Ruoli IAM di Data Catalog

Questo documento descrive i ruoli IAM (Identity and Access Management) che ti consentono di utilizzare Data Catalog per cercare e taggare le risorse Google Cloud.

Per una descrizione dettagliata di IAM e delle sue funzionalità, consulta la documentazione di IAM.

Terminologia IAM

Autorizzazioni
Verificato in fase di esecuzione per consentirti di eseguire un'operazione o accedere a una risorsa Google Cloud. Non ti vengono concesse autorizzazioni direttamente, ma ti vengono assegnati ruoli che contengono autorizzazioni.
Ruoli
Un ruolo è una raccolta predefinita di autorizzazioni. Sono consentiti anche i ruoli personalizzati costituiti da una raccolta personalizzata di autorizzazioni.

Visualizzare i ruoli di Data Catalog

  1. Nella console Google Cloud, vai alla pagina IAM e amministrazione > Ruoli.

    Vai a Ruoli.

  2. Nel campo Filtro, seleziona Utilizzato in, digita Data Catalog o Data Lineage e fai clic su Invio.

  3. Fai clic su un ruolo per visualizzarne le autorizzazioni nel riquadro a destra.

    Ad esempio, il ruolo Amministratore di Data Catalog ha accesso completo a tutte le risorse di Data Catalog.

Ruoli predefiniti di Data Catalog

Alcuni ruoli predefiniti di Data Catalog includono Data Catalog Admin, Data Catalog Viewer e Data Catalog TagTemplate Creator. Alcuni di questi ruoli sono descritti nelle sezioni successive.

Per un elenco e una descrizione dei ruoli predefiniti di Data Catalog e delle autorizzazioni associate a ciascun ruolo, consulta Ruoli di Data Catalog.

Ruolo Amministratore Data Catalog

Il ruolo roles/datacatalog.admin ha accesso a tutte le risorse di Data Catalog. Un amministratore di Data Catalog può aggiungere diversi tipi di utenti a un progetto Data Catalog.

Ruolo Data Steward di Data Catalog

Il ruolo roles/datacatalog.dataSteward ti consente di aggiungere, modificare o eliminare i responsabili dei dati e la panoramica del testo avanzato per una voce di dati, ad esempio una tabella BigQuery.

Ruolo Visualizzatore Data Catalog

Per semplificare l'accesso alle risorse Google Cloud, Data Catalog fornisce al ruolo roles/datacatalog.viewer l'autorizzazione di lettura dei metadati per tutte le risorse Google Cloud catalogate.

Questo ruolo concede anche le autorizzazioni per visualizzare i modelli e i tag di Data Catalog.

Concedi il ruolo Visualizzatore Data Catalog al tuo progetto per visualizzare le risorse Google Cloud in Data Catalog.

Ruolo Data Catalog TagTemplate Creator

Il ruolo roles/datacatalog.tagTemplateCreator ti consente di creare modelli di tag.

Ruolo Data Catalog Search Admin

Il ruolo roles/datacatalog.searchAdmin ti consente di recuperare, tramite ricerca, tutte le risorse Google Cloud catalogate all'interno di un progetto o di un'organizzazione.

Ruolo Data Catalog Migration Config Admin

Il ruolo roles/datacatalog.migrationConfigAdmin ti consente di impostare e recuperare la configurazione relativa alla migrazione delle risorse da Data Catalog a Dataplex Catalog.

Ruoli predefiniti per la concatenazione dei dati

Per accedere alla derivazione di qualsiasi voce di Data Catalog, devi avere accesso alla voce in Data Catalog. Per accedere alla voce del Data Catalog, devi disporre del ruolo visualizzatore per la corrispondente risorsa di sistema o del ruolo Visualizzatore di Data Catalog (roles/datacatalog.viewer) nel progetto che memorizza la voce del Data Catalog. Questa sezione descrive i ruoli necessari per visualizzare la sequenza.

