Dataplex Universal Catalog Attribute Store verwenden

In diesem Dokument wird beschrieben, wie Sie den Attributspeicher des Dataplex Universal Catalog verwenden.

Von Attribute Store zu Tags und IAM-Bedingungen migrieren

Wenn Sie von Attribute Store migrieren möchten, ersetzen Sie die Funktionen von Attribute Store durch Tags, Richtlinien-Tags und IAM-Bedingungen.

• Gehen Sie für BigQuery-Datasets und ‑Tabellen so vor:

  1. Erstellen Sie ein Tag, das das Dataplex Universal Catalog-Attribut repliziert. Weitere Informationen finden Sie unter Neues Tag erstellen und definieren.
  2. Hängen Sie das Tag an das BigQuery-Dataset oder die BigQuery-Tabelle an. Weitere Informationen finden Sie unter Tags an ein vorhandenes Dataset anhängen und Tags an eine vorhandene Tabelle anhängen.
  3. Erstellen Sie eine IAM-Bedingung, um den Zugriff auf das Dataset oder die Tabelle basierend auf dem Tag zu verwalten. Weitere Informationen finden Sie unter Zugriff mit IAM-Bedingungen steuern.

• Gehen Sie für BigQuery-Spalten so vor:

  1. Erstellen Sie in BigQuery ein Richtlinien-Tag, das das Attribut des Dataplex Universal Catalog repliziert.
  2. Legen Sie das Richtlinien-Tag für die Spalte fest.
  3. Verwenden Sie das Richtlinien-Tag, um den Zugriff auf die Spalte mithilfe der Zugriffssteuerung auf Spaltenebene oder der dynamischen Datenmaskierung zu verwalten.

  Weitere Informationen finden Sie unter Einführung in die Zugriffssteuerung auf Spaltenebene und Zugriffssteuerung auf Spaltenebene einrichten.

Attributspeicher – Übersicht

Der Attributspeicher von Dataplex Universal Catalog ist eine erweiterbare Infrastruktur, mit der Sie richtlinienbezogene Verhaltensweisen für die zugehörigen Ressourcen festlegen können. Dataplex Universal Catalog-Administratoren können mit dem Attributspeicher definieren, wie bestimmte Daten behandelt werden sollen, indem sie Daten Attributen zuordnen.

Mit Attribute Store können Sie einem Objekt, z. B. einer Spalte, mehrere Attribute hinzufügen. Im Attributspeicher werden die Verhaltensweisen aller Attribute, die einem Objekt zugeordnet sind, zusammengeführt und als einzelne Richtlinie für die zugrunde liegende Ressource dargestellt.

Sie können Attribute für veröffentlichte Datasets festlegen. Veröffentlichte Datasets beziehen sich auf die Datasets, die von Dataplex Universal Catalog aus den erkannten Tabellen in einem Bucket-Asset erstellt wurden.

Die folgenden Richtlinienverhaltensweisen werden unterstützt:

• Ressourcenspezifikationen: Gibt den Zugriff auf eine Ressource an, z. B. eine Tabelle.
• Spaltenspezifikationen: Gibt den Zugriff auf eine Spalte in einer BigQuery-Tabelle an.

Mit dem Attributspeicher können Sie eine Attributhierarchie definieren, die als Taxonomie bezeichnet wird. In einer Taxonomie übernimmt ein untergeordnetes Attribut Spezifikationen aus der Hierarchie der übergeordneten Attribute. Spezifikationen des übergeordneten und des untergeordneten Elements werden in einer einheitlichen Liste zusammengeführt, die an die Ressource weitergegeben wird.

Mit dem Attributspeicher von Dataplex Universal Catalog haben Sie folgende Möglichkeiten:

• Taxonomien erstellen
• Attribute erstellen und in einer Hierarchie organisieren
• Tabellen ein oder mehrere Attribute zuordnen
• Weisen Sie Spalten ein oder mehrere Attribute zu.

Terminologie

In diesem Abschnitt wird die in diesem Dokument verwendete Terminologie beschrieben.

Attributtaxonomie

Eine Datentaxonomie ist eine Hierarchie von Attributen. In einer Taxonomie können untergeordnete Attribute (Child Attributes) die Verhaltensspezifikationen übergeordneter Attribute (Parent Attributes) übernehmen und zu ihren eigenen hinzufügen.

