En este documento, se describen los roles de Identity and Access Management (IAM) que permiten usar Data Catalog para buscar y etiquetar Google Cloud de Google Cloud.
Terminología de IAM
- Permisos
- Se verifica en el tiempo de ejecución para que puedas realizar una operación o acceder un recurso de Google Cloud. No se te otorgan permisos directamente, pero en su lugar, se les otorgan roles que contienen permisos.
- Funciones
- Una función es una colección predefinida de permisos. Roles personalizados, que consisten de una colección personalizada de permisos.
Visualiza los roles de Data Catalog
En la consola de Google Cloud, sigue estos pasos:
Dirígete a la pestaña IAM y Administrador > Roles.
En el campo Filtro, selecciona Se usa en, escribe
Data CatalogoData Lineage, y haz clic en Intro.Haz clic en un rol para ver sus permisos en el panel de la derecha.
Por ejemplo, el rol Administrador de Data Catalog tiene acceso completo a todos Recursos de Data Catalog.
Roles predefinidos de Data Catalog
Algunos roles predefinidos de Data Catalog incluyen el de Administrador, visualizador de Data Catalog y creador de TagTemplate de Data Catalog. Algunos de estos roles se describen en las secciones posteriores.
Para obtener una lista y una descripción de los roles predefinidos de Data Catalog y los permisos asociados con cada rol, consulta Roles de Data Catalog.
Rol Administrador de Data Catalog
El rol roles/datacatalog.admin tiene acceso a todos los
Recursos de Data Catalog. Un administrador de Data Catalog
Agregar diferentes tipos de usuarios a un proyecto de Data Catalog
Rol de administrador de datos de Data Catalog
El rol roles/datacatalog.dataSteward te permite agregar, editar o
borrar los administradores de datos y la descripción general de texto enriquecido para una entrada de datos, como una
en la tabla de BigQuery.
Función de visualizador de Data Catalog
Para simplificar el acceso a los recursos de Google Cloud,
Data Catalog proporciona el rol roles/datacatalog.viewer con
permiso de lectura de metadatos para todos los recursos catalogados de Google Cloud.
Este rol también otorga los permisos para ver la etiqueta de Data Catalog plantillas y etiquetas.
Otorga el rol Visualizador de Data Catalog en tu proyecto para ver Google Cloud en Data Catalog.
Función de creador de TagTemplate de Data Catalog.
El rol roles/datacatalog.tagTemplateCreator te permite crear plantillas de etiquetas.
Rol de administrador de búsqueda de Data Catalog
El rol roles/datacatalog.searchAdmin te permite recuperar, a través de la búsqueda,
todos los recursos catalogados de Google Cloud dentro de un proyecto o una organización.
Rol Administrador de la configuración de migración de Data Catalog
El rol roles/datacatalog.migrationConfigAdmin te permite configurar y recuperar
configuración relacionada con la migración de recursos
Data Catalog en Dataplex Catalog
Roles predefinidos del linaje de datos
Para acceder al linaje de cualquier entrada de Data Catalog, debes hacer lo siguiente:
acceso a la entrada en Data Catalog. Para acceder a la
una entrada de Data Catalog, necesitas un rol de visualizador en la
recurso del sistema o
Visualizador de Data Catalog
(roles/datacatalog.viewer) en el proyecto que almacena
Entrada de Data Catalog En esta sección, se describen los roles necesarios
para ver el linaje.
Rol de visualizador de linaje
El Visualizador de linaje de datos
(roles/datalineage.viewer) te permite ver Dataplex
en la consola de Google Cloud y leer información de linaje usando
la API de Data Lineage. El
ejecuciones, y los eventos para un proceso determinado se almacenan en el mismo proyecto que el
el proceso de administración de recursos. En el caso del linaje automatizado,
el proceso, las ejecuciones y los eventos
se almacenan en el proyecto en el que el trabajo que generó el linaje se
en ejecución. Podría ser, por ejemplo, el proyecto en el que se creó un trabajo de BigQuery
en ejecución.
Necesitas distintos roles para visualizar el linaje entre recursos y para ver los metadatos
de los recursos. Para lo primero, necesitas Data Lineage Viewer (roles/datalineage.viewer).
Para esta última, necesitas los mismos roles que se usan para acceder a las entradas de metadatos
de Data Catalog. Las siguientes dos subsecciones proporcionan más
en detalle.
Roles para ver el linaje entre dos recursos
Para ver el linaje entre recursos, necesitas el rol Visualizador de linaje de datos (roles/datalineage.viewer)
en los siguientes proyectos:
- El proyecto en el que visualizas el linaje (conocido como proyecto activo) que es el proyecto en el menú desplegable de la parte superior de la consola de Google Cloud el proyecto desde el que se realizan las llamadas a la API. Normalmente, esta sería Proyecto de recursos de Data Catalog.
- Los proyectos en los que se registra el linaje (conocidos como proyecto de procesamiento). El linaje se almacena en el proyecto en el que se ejecutado, tal como se describió anteriormente. Este proyecto puede ser diferente del proyecto que almacena el recurso para el que estás viendo el linaje.
Si quieres obtener más información para otorgar roles, consulta Administra el acceso. Es posible que también puedas obtener los permisos necesarios roles personalizados y otros roles predefinidos.
Según el caso de uso, otorga el permiso Data lineage Viewer (roles/datalineage.viewer)
rol a nivel de la organización o la carpeta para garantizar el acceso al linaje (consulta Otorga o revoca un solo rol).
Los roles necesarios para el linaje de datos se pueden otorgar solo a través de
con Google Cloud CLI.
Roles para ver los metadatos del activo cuando se visualiza el linaje
Cuando se almacenan metadatos sobre un recurso en Data Catalog, solo
Puedes ver esos metadatos si tienes un rol de visualizador en el recurso del sistema correspondiente.
o Visualizador de Data Catalog (roles/datacatalog.viewer)
del proyecto en el que está almacenada la entrada de Data Catalog. Tú
puedan tener acceso a los recursos en el gráfico del linaje o en la lista mediante
de visualizador, pero no tiene acceso al linaje entre ellos. Esto sucede cuando
No tienes el rol Visualizador de linaje de datos (roles/datalineage.viewer).
del proyecto en el que se registró el linaje. En este caso, el
La API de Data Lineage y la consola de Google Cloud no muestran el linaje ni
no devuelve un error, para evitar que se filtre información sobre la existencia de
y el linaje de datos. Por lo tanto, la ausencia de linaje para un recurso no significa que haya
sin linaje para ese recurso, pero es posible que no tengas acceso a él.
Rol de productor de eventos de linaje de datos
El rol roles/datalineage.producer permite a los usuarios registrar el linaje de forma manual
con la API de Data Lineage.
Rol de editor de linaje de datos
El rol roles/datalineage.editor permite a los usuarios modificar el linaje de forma manual
con la API de Data Lineage.
Rol de administrador de linaje de datos
El rol roles/datalineage.admin permite a los usuarios realizar todas las operaciones de linaje
que se indican en esta sección.
Roles para ver las etiquetas públicas y privadas
Puedes buscar etiquetas públicas mediante una búsqueda simple. Puedes ver una entrada de datos, incluidas sus etiquetas públicas, siempre y cuando tengas los permisos necesarios para ver la entrada de los datos. No se requieren permisos adicionales en la plantilla de la etiqueta. Para los permisos necesarios para ver la entrada de datos, consulta la tabla de esta sección.
Sin embargo, te recomendamos que también otorgues datacatalog.tagTemplates.get.
permiso a los usuarios que se espera que busquen estas etiquetas públicas. Esta
permite a los usuarios usar también el predicado de búsqueda tag: o usar
La faceta de búsqueda de la plantilla de etiqueta en la página de búsqueda de Data Catalog
Para las etiquetas privadas, necesitas permisos de lectura tanto en la plantilla de etiqueta como en para buscar la etiqueta y verla en la página de detalles de la entrada. Los usuarios deben usar el predicado de búsqueda tag: o la faceta de búsqueda de la plantilla de etiqueta. encontrar las etiquetas; no se admite la búsqueda simple de etiquetas privadas.
Notas:
El permiso de lectura necesario en la plantilla de etiqueta privada es
datacatalog.tagTemplates.getTagLos permisos de lectura en la entrada de datos para las etiquetas públicas y privadas se incluye en la siguiente tabla.
| Recurso | Permiso | Función |
|---|---|---|
| Conjuntos de datos, tablas, modelos, rutinas y conexiones de BigQuery | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/datacatalog.tagTemplateViewerroles/bigquery.metadataViewerroles/bigquery.connectionUser |
| Temas de Pub/Sub | pubsub.topics.get |
roles/datacatalog.tagTemplateViewerroles/pubsub.viewer |
| Instancias, bases de datos, tablas y vistas de Spanner | Instance: spanner.instances.getDatabase:spanner.databases.getTable: spanner.databases.getViews: spanner.databases.getdatacatalog.tagTemplates.getTag |
No hay roles predefinidos disponibles. |
| Instancias y tablas de Bigtable | bigtable.instances.getbigtable.tables.getdatacatalog.tagTemplates.getTag |
roles/datacatalog.tagTemplateViewerroles/bigtable.viewer |
| Servicios, base de datos y tablas de Dataproc Metastore | metastore.tables.getmetastore.databases.getmetastore.services.get |
roles/datacatalog.tagTemplateViewerroles/metastore.metadataViewer |
| Entradas personalizadas | datacatalog.entries.get |
No hay roles predefinidos disponibles. |
Roles para buscar recursos de Google Cloud
Antes de buscar, descubrir o mostrar recursos de Google Cloud, Data Catalog verifica que se te haya otorgado un de IAM con los permisos de lectura de metadatos que requiere BigQuery, Pub/Sub, Dataproc Metastore o algún otro sistema de origen para acceder al recurso.
Ejemplo: Verificaciones de Data Catalog que se te otorgaron
un rol con bigquery.tables.get permission antes de mostrar
Metadatos de la tabla de BigQuery.
En la siguiente tabla, se enumeran los permisos y los roles asociados necesarios para usar Data Catalog para buscar en los recursos enumerados de Google Cloud de Google Cloud.
| Recurso | Permiso | Función |
|---|---|---|
| Conjuntos de datos, tablas, modelos, rutinas y conexiones de BigQuery | bigquery.datasets.getbigquery.tables.getbigquery.models.getMetadatabigquery.routines.getbigquery.connections.get |
roles/bigquery.metadataViewerroles/bigquery.connectionUserConsulta también el rol Visualizador de Data Catalog |
| Temas de Pub/Sub | pubsub.topics.get |
roles/pubsub.viewerConsulta también el rol de visualizador de Data Catalog |
| Tablas y bases de datos de Spanner | Instancia: spanner.instances.getBase de datos: spanner.databases.getVistas: spanner.databases.get |
No hay roles predefinidos disponibles. |
| Instancias y tablas de Bigtable | bigtable.instances.getbigtable.tables.get |
roles/bigtable.viewerConsulta también el rol de visualizador de Data Catalog |
| Lakes, zonas, tablas y conjuntos de archivos de Dataplex | dataplex.lakes.getdataplex.zones.get dataplex.entities.getdataplex.entities.get |
No hay roles predefinidos disponibles. |
| Servicios, base de datos y tablas de Dataproc Metastore | metastore.tables.getmetastore.databases.get metastore.services.get |
roles/metastore.metadataViewer |
Roles para adjuntar etiquetas a los recursos de Google Cloud
Se requieren los mismos permisos para adjuntar etiquetas públicas y privadas a los recursos de Google Cloud.
Data Catalog permite a los usuarios extender los metadatos en Google Cloud. recursos adjuntando etiquetas. Se definieron una o más etiquetas que se pueden adjuntar a un recurso en una plantilla de etiqueta.
Cuando un usuario intenta usar la plantilla de etiqueta para adjuntar una etiqueta a una recurso de Google Cloud, Data Catalog verifica que tengas tener los permisos necesarios para usar la plantilla de etiqueta y actualizar el recurso metadatos. Los permisos se otorgan a través de roles de IAM, como se muestra a continuación desde una tabla de particiones.
La siguiente tabla muestra los permisos y los roles asociados necesarios para un usuario debe usar Data Catalog para adjuntar etiquetas públicas y privadas a los recursos enumerados de Google Cloud.
Cada fila de la siguiente tabla enumera los permisos necesarios para etiquetar recursos. Las funciones correspondientes pueden otorgar permisos adicionales. Haga clic en cada función para ver todos los permisos asociados.
Notas:
El propietario de una entrada de datos tiene el permiso
datacatalog.entries.updateTagde forma predeterminada. A todos los demás usuarios se les debe otorgar el rol datacatalog.tagEditor. en el área de la seguridad en la nube.El permiso
datacatalog.tagTemplates.usetambién es obligatorio para todos de recursos enumerados en la tabla.
| Recurso | Permisos | Rol |
|---|---|---|
| Conjuntos de datos, tablas, modelos, rutinas y conexiones de BigQuery |
bigquery.datasets.updateTagbigquery.tables.updateTagbigquery.models.updateTagbigquery.routines.updateTagbigquery.connections.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigquery.dataEditor |
| Temas de Pub/Sub | pubsub.topics.updateTag |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/pubsub.editor |
| Tablas y bases de datos de Spanner | Instancia: spanner.instances.UpdateTagBase de datos: spanner.databases.UpdateTagTabla: spanner.databases.UpdateTagVistas: spanner.databases.UpdateTag |
No hay roles predefinidos disponibles. |
| Instancias y tablas de Bigtable | bigtable.instances.updatebigtable.tables.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/bigtable.admin |
| Lakes, zonas, tablas y conjuntos de archivos de Dataplex | dataplex.lakes.updatedataplex.zones.update dataplex.entities.updatedataplex.entities.update |
No hay roles predefinidos disponibles. |
| Servicios, base de datos y tablas de Dataproc Metastore | metastore.tables.updatemetastore.databases.update metastore.services.update |
roles/datacatalog.tagTemplateUserroles/datacatalog.tagEditorroles/metastore.editorroles/metastore.metadataEditor |
Roles personalizados para los recursos de Google Cloud
Roles de editor predefinidos para entradas de datos de otros sistemas de Google Cloud
podría proporcionar un acceso de escritura más amplio
que el necesario. Usa
roles personalizados para especificar
*.updateTag solo en un recurso de Google Cloud.
Roles para modificar la descripción general de texto enriquecido y los administradores de datos en Data Catalog
Los usuarios necesitan los siguientes roles para adjuntar una descripción general de texto enriquecido y asignar datos administradores a las entradas de Data Catalog:
| Recurso | Permisos | Rol |
|---|---|---|
| Proyectos de Google Cloud | datacatalog.entries.updateOverview datacatalog.entries.updateContacts |
roles/datacatalog.dataSteward |
Roles para modificar la configuración de migración en Data Catalog
Los usuarios necesitan los siguientes roles para establecer y recuperar parámetros de configuración relacionados con Migración de Data Catalog a Dataplex:
| Recurso | Permisos | Rol |
|---|---|---|
| Proyectos y organizaciones de Google Cloud | datacatalog.migrationConfig.set datacatalog.migrationConfig.get |
roles/datacatalog.migrationConfigAdmin |
Federación de identidades en Data Catalog
La federación de identidades te permite usar un proveedor de identidad (IdP) externo para autenticar y autorizar usuarios a los servicios de Google Cloud con IAM.
Data Catalog admite la federación de identidades con lo siguiente: limitaciones:
- API de Data Catalog SearchCatalog y StarEntry admiten solo la federación de identidades de personal y no están disponibles para la federación de identidades para cargas de trabajo.
- Dataplex no es compatible con la consola de Google Cloud para los usuarios de federación de identidades
Más información
- Roles de Dataplex
- Funciones de Data Catalog
- Control de acceso de BigQuery
- Control de acceso de Pub/Sub
- Control de acceso de Dataproc Metastore