Ruolo di visualizzatore della cronologia

Il ruolo Visualizzatore della struttura di dati (roles/datalineage.viewer) ti consente di visualizzare la struttura di Dataplex nella console Google Cloud e di leggere le informazioni sulla struttura utilizzando l'API Data Lineage. Le esecuzioni e gli eventi di un determinato processo sono tutti archiviati nello stesso progetto del processo. Nel caso della genealogia automatica, la procedura, le esecuzioni e gli eventi vengono archiviati nel progetto in cui è stato eseguito il job che ha generato la genealogia. Ad esempio, il progetto in cui è stato eseguito un job BigQuery.

Per visualizzare la linea di successione tra le risorse e i relativi metadati, sono necessari ruoli diversi. Per il primo, devi avere il ruolo Visualizzatore della struttura di dati (roles/datalineage.viewer). Per il secondo, devi avere gli stessi ruoli utilizzati per accedere alle voci dei metadati in Data Catalog.

Ruoli per visualizzare la linea di trasmissione tra due asset

Per visualizzare la sequenza tra gli asset, devi disporre del ruolo Visualizzatore Lineage Viewer (roles/datalineage.viewer) nei seguenti progetti:

  • Il progetto in cui stai visualizzando la sequenza (chiamato progetto attivo), ovvero il progetto nel menu a discesa nella parte superiore della console Google Cloud o il progetto da cui vengono effettuate le chiamate API. In genere, si tratta del progetto di risorsa Data Catalog.
  • I progetti in cui viene registrato il lignaggio (noti come progetti di calcolo). La cronologia viene archiviata nel progetto in cui è stata eseguita la procedura corrispondente, come descritto sopra. Questo progetto può essere diverso da quello che memorizza la risorsa di cui stai visualizzando la cronologia.

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso. Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

A seconda del caso d'uso, concedi il ruolo Visualizzatore della cronologia dei dati (roles/datalineage.viewer) a livello di cartella o organizzazione per garantire l'accesso alla cronologia (vedi Concedere o revocare un singolo ruolo). I ruoli richiesti per la struttura dei dati possono essere concessi solo tramite Google Cloud CLI.

Ruoli per visualizzare i metadati delle risorse quando si visualizza la cronologia

Quando i metadati di un asset sono archiviati in Data Catalog, puoi visualizzarli solo se disponi del ruolo Visualizzatore per la risorsa di sistema corrispondente o del ruolo Visualizzatore di Data Catalog (roles/datacatalog.viewer) nel progetto in cui è archiviata la voce di Data Catalog. Potresti avere accesso agli asset nell'elenco o nel grafico della struttura gerarchica tramite i ruoli di visualizzatore appropriati, ma non avere accesso alla struttura gerarchica tra di loro. Questo accade quando non disponi del ruolo Visualizzatore della struttura di dati (roles/datalineage.viewer) nel progetto in cui è stata registrata la struttura. In questo caso, l'API Data Lineage e la console Google Cloud non mostrano la cronologia e non restituiscono un errore per evitare la fuga di informazioni sull'esistenza della cronologia. Pertanto, l'assenza di una derivazione per una risorsa non significa che non esista alcuna derivazione per quella risorsa, ma che potresti non avere accesso a questa derivazione.

Ruolo Data Lineage Events Producer

Il ruolo roles/datalineage.producer consente agli utenti di registrare manualmente le informazioni sulla sequenza utilizzando l'API Data Lineage.

Ruolo Data Lineage Editor

Il ruolo roles/datalineage.editor consente agli utenti di modificare manualmente le informazioni sulla sequenza utilizzando l'API relativa alla sequenza dei dati.

Ruolo Data Lineage Administrator

Il ruolo roles/datalineage.admin consente agli utenti di eseguire tutte le operazioni sul lignaggio elencate in questa sezione.

Ruoli per visualizzare i tag pubblici e privati

Puoi cercare i tag pubblici utilizzando una ricerca semplice. Puoi visualizzare una voce di dati, inclusi i relativi tag pubblici, a condizione di disporre delle autorizzazioni necessarie per visualizzarla. Non sono necessarie autorizzazioni aggiuntive per il modello di tag. Per le autorizzazioni richieste per visualizzare la voce di dati, consulta la tabella in questa sezione.

