Questo documento descrive i ruoli IAM (Identity and Access Management) che ti consentono di utilizzare Data Catalog per cercare e taggare le risorse Google Cloud.
Per una descrizione dettagliata di IAM e delle sue funzionalità, consulta la documentazione di IAM.
Terminologia IAM
- Autorizzazioni
- Verificato in fase di esecuzione per consentirti di eseguire un'operazione o accedere a una risorsa Google Cloud. Non ti vengono concesse autorizzazioni direttamente, ma ti vengono assegnati ruoli che contengono autorizzazioni.
- Ruoli
- Un ruolo è una raccolta predefinita di autorizzazioni. Sono consentiti anche i ruoli personalizzati costituiti da una raccolta personalizzata di autorizzazioni.
Visualizzare i ruoli di Data Catalog
Nella console Google Cloud, vai alla pagina IAM e amministrazione > Ruoli.
Nel campo Filtro, seleziona Utilizzato in, digita
Data Catalog
oData Lineage
e fai clic su Invio.Fai clic su un ruolo per visualizzarne le autorizzazioni nel riquadro a destra.
Ad esempio, il ruolo Amministratore di Data Catalog ha accesso completo a tutte le risorse di Data Catalog.
Ruoli predefiniti di Data Catalog
Alcuni ruoli predefiniti di Data Catalog includono Data Catalog Admin, Data Catalog Viewer e Data Catalog TagTemplate Creator. Alcuni di questi ruoli sono descritti nelle sezioni successive.
Per un elenco e una descrizione dei ruoli predefiniti di Data Catalog e delle autorizzazioni associate a ciascun ruolo, consulta Ruoli di Data Catalog.
Ruolo Amministratore Data Catalog
Il ruolo roles/datacatalog.admin
ha accesso a tutte le risorse di Data Catalog. Un amministratore di Data Catalog può
aggiungere diversi tipi di utenti a un progetto Data Catalog.
Ruolo Data Steward di Data Catalog
Il ruolo roles/datacatalog.dataSteward
ti consente di aggiungere, modificare o eliminare i responsabili dei dati e la panoramica del testo avanzato per una voce di dati, ad esempio una tabella BigQuery.
Ruolo Visualizzatore Data Catalog
Per semplificare l'accesso alle risorse Google Cloud, Data Catalog fornisce al ruolo roles/datacatalog.viewer
l'autorizzazione di lettura dei metadati per tutte le risorse Google Cloud catalogate.
Questo ruolo concede anche le autorizzazioni per visualizzare i modelli e i tag di Data Catalog.
Concedi il ruolo Visualizzatore Data Catalog al tuo progetto per visualizzare le risorse Google Cloud in Data Catalog.
Ruolo Data Catalog TagTemplate Creator
Il ruolo roles/datacatalog.tagTemplateCreator
ti consente di creare modelli di tag.
Ruolo Data Catalog Search Admin
Il ruolo roles/datacatalog.searchAdmin
ti consente di recuperare, tramite ricerca, tutte le risorse Google Cloud catalogate all'interno di un progetto o di un'organizzazione.
Ruolo Data Catalog Migration Config Admin
Il ruolo roles/datacatalog.migrationConfigAdmin
ti consente di impostare e recuperare la configurazione relativa alla migrazione delle risorse da Data Catalog a Dataplex Catalog.
Ruoli predefiniti per la concatenazione dei dati
Per accedere alla derivazione di qualsiasi voce di Data Catalog, devi avere accesso alla voce in Data Catalog. Per accedere alla
voce del Data Catalog, devi disporre del ruolo visualizzatore per la corrispondente
risorsa di sistema o del ruolo
Visualizzatore di Data Catalog
(roles/datacatalog.viewer
) nel progetto che memorizza la
voce del Data Catalog. Questa sezione descrive i ruoli necessari per visualizzare la sequenza.
Ruolo di visualizzatore della cronologia
Il ruolo Visualizzatore della struttura di dati
(roles/datalineage.viewer
) ti consente di visualizzare la struttura di Dataplex
nella console Google Cloud e di leggere le informazioni sulla struttura utilizzando
l'API Data Lineage. Le esecuzioni e gli eventi di un determinato processo sono tutti archiviati nello stesso progetto del processo. Nel caso della genealogia automatica,
la procedura, le esecuzioni e gli eventi
vengono archiviati nel progetto in cui è stato eseguito il job che ha generato la genealogia. Ad esempio, il progetto in cui è stato eseguito un job BigQuery.