Beispiel: Wenn ein Attribut mit dem Namen PII die Ressourcenspezifikation group-a@company.com hat und ein untergeordnetes Attribut von PII mit dem Namen Social Security numbers die Ressourcenspezifikation group-b@company.com hat, sind die auf die Richtlinien angewendeten Ressourcenspezifikationen, denen das Attribut Social Security numbers zugeordnet ist, group-a@company.com und group-b@company.com.

Wenn Sie ein Attribut definieren, können Sie auswählen, ob es sich um ein übergeordnetes oder ein untergeordnetes Attribut handelt. Wenn Sie ein untergeordnetes Attribut definieren, müssen Sie das übergeordnete Attribut angeben.

Spaltenspezifikationen

Die Verhaltensspezifikationen für Spalten. Gibt Personen oder Gruppen an, die Lesezugriff auf Spalten haben. Wenn Sie ein Attribut, das eine Spaltenspezifikation enthält, mit einer Spalte einer Tabelle verknüpfen, wird dieser Spalte ein BigQuery-Richtlinien-Tag für Spalten hinzugefügt.

Ressourcenspezifikationen

Die Berechtigungen für Personen oder Gruppen, auf Ressourcen (Tabellen) zuzugreifen. Wenn Sie ein Attribut mit einer Ressourcenspezifikation verknüpfen, werden IAM-Rollen für die angegebenen Nutzer in Dataplex Universal Catalog weitergegeben, damit sie auf die Tabellen zugreifen können, die mit dem Attribut verknüpft sind.

Hinweise

Beschränkungen

Dataplex Universal Catalog gibt die Richtlinien für Spaltenspezifikationen als BigQuery-Richtlinien-Tags weiter. In BigQuery kann jeder Spalte nur ein Richtlinien-Tag zugewiesen werden. Wenn ein Richtlinientag bereits für eine Spalte vorhanden ist, gibt Dataplex Universal Catalog im Governance-Log auf dem Tab Verwalten einen Fehler aus.

Kontingente

Die folgenden Kontingente und Limits gelten für den Attributspeicher von Dataplex Universal Catalog:

Limit	Standard
Maximale Anzahl von Taxonomien in einer Region	100
Maximale Anzahl von Attributen in allen Taxonomien in einer Region	10.000
Maximale Anzahl von Attributen, die einer Ressource (Tabelle) zugeordnet werden können	50
Maximale Anzahl von Attributen, die einer Spalte zugeordnet werden können	100
Maximale Tiefe pro Datenattributbaum in einer Attributtaxonomie	4

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zur Verwendung des Attributspeichers des Dataplex Universal Catalog benötigen:

• Taxonomien und Attribute verwalten: Dataplex Taxonomy Admin (roles/dataplex.taxonomyAdmin)
• Bindungen ansehen, die Ressourcen und Attributen zugeordnet sind: Dataplex Taxonomy Viewer (roles/dataplex.taxonomyViewer)
• Bindungsressourcen in einem Projekt erstellen und verwalten:
  • Dataplex Binding Admin (roles/dataplex.bindingAdmin)
  • Dataplex Admin (roles/dataplex.admin für Zoneneinheit)
• Spezifikationen für Ressourcen- und Datenzugriff verwalten: Dataplex Security Admin (roles/dataplex.securityAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwenden des Attributspeichers des Dataplex Universal Catalog erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um den Attributspeicher von Dataplex Universal Catalog zu verwenden:

• Taxonomien und Attribute verwalten:
  • dataplex.datataxonomies.*
  • dataplex.dataattributes.* (except dataplex.dataattributes.configureResourceAccess and dataplex.dataattributes.configureDataAccess)
• Bindungen ansehen, die mit Ressourcen und Attributen verknüpft sind:
  • dataplex.datataxonomies.get
  • dataplex.datataxonomies.list
  • dataplex.dataattributes.get
  • dataplex.dataattributes.list
  • dataplex.dataattributebindings.get
  • dataplex.dataattributebindings.list
• Bindungsressourcen in einem Projekt erstellen und verwalten: dataplex.dataattributebindings.*
• Spezifikationen für den Ressourcen- und Datenzugriff verwalten:
  • dataplex.datataxonomies.configureResourceAccess
  • dataplex.datataxonomies.configureDataAccess

