Esta página se ha traducido con Cloud Translation API.

Configurar roles de Analytics Hub

En este documento se describen los roles de usuario de Analytics Hub y cómo asignarlos a los usuarios. Para obtener más información, consulta Roles de Analytics Hub.

Nota: Cuando gestiones el acceso de los usuarios en proveedores de identidades externos, sustituye las instancias de los identificadores principales de la cuenta de Google (como user:kiran@example.com, group:support@example.com y domain:example.com) por los identificadores principales de la federación de identidades de la plantilla correspondientes.

Roles de usuario de Analytics Hub

En las siguientes secciones se describen los roles predefinidos de Centro de análisis. Puedes asignar estos roles a los usuarios para que realicen varias tareas en tus intercambios de datos y fichas.

Rol de administrador de Analytics Hub

Para gestionar intercambios de datos, la sección Compartir (antes Analytics Hub) ofrece el rol de administrador de Analytics Hub (roles/analyticshub.admin), que puede asignar a un proyecto o a un intercambio de datos. Este rol permite a los usuarios realizar las siguientes tareas:

Crear, actualizar y eliminar intercambios de datos.
Crear, actualizar, eliminar y compartir fichas.
Gestionar administradores de Analytics Hub, administradores de fichas, editores, suscriptores y lectores.

Los usuarios con este rol se denominan administradores.

Roles de editor y administrador de fichas de Analytics Hub

Para gestionar fichas, la función Compartir ofrece los siguientes roles predefinidos que puedes asignar a un proyecto, un intercambio de datos o una ficha:

Rol Editor de Analytics Hub (roles/analyticshub.publisher), que permite a los usuarios realizar las siguientes tareas:
- Crear, actualizar y eliminar fichas.
- Define políticas de gestión de identidades y accesos en las fichas.
Los usuarios con este rol se denominan editores.
Rol de administrador de la ficha de Analytics Hub (roles/analyticshub.listingAdmin), que permite a los usuarios realizar las siguientes tareas:
- Actualizar y eliminar fichas.
- Define políticas de gestión de identidades y accesos en las fichas.

Roles de suscriptor y lector de Analytics Hub

Para ver y suscribirte a fichas, la función Compartir proporciona los siguientes roles predefinidos que puedes asignar a un proyecto, un intercambio de datos o una ficha:

Rol Suscriptor de Analytics Hub (roles/analyticshub.subscriber), que permite a los usuarios ver y suscribirse a fichas.

Los usuarios con este rol se denominan Suscriptores.
Rol Lector de Analytics Hub (roles/analyticshub.viewer), que permite a los usuarios ver fichas y permisos de intercambio de datos.

Los usuarios con este rol se denominan lectores.

Roles de propietario de la suscripción de Analytics Hub

Para gestionar suscripciones, Sharing ofrece el siguiente rol predefinido que puedes conceder a nivel de proyecto:

Rol de propietario de la suscripción de Analytics Hub (roles/analyticshub.subscriptionOwner), que permite a los usuarios gestionar sus suscripciones.

Conceder roles de Analytics Hub

En función de sus necesidades, puede asignar roles de Centro de análisis en los siguientes niveles de la jerarquía de recursos:

Proyecto: Si asigna un rol a los usuarios en un proyecto, se aplicará a todos los intercambios de datos y fichas que contenga el proyecto.
Intercambio de datos. Si asigna un rol a los usuarios en un intercambio de datos, se aplicará a todas las fichas que contenga el intercambio de datos.
Ficha. Si asigna un rol a los usuarios en una ficha, solo se aplicará a esa ficha concreta.

Asignar el rol a un proyecto

Si quieres definir políticas de gestión de identidades y accesos en un proyecto, debes tener el rol roles/resourcemanager.projectIamAdminen ese proyecto. Para asignar los roles de usuario predefinidos de Analytics Hub a un proyecto, sigue estos pasos:

Consola

Ve a Gestión de identidades y accesos del proyecto.

Ir a IAM
Haz clic en Conceder acceso.
En el campo Nuevos principales, introduce la dirección de correo de la identidad a la que quieras conceder acceso. Por ejemplo:
- Correo de la cuenta de Google: test-user@gmail.com
- Grupo de Google: admins@googlegroups.com
- Cuenta de servicio: server@example.gserviceaccount.com
- Dominio de Google Workspace: example.com
En la lista Selecciona un rol, coloca el puntero sobre Centro de analíticas y selecciona uno de los siguientes roles:
- Administrador de Analytics Hub
- Administrador de fichas de Analytics Hub
- Editor de Analytics Hub
- Suscriptor de Analytics Hub
- Propietario de la suscripción a Analytics Hub
- Lector de Analytics Hub
Opcional: Para controlar aún más el acceso de los usuarios a los Google Cloud recursos, añade una vinculación de rol condicional.
Guarda los cambios.