Per visualizzare la linea di successione tra le risorse e i relativi metadati, sono necessari ruoli diversi. Per il primo, devi avere il ruolo Visualizzatore della struttura di dati (roles/datalineage.viewer
). Per il secondo, devi avere gli stessi ruoli utilizzati per accedere alle voci dei metadati in Data Catalog.
Ruoli per visualizzare la linea di trasmissione tra due asset
Per visualizzare la sequenza tra gli asset, devi disporre del
ruolo Visualizzatore Lineage Viewer (roles/datalineage.viewer
)
nei seguenti progetti:
- Il progetto in cui stai visualizzando la sequenza (chiamato progetto attivo), ovvero il progetto nel menu a discesa nella parte superiore della console Google Cloud o il progetto da cui vengono effettuate le chiamate API. In genere, si tratta del progetto di risorsa Data Catalog.
- I progetti in cui viene registrato il lignaggio (noti come progetti di calcolo). La cronologia viene archiviata nel progetto in cui è stata eseguita la procedura corrispondente, come descritto sopra. Questo progetto può essere diverso da quello che memorizza la risorsa di cui stai visualizzando la cronologia.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso. Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
A seconda del caso d'uso, concedi il ruolo Visualizzatore della cronologia dei dati (roles/datalineage.viewer
)
a livello di cartella o organizzazione per garantire l'accesso alla cronologia (vedi Concedere o revocare un singolo ruolo).
I ruoli richiesti per la struttura dei dati possono essere concessi solo tramite
Google Cloud CLI.
Ruoli per visualizzare i metadati delle risorse quando si visualizza la cronologia
Quando i metadati di un asset sono archiviati in Data Catalog, puoi visualizzarli solo se disponi del ruolo Visualizzatore per la risorsa di sistema corrispondente o del ruolo Visualizzatore di Data Catalog (roles/datacatalog.viewer
) nel progetto in cui è archiviata la voce di Data Catalog. Potresti avere accesso agli asset nell'elenco o nel grafico della struttura gerarchica tramite i ruoli di visualizzatore appropriati, ma non avere accesso alla struttura gerarchica tra di loro. Questo accade quando non disponi del ruolo Visualizzatore della struttura di dati (roles/datalineage.viewer
) nel progetto in cui è stata registrata la struttura. In questo caso, l'API Data Lineage e la console Google Cloud non mostrano la cronologia e non restituiscono un errore per evitare la fuga di informazioni sull'esistenza della cronologia. Pertanto, l'assenza di una derivazione per una risorsa non significa che non esista
alcuna derivazione per quella risorsa, ma che potresti non avere accesso a questa derivazione.
Ruolo Data Lineage Events Producer
Il ruolo roles/datalineage.producer
consente agli utenti di registrare manualmente le informazioni sulla sequenza utilizzando l'API Data Lineage.
Ruolo Data Lineage Editor
Il ruolo roles/datalineage.editor
consente agli utenti di modificare manualmente le informazioni sulla sequenza utilizzando l'API relativa alla sequenza dei dati.
Ruolo Data Lineage Administrator
Il ruolo roles/datalineage.admin
consente agli utenti di eseguire tutte le operazioni sul lignaggio elencate in questa sezione.
Ruoli per visualizzare i tag pubblici e privati
Puoi cercare i tag pubblici utilizzando una ricerca semplice. Puoi visualizzare una voce di dati, inclusi i relativi tag pubblici, a condizione di disporre delle autorizzazioni necessarie per visualizzarla. Non sono necessarie autorizzazioni aggiuntive per il modello di tag. Per le autorizzazioni richieste per visualizzare la voce di dati, consulta la tabella in questa sezione.
Tuttavia, consigliamo di concedere l'autorizzazione datacatalog.tagTemplates.get
anche agli utenti che dovrebbero cercare questi tag pubblici. Questa permission consente agli utenti di utilizzare anche il predicato di ricerca tag: o di utilizzare il facet di ricerca dei modelli di tag nella pagina di ricerca di Data Catalog.
Per i tag privati, devi disporre delle autorizzazioni di visualizzazione sia per il modello di tag sia per la voce di dati per cercare il tag e visualizzarlo nella pagina dei dettagli della voce. Gli utenti devono utilizzare il predicato di ricerca tag: o la frazione di ricerca del modello di tag per trovare i tag. La ricerca semplice dei tag privati non è supportata.