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Beispielanwendungsfälle

Angenommen, ein Unternehmen namens ACME hat drei Arten von Daten:

• Red sensible Daten
• Green-Daten, die eingeschränkt, aber weniger vertraulich sind
• Nicht kategorisierte Daten

Der Dataplex Universal Catalog-Administrator von ACME erstellt die folgenden Attribute:

• Attribut: Red

  • Spaltenspezifikationen: secrets_team@acme mit Leseberechtigung
  • Ressourcenspezifikationen: secrets_team@acme und tenured_employees@acme mit Leseberechtigung

• Attribut: Green

  • Spaltenspezifikationen: full_time_employees@acme mit Leseberechtigung
  • Ressourcenspezifikationen: full_time_employees@acme mit Bearbeitungsberechtigung

Die Attribute Red und Green steuern das Zugriffsverhalten auf die Ressourcen (Tabellen) in Abhängigkeit von den Attributen, die den Tabellen und ihren Spalten zugeordnet sind.

Angenommen, Sie haben eine Tabelle mit den folgenden Spalten:

• ID
• Postleitzahl
• Name
• Adresse
• $Value

Anwendungsfall 1: Dasselbe Attribut mit der Tabelle und einer Spalte verknüpfen

Wenn Sie das Attribut Red der Tabelle und der Spalte Name zuordnen, werden die folgenden Richtlinien in Dataplex Universal Catalog weitergegeben:

• Mitarbeiter in secrets_team@acme und tenured_employees@acme können die Tabelle lesen, ihre Metadaten aufrufen und Abfragen darauf ausführen.
• Nur Mitarbeiter in secrets_team@acme können die Spalte Name abfragen, da sie durch Spaltenspezifikationen zusätzlich geschützt ist.

Anwendungsfall 2: Attribute kombinieren

Berücksichtigen Sie die folgenden Assoziationen:

• Ordnen Sie der Tabelle die Attribute Red und Green zu.
• Ordnen Sie die Attribute Red und Green der Spalte Name zu.
• Ordnen Sie das Attribut Red der Spalte $Value zu.

In diesem Fall werden die folgenden Richtlinien von Dataplex Universal Catalog weitergegeben:

• Mitarbeiter in secrets_team@acme, tenured_employees@acme und full_time_employees@acme können auf die Tabelle zugreifen. Das liegt daran, dass im Dataplex Universal Catalog die Ressourcenspezifikationen der Attribute Red und Green zusammengeführt werden.
• Mitarbeiter in secrets_team@acme und full_time_employees@acme können auf die Spalte Name zugreifen. Das liegt daran, dass im Dataplex Universal Catalog die Spaltenspezifikationen der Attribute Red und Green zusammengeführt werden.
• Nur Mitarbeiter in secrets_team@acme können die Spalte $Value abfragen.

Anwendungsfall 3: Attribute in einer Hierarchie organisieren

Sie können Attribute in einer Hierarchie organisieren, indem Sie die Untertypen von Attributen angeben. Sehen Sie sich die folgende Gruppe von Attributen an:

Übergeordnetes Attribut 1:
Attribut: PII

• Spaltenspezifikationen: secrets_team@acme
• Ressourcenspezifikationen: secrets_team@acme und tenured_employees@acme

Untergeordnetes Attribut von PII:
Attribut: Email

• Spaltenspezifikationen: email_comm@acme
• Ressourcenspezifikationen: email_comm@acme

Übergeordnetes Attribut 2:
Attribut: Financial

• Spaltenspezifikationen: full_time_employees@acme
• Ressourcenspezifikationen: full_time_employees@acme

Berücksichtigen Sie die folgenden Assoziationen:

• Ordnen Sie der Tabelle die Attribute Email und Financial zu.
• Ordnen Sie die Attribute Email und Financial der Spalte Name zu.
• Ordnen Sie das Attribut PII der Spalte $Value zu.