Tuttavia, consigliamo di concedere l'autorizzazione datacatalog.tagTemplates.get anche agli utenti che dovrebbero cercare questi tag pubblici. Questa permission consente agli utenti di utilizzare anche il predicato di ricerca tag: o di utilizzare il facet di ricerca dei modelli di tag nella pagina di ricerca di Data Catalog.

Per i tag privati, devi disporre delle autorizzazioni di visualizzazione sia per il modello di tag sia per la voce di dati per cercare il tag e visualizzarlo nella pagina dei dettagli della voce. Gli utenti devono utilizzare il predicato di ricerca tag: o la frazione di ricerca del modello di tag per trovare i tag. La ricerca semplice dei tag privati non è supportata.

Tieni presente quanto segue:

  • L'autorizzazione di visualizzazione necessaria per il modello di tag privato è datacatalog.tagTemplates.getTag.

  • Le autorizzazioni di visualizzazione per la voce di dati sia per i tag pubblici che per quelli privati sono incluse nella tabella seguente.

Risorsa Autorizzazione Ruolo
Set di dati, tabelle, modelli, routine e connessioni BigQuery bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/datacatalog.tagTemplateViewer
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
Argomenti Pub/Sub pubsub.topics.get roles/datacatalog.tagTemplateViewer
roles/pubsub.viewer
Istanze, database, tabelle e visualizzazioni Spanner Instance: spanner.instances.get
Database:spanner.databases.get
Table: spanner.databases.get
Views: spanner.databases.get
datacatalog.tagTemplates.getTag
Non sono disponibili ruoli predefiniti.
Istanze e tabelle Bigtable bigtable.instances.get
bigtable.tables.get
datacatalog.tagTemplates.getTag
roles/datacatalog.tagTemplateViewer
roles/bigtable.viewer
Servizi, database e tabelle di Dataproc Metastore metastore.tables.get
metastore.databases.get
metastore.services.get
roles/datacatalog.tagTemplateViewer
roles/metastore.metadataViewer
Voci personalizzate datacatalog.entries.get Non sono disponibili ruoli predefiniti.

Ruoli per eseguire ricerche nelle risorse Google Cloud

Prima di cercare, scoprire o visualizzare le risorse Google Cloud, Data Catalog controlla che ti sia stato concesso un ruolo IAM con le autorizzazioni di lettura dei metadati richieste da BigQuery, Pub/Sub, Dataproc Metastore o da un altro sistema di origine per accedere alla risorsa.

Esempio: Data Catalog verifica che ti sia stato assegnato un ruolo con bigquery.tables.get permission prima di visualizzare i metadati della tabella BigQuery.

La tabella seguente elenca le autorizzazioni e i ruoli associati necessari per utilizzare Data Catalog per eseguire ricerche nelle risorse Google Cloud elencate.

Risorsa Autorizzazione Ruolo
Set di dati, tabelle, modelli, routine e connessioni BigQuery bigquery.datasets.get
bigquery.tables.get
bigquery.models.getMetadata
bigquery.routines.get
bigquery.connections.get
roles/bigquery.metadataViewer
roles/bigquery.connectionUser
Consulta anche il ruolo Visualizzatore di Data Catalog
Argomenti Pub/Sub pubsub.topics.get roles/pubsub.viewer
Consulta anche il ruolo Visualizzatore di Data Catalog
Database e tabelle Spanner Istanza: spanner.instances.get
Database: spanner.databases.get
Visualizzazioni: spanner.databases.get
Non sono disponibili ruoli predefiniti.
Istanze e tabelle Bigtable bigtable.instances.get
bigtable.tables.get
roles/bigtable.viewer
Consulta anche il ruolo Visualizzatore di Data Catalog
Lake, zone, tabelle e set di file Dataplex dataplex.lakes.get
dataplex.zones.get
dataplex.entities.get
dataplex.entities.get
Non sono disponibili ruoli predefiniti.
Servizi, database e tabelle di Dataproc Metastore metastore.tables.get
metastore.databases.get
metastore.services.get
roles/metastore.metadataViewer

Ruoli per associare tag alle risorse Google Cloud

Per allegare tag pubblici e privati alle risorse Google Cloud sono necessarie le stesse autorizzazioni.

