyticshub.publisher"
}
```
Escribe la política actualizada mediante el método projects.locations.dataExchanges.listings.setIamPolicy. En el cuerpo de la solicitud, proporciona la política de IAM actualizada del paso anterior.
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID/listings/LISTING-ID:setIamPolicy
```
En el cuerpo de la solicitud, proporciona los detalles de la ficha. Si la solicitud se realiza de forma correcta, el cuerpo de la respuesta contendrá detalles de la ficha.

Cuando otorgas permisos a nivel del recurso, como en una ficha, debes usar letras minúsculas para la parte de la ubicación del nombre del recurso. El uso de valores en mayúsculas o en mayúsculas y minúsculas puede generar errores Permission Denied.

Usa: projects/myproject/locations/us/dataExchanges/123/listings/456
Evita lo siguiente: projects/myproject/locations/US/dataExchanges/123/listings/456
Evita lo siguiente: projects/myproject/locations/Eu/dataExchanges/123/listings/456

Puedes borrar y actualizar roles para una ficha a través del mismo panel de IAM, que se explica en los pasos anteriores.

¿Qué sigue?

Lee sobre IAM.
Obtén información sobre los roles de IAM de BigQuery.
Ve una lista de los roles de IAM de Analytics Hub.
Obtén más información sobre el uso compartido.
Obtén información sobre cómo administrar los intercambios de datos.
Obtén información sobre cómo administrar fichas.
Obtén información sobre cómo ver fichas y suscribirte a ellas.
Obtén más información para compartir el registro de auditoría.