In diesem Fall werden die folgenden Richtlinien von Dataplex Universal Catalog weitergegeben:

• Mitarbeiter in secrets_team@acme, tenured_employees@acme, full_time_employees@acme und email_comm@acme können auf die Tabelle zugreifen. Das liegt daran, dass in Dataplex Universal Catalog die Ressourcenspezifikationen der Attribute Financial und Email zusammengeführt werden und das Attribut Email die Spezifikationen vom Attribut PII erbt.
• Mitarbeiter in secrets_team@acme, email_comm@acme und full_time_employees@acme können auf die Spalte Name zugreifen. Das liegt daran, dass im Dataplex Universal Catalog die Spaltenspezifikationen der Attribute Financial und Email zusammengeführt werden.
• Nur Mitarbeiter in secrets_team@acme können die Spalte $Value abfragen.

Attribute einrichten

Um ein Attribut zu erstellen, müssen Sie zuerst eine Taxonomie und dann die über- und untergeordneten Datenattribute erstellen.

Datentaxonomie erstellen

1. Rufen Sie in der Google Cloud Console die Seite Attributspeicher des Dataplex Universal Catalog auf.

   Zum Attributspeicher

2. Klicken Sie auf Taxonomie erstellen.

3. Geben Sie den Taxonomienamen, die ID und die Beschreibung ein.

4. Wählen Sie eine Region aus.

5. Klicken Sie auf Senden.

   Die neue Taxonomie wird auf der Seite Datentaxonomien angezeigt.

Übergeordnetes Attribut erstellen

1. Rufen Sie in der Google Cloud Console die Seite Attributspeicher des Dataplex Universal Catalog auf.

   Zum Attributspeicher

2. Klicken Sie auf der Seite Datentaxonomien auf die Taxonomie, in der Sie das übergeordnete Attribut erstellen möchten.

3. Klicken Sie auf der Seite Taxonomiedetails auf Datenattribut hinzufügen.

4. Wählen Sie Übergeordnetes Datenattribut erstellen aus.

5. Geben Sie einen Namen, eine ID und eine Beschreibung für das übergeordnete Attribut ein.

6. Optional: Attributspezifikationen einrichten

   1. Ressourcenspezifikationen einrichten:

      1. Klicken Sie für Ressource auf Berechtigungen verwalten.
      2. Klicken Sie auf Hinzufügen.
      3. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Ressource benötigt.
      4. Wählen Sie die erforderlichen Rollen aus und klicken Sie auf Speichern.
      5. Klicken Sie auf Speichern.

   2. Spaltenspezifikationen einrichten:

      1. Klicken Sie für Spalte auf Berechtigungen verwalten.
      2. Klicken Sie auf Hinzufügen.
      3. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Spalte benötigt.
      4. Wählen Sie die erforderlichen Rollen aus und klicken Sie auf Speichern.
      5. Klicken Sie auf Speichern.

7. Klicken Sie auf Erstellen.

Untergeordnetes Attribut erstellen

1. Rufen Sie in der Google Cloud Console die Seite Attributspeicher des Dataplex Universal Catalog auf.

   Zum Attributspeicher

2. Klicken Sie auf der Seite Datentaxonomien auf die Taxonomie, in der Sie das untergeordnete Attribut erstellen möchten.

3. Klicken Sie auf der Seite Taxonomiedetails auf Datenattribut hinzufügen.

4. Wählen Sie Untergeordnetes Datenattribut erstellen aus.

5. Wählen Sie ein übergeordnetes Datenattribut für das untergeordnete Attribut aus, das Sie erstellen.

6. Geben Sie einen Namen, eine ID und eine Beschreibung für das untergeordnete Attribut ein.

7. Optional: Attributspezifikationen einrichten

   1. Ressourcenspezifikationen einrichten:

      1. Klicken Sie für Ressource auf Berechtigungen verwalten.
      2. Klicken Sie auf Hinzufügen.
      3. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Ressource benötigt.
      4. Wählen Sie die erforderlichen Rollen aus und klicken Sie auf Speichern.
      5. Klicken Sie auf Speichern.

   2. Spaltenspezifikationen einrichten:

      1. Klicken Sie für Spalte auf Berechtigungen verwalten.
      2. Klicken Sie auf Hinzufügen.
      3. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Spalte benötigt.
      4. Wählen Sie die erforderlichen Rollen aus und klicken Sie auf Speichern.
      5. Klicken Sie auf Speichern.

8. Klicken Sie auf Erstellen.

Attribute Store-Ressourcen aktualisieren

Taxonomiedetails aktualisieren

1. Rufen Sie in