Data Catalog consente agli utenti di estendere i metadati sulle risorse Google Cloud collegando tag. Uno o più tag che possono essere associati a una risorsa sono definiti in un modello di tag.

Quando un utente tenta di utilizzare il modello di tag per collegare un tag a una risorsa Google Cloud, Data Catalog verifica che tu disponga delle autorizzazioni necessarie per utilizzare il modello di tag e aggiornare i metadati della risorsa. Le autorizzazioni vengono concesse tramite i ruoli IAM, come mostrato nella tabella seguente.

La tabella seguente elenca le autorizzazioni e i ruoli associati necessari per consentire a un utente di utilizzare Data Catalog per associare tag pubblici e privati alle risorse Google Cloud elencate.

Ogni riga della tabella seguente elenca le autorizzazioni necessarie per taggare le risorse. I ruoli corrispondenti possono concedere autorizzazioni aggiuntive. Fai clic su ogni ruolo per visualizzare tutte le autorizzazioni associate.

Tieni presente quanto segue:

  • Il proprietario di una voce di dati dispone dell'autorizzazione datacatalog.entries.updateTag per impostazione predefinita. A tutti gli altri utenti deve essere concesso il ruolo datacatalog.tagEditor.

  • L'autorizzazione datacatalog.tagTemplates.use è necessaria anche per tutte le risorse elencate nella tabella.

Risorsa Autorizzazioni Ruolo
Set di dati, tabelle,
modelli, routine e
connessioni BigQuery
bigquery.datasets.updateTag
bigquery.tables.updateTag
bigquery.models.updateTag
bigquery.routines.updateTag
bigquery.connections.updateTag
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/bigquery.dataEditor
Argomenti Pub/Sub pubsub.topics.updateTag roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/pubsub.editor
Database e tabelle Spanner. Istanza: spanner.instances.UpdateTag
Database: spanner.databases.UpdateTag
Tabella: spanner.databases.UpdateTag
Visualizzazioni:spanner.databases.UpdateTag
Non sono disponibili ruoli predefiniti.
Istanze e tabelle Bigtable bigtable.instances.update
bigtable.tables.update
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/bigtable.admin
Lake, zone, tabelle e set di file Dataplex dataplex.lakes.update
dataplex.zones.update
dataplex.entities.update
dataplex.entities.update
Non sono disponibili ruoli predefiniti.
Servizi, database e tabelle di Dataproc Metastore metastore.tables.update
metastore.databases.update
metastore.services.update
roles/datacatalog.tagTemplateUser
roles/datacatalog.tagEditor
roles/metastore.editor
roles/metastore.metadataEditor

Ruoli personalizzati per le risorse Google Cloud

I ruoli di editor predefiniti per le voci di dati di altri sistemi Google Cloud potrebbero fornire un accesso in scrittura più ampio del necessario. Utilizza ruoli personalizzati per specificare le autorizzazioni*.updateTag solo per una risorsa Google Cloud.

Ruoli per modificare la panoramica del testo avanzato e gli steward dei dati in Data Catalog

Gli utenti devono disporre dei seguenti ruoli per allegare una panoramica in formato RTF e assegnare i responsabili dei dati alle voci in Data Catalog:

Risorsa Autorizzazioni Ruolo
Progetti Google Cloud datacatalog.entries.updateOverview
datacatalog.entries.updateContacts
roles/datacatalog.dataSteward

Ruoli per modificare la configurazione della migrazione in Data Catalog

Gli utenti devono disporre dei seguenti ruoli per impostare e recuperare la configurazione relativa alla migrazione da Data Catalog a Dataplex:

Risorsa Autorizzazioni Ruolo
Progetti e organizzazioni Google Cloud datacatalog.migrationConfig.set
datacatalog.migrationConfig.get
roles/datacatalog.migrationConfigAdmin

Federazione delle identità in Data Catalog

La federazione delle identità ti consente di utilizzare un provider di identità (IdP) esterno per autenticare e autorizzare gli utenti ai servizi Google Cloud con IAM.

Data Catalog supporta la federazione delle identità con i seguenti limiti:

Passaggi successivi