Puedes eliminar y actualizar administradores de un proyecto a través del mismo panel de gestión de identidades y accesos, tal como se explica en los pasos anteriores.

gcloud

Para asignar roles a nivel de proyecto, usa el comando gcloud projects add-iam-policy-binding:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member='PRINCIPAL' \
    --role='roles/analyticshub.admin'

Haz los cambios siguientes:

PROJECT_ID: el ID del proyecto (por ejemplo,) my-project-1
PRINCIPAL: una identidad válida a la que quieras conceder el rol

Por ejemplo:
- Correo de la cuenta de Google: user:user@gmail.com
- Grupo de Google: group:admins@googlegroups.com
- Cuenta de servicio: serviceAccount:server@example.gserviceaccount.com
- Dominio de Google Workspace: domain:example.com

API

Lee la política actual con el método getIamPolicy del recurso. En el caso de los proyectos, utiliza el método projects.getIamPolicy.
```
POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy
```
Sustituye PROJECT_ID por el ID del proyecto (por ejemplo, my-project-1).
Para añadir principales y sus roles asociados, edita la política con un editor de texto. Utiliza el siguiente formato para añadir miembros:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
Por ejemplo, para asignar el rol roles/analyticshub.admin a group:admins@example.com, añade la siguiente vinculación a la política:
```
{
 "members": [
   "group:admins@example.com"
 ],
 "role":"roles/analyticshub.admin"
}
```
Escribe la política actualizada con el método setIamPolicy.

Por ejemplo, para definir una política a nivel de proyecto, usa el método project.setIamPolicy. En el cuerpo de la solicitud, proporciona la política de gestión de identidades y accesos actualizada del paso anterior.
```
POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy
```
Sustituye PROJECT_ID por el ID del proyecto.

Conceder el rol para un intercambio de datos

Para conceder el rol a un intercambio de datos, sigue estos pasos:

Consola

En la Google Cloud consola, vaya a la página Compartir (Analytics Hub).

Ir a Compartir (Analytics Hub)
Haga clic en el nombre del intercambio de datos para el que quiera definir permisos.
Ve a la pestaña Detalles.
Haz clic en Establecer permisos.
Para añadir principales, haz clic en Añadir principal.
En el campo Nuevos principales, añade los IDs de correo a los que quieras dar acceso. También puedes usar allUsers para hacer que un recurso sea público y accesible para todos los usuarios de Internet, o allAuthenticatedUsers para que solo puedan acceder a él los usuarios de Google que hayan iniciado sesión.
En el menú Selecciona un rol, selecciona Centro de analíticas y, a continuación, selecciona uno de los siguientes roles de Gestión de Identidades y Accesos (IAM):
- Administrador de Analytics Hub
- Administrador de fichas de Analytics Hub
- Editor de Analytics Hub
- Suscriptor de Analytics Hub
- Propietario de la suscripción a Analytics Hub
- Lector de Analytics Hub
Haz clic en Guardar.

API

Lee la política actual con el método de lista getIamPolicy mediante el método projects.locations.dataExchanges.getIamPolicy:
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID:getIamPolicy
```
Haz los cambios siguientes:
- PROJECT_ID: el ID del proyecto (por ejemplo, my-project-1).
- LOCATION: la ubicación de tu intercambio de datos. Usa letras minúsculas.
- DATAEXCHANGE_ID: el ID de intercambio de datos.
La función de compartir de BigQuery (antes Analytics Hub) devuelve la política actual.
Para añadir o eliminar miembros y sus roles de gestión de identidades y accesos (IAM) asociados, edita la política con un editor de texto. Utiliza el siguiente formato para añadir miembros:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
Por ejemplo, para asignar el rol roles/analyticshub.subscriber a group:subscribers@example.com, añade la siguiente vinculación a la política:
```
{
 "members": [
   "group:subscribers@example.com"
 ],
 "role":"roles/analyticshub.subscriber"
}
```
Escribe la política actualizada con el método projects.locations.dataExchanges.setIamPolicy. En el cuerpo de la solicitud, proporciona la política de gestión de identidades y accesos actualizada del paso anterior.
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID:setIamPolicy
```
En el cuerpo de la solicitud, proporciona los detalles de la ficha. Si la solicitud se realiza correctamente, el cuerpo de la respuesta contiene los detalles de la ficha.