Tieni presente quanto segue:
L'autorizzazione di visualizzazione necessaria per il modello di tag privato è
datacatalog.tagTemplates.getTag
.Le autorizzazioni di visualizzazione per la voce di dati sia per i tag pubblici che per quelli privati sono incluse nella tabella seguente.
Risorsa | Autorizzazione | Ruolo |
---|---|---|
Set di dati, tabelle, modelli, routine e connessioni BigQuery | bigquery.datasets.get bigquery.tables.get bigquery.models.getMetadata bigquery.routines.get bigquery.connections.get |
roles/datacatalog.tagTemplateViewer roles/bigquery.metadataViewer roles/bigquery.connectionUser |
Argomenti Pub/Sub | pubsub.topics.get |
roles/datacatalog.tagTemplateViewer roles/pubsub.viewer |
Istanze, database, tabelle e visualizzazioni Spanner | Instance: spanner.instances.get Database:spanner.databases.get Table: spanner.databases.get Views: spanner.databases.get datacatalog.tagTemplates.getTag |
Non sono disponibili ruoli predefiniti. |
Istanze e tabelle Bigtable | bigtable.instances.get bigtable.tables.get datacatalog.tagTemplates.getTag |
roles/datacatalog.tagTemplateViewer roles/bigtable.viewer |
Servizi, database e tabelle di Dataproc Metastore | metastore.tables.get metastore.databases.get metastore.services.get |
roles/datacatalog.tagTemplateViewer roles/metastore.metadataViewer |
Voci personalizzate | datacatalog.entries.get |
Non sono disponibili ruoli predefiniti. |
Ruoli per eseguire ricerche nelle risorse Google Cloud
Prima di cercare, scoprire o visualizzare le risorse Google Cloud, Data Catalog controlla che ti sia stato concesso un ruolo IAM con le autorizzazioni di lettura dei metadati richieste da BigQuery, Pub/Sub, Dataproc Metastore o da un altro sistema di origine per accedere alla risorsa.
Esempio: Data Catalog verifica che ti sia stato assegnato un ruolo con bigquery.tables.get permission
prima di visualizzare i metadati della tabella BigQuery.
La tabella seguente elenca le autorizzazioni e i ruoli associati necessari per utilizzare Data Catalog per eseguire ricerche nelle risorse Google Cloud elencate.
Risorsa | Autorizzazione | Ruolo |
---|---|---|
Set di dati, tabelle, modelli, routine e connessioni BigQuery | bigquery.datasets.get bigquery.tables.get bigquery.models.getMetadata bigquery.routines.get bigquery.connections.get |
roles/bigquery.metadataViewer roles/bigquery.connectionUser Consulta anche il ruolo Visualizzatore di Data Catalog |
Argomenti Pub/Sub | pubsub.topics.get |
roles/pubsub.viewer Consulta anche il ruolo Visualizzatore di Data Catalog |
Database e tabelle Spanner | Istanza: spanner.instances.get Database: spanner.databases.get Visualizzazioni: spanner.databases.get |
Non sono disponibili ruoli predefiniti. |
Istanze e tabelle Bigtable | bigtable.instances.get bigtable.tables.get |
roles/bigtable.viewer Consulta anche il ruolo Visualizzatore di Data Catalog |
Lake, zone, tabelle e set di file Dataplex | dataplex.lakes.get dataplex.zones.get dataplex.entities.get dataplex.entities.get |
Non sono disponibili ruoli predefiniti. |
Servizi, database e tabelle di Dataproc Metastore | metastore.tables.get metastore.databases.get metastore.services.get |
roles/metastore.metadataViewer |
Ruoli per associare tag alle risorse Google Cloud
Per allegare tag pubblici e privati alle risorse Google Cloud sono necessarie le stesse autorizzazioni.
Data Catalog consente agli utenti di estendere i metadati sulle risorse Google Cloud collegando tag. Uno o più tag che possono essere associati a una risorsa sono definiti in un modello di tag.
Quando un utente tenta di utilizzare il modello di tag per collegare un tag a una risorsa Google Cloud, Data Catalog verifica che tu disponga delle autorizzazioni necessarie per utilizzare il modello di tag e aggiornare i metadati della risorsa. Le autorizzazioni vengono concesse tramite i ruoli IAM, come mostrato nella tabella seguente.
La tabella seguente elenca le autorizzazioni e i ruoli associati necessari per consentire a un utente di utilizzare Data Catalog per associare tag pubblici e privati alle risorse Google Cloud elencate.