Cuando concedas permisos a nivel de recurso, como en un intercambio de datos, debes usar letras minúsculas en la parte de la ubicación del nombre del recurso. Si se usan valores en mayúsculas o con una combinación de mayúsculas y minúsculas, se pueden producir errores Permission Denied.

Uso: projects/myproject/locations/us/dataExchanges/123
Qué debes evitar: projects/myproject/locations/US/dataExchanges/123
Qué debes evitar: projects/myproject/locations/Eu/dataExchanges/123

Puedes eliminar y actualizar roles de un intercambio de datos a través del mismo panel de gestión de identidades y accesos, como se explica en los pasos anteriores.

Conceder el rol de una ficha

Para conceder el rol a una ficha, sigue estos pasos:

Consola

En la Google Cloud consola, vaya a la página Compartir (Analytics Hub).

Ir a Compartir (Analytics Hub)
Haga clic en el nombre del intercambio de datos que contiene la ficha.
Haga clic en la ficha a la que quiera añadir usuarios.
Haz clic en Establecer permisos.
Para añadir principales, haz clic en Añadir principal.
En el campo Nuevos principales, añade los IDs de correo de la identidad a la que quieras conceder acceso.
En el menú Selecciona un rol, selecciona Centro de analíticas y, a continuación, selecciona uno de los siguientes roles de Gestión de Identidades y Accesos (IAM):
- Administrador de Analytics Hub
- Administrador de fichas de Analytics Hub
- Editor de Analytics Hub
- Suscriptor de Analytics Hub
- Propietario de la suscripción a Analytics Hub
- Lector de Analytics Hub
Haz clic en Guardar.

API

Lee la política actual con el método de lista getIamPolicy mediante el método projects.locations.dataExchanges.listings.getIamPolicy:
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID/listings/LISTING_ID:getIamPolicy
```
Haz los cambios siguientes:
- PROJECT_ID: el ID del proyecto (por ejemplo, my-project-1).
- LOCATION: la ubicación del intercambio de datos que contiene la ficha. Usa letras minúsculas.
- DATAEXCHANGE_ID: el ID de intercambio de datos.
- LISTING_ID: el ID de la ficha.
Al compartir, se devuelve la política actual.
Para añadir o eliminar miembros y sus roles de gestión de identidades y accesos (IAM) asociados, edita la política con un editor de texto. Utiliza el siguiente formato para añadir miembros:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
Por ejemplo, para asignar el rol roles/analyticshub.publisher a group:publishers@example.com, añade la siguiente vinculación a la política:
```
{
 "members": [
   "group:publishers@example.com"
 ],
 "role":"roles/analyticshub.publisher"
}
```
Escribe la política actualizada con el método projects.locations.dataExchanges.listings.setIamPolicy. En el cuerpo de la solicitud, proporciona la política de gestión de identidades y accesos actualizada del paso anterior.
```
POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATAEXCHANGE_ID/listings/LISTING-ID:setIamPolicy
```
En el cuerpo de la solicitud, proporciona los detalles de la ficha. Si la solicitud se realiza correctamente, el cuerpo de la respuesta contiene los detalles de la ficha.

Cuando concedas permisos a nivel de recurso, como en un anuncio, debes usar letras minúsculas en la parte de la ubicación del nombre del recurso. Si se usan valores en mayúsculas o con una combinación de mayúsculas y minúsculas, se pueden producir errores Permission Denied.

Uso: projects/myproject/locations/us/dataExchanges/123/listings/456
Qué debes evitar: projects/myproject/locations/US/dataExchanges/123/listings/456
Qué debes evitar: projects/myproject/locations/Eu/dataExchanges/123/listings/456

Puedes eliminar y actualizar los roles de una ficha a través del mismo panel de gestión de identidades y accesos, tal como se explica en los pasos anteriores.

Siguientes pasos

Consulta información sobre gestión de identidades y accesos.
Consulta información sobre los roles de gestión de identidades y accesos de BigQuery.
Consulta una lista de roles de gestión de identidades y accesos de Analytics Hub.
Consulta información sobre compartir.
Consulte cómo gestionar los intercambios de datos.
Consulta cómo gestionar fichas.
Consulte cómo ver y suscribirse a fichas.
Consulta información sobre el registro de auditoría de uso compartido.