Ogni riga della tabella seguente elenca le autorizzazioni necessarie per taggare le risorse. I ruoli corrispondenti possono concedere autorizzazioni aggiuntive. Fai clic su ogni ruolo per visualizzare tutte le autorizzazioni associate.
Tieni presente quanto segue:
Il proprietario di una voce di dati dispone dell'autorizzazione
datacatalog.entries.updateTag
per impostazione predefinita. A tutti gli altri utenti deve essere concesso il ruolo datacatalog.tagEditor.L'autorizzazione
datacatalog.tagTemplates.use
è necessaria anche per tutte le risorse elencate nella tabella.
Risorsa | Autorizzazioni | Ruolo |
---|---|---|
Set di dati, tabelle, modelli, routine e connessioni BigQuery |
bigquery.datasets.updateTag bigquery.tables.updateTag bigquery.models.updateTag bigquery.routines.updateTag bigquery.connections.updateTag |
roles/datacatalog.tagTemplateUser roles/datacatalog.tagEditor roles/bigquery.dataEditor |
Argomenti Pub/Sub | pubsub.topics.updateTag |
roles/datacatalog.tagTemplateUser roles/datacatalog.tagEditor roles/pubsub.editor |
Database e tabelle Spanner. | Istanza: spanner.instances.UpdateTag Database: spanner.databases.UpdateTag Tabella: spanner.databases.UpdateTag Visualizzazioni: spanner.databases.UpdateTag |
Non sono disponibili ruoli predefiniti. |
Istanze e tabelle Bigtable | bigtable.instances.update bigtable.tables.update |
roles/datacatalog.tagTemplateUser roles/datacatalog.tagEditor roles/bigtable.admin |
Lake, zone, tabelle e set di file Dataplex | dataplex.lakes.update dataplex.zones.update dataplex.entities.update dataplex.entities.update |
Non sono disponibili ruoli predefiniti. |
Servizi, database e tabelle di Dataproc Metastore | metastore.tables.update metastore.databases.update metastore.services.update |
roles/datacatalog.tagTemplateUser roles/datacatalog.tagEditor roles/metastore.editor roles/metastore.metadataEditor |
Ruoli personalizzati per le risorse Google Cloud
I ruoli di editor predefiniti per le voci di dati di altri sistemi Google Cloud
potrebbero fornire un accesso in scrittura più ampio del necessario. Utilizza
ruoli personalizzati per specificare
le autorizzazioni*.updateTag
solo per una risorsa Google Cloud.
Ruoli per modificare la panoramica del testo avanzato e gli steward dei dati in Data Catalog
Gli utenti devono disporre dei seguenti ruoli per allegare una panoramica in formato RTF e assegnare i responsabili dei dati alle voci in Data Catalog:
Risorsa | Autorizzazioni | Ruolo |
---|---|---|
Progetti Google Cloud | datacatalog.entries.updateOverview datacatalog.entries.updateContacts |
roles/datacatalog.dataSteward |
Ruoli per modificare la configurazione della migrazione in Data Catalog
Gli utenti devono disporre dei seguenti ruoli per impostare e recuperare la configurazione relativa alla migrazione da Data Catalog a Dataplex:
Risorsa | Autorizzazioni | Ruolo |
---|---|---|
Progetti e organizzazioni Google Cloud | datacatalog.migrationConfig.set datacatalog.migrationConfig.get |
roles/datacatalog.migrationConfigAdmin |
Federazione delle identità in Data Catalog
La federazione delle identità ti consente di utilizzare un provider di identità (IdP) esterno per autenticare e autorizzare gli utenti ai servizi Google Cloud con IAM.
Data Catalog supporta la federazione delle identità con i seguenti limiti:
- I metodi SearchCatalog e StarEntry dell'API Data Catalog supportano solo la federazione delle identità della forza lavoro e non sono disponibili per la federazione delle identità del workload
- Dataplex non supporta la console Google Cloud per gli utenti della federazione delle identità
Passaggi successivi
- Scopri come creare ruoli IAM personalizzati.
- Scopri come concedere e gestire i ruoli.
- Scopri di più sui ruoli IAM di Dataplex.
- Scopri di più sul controllo dell'accesso di BigQuery.
- Scopri di più sul controllo dell'accesso Pub/Sub.
- Scopri di più sul controllo dell'accesso di Dataproc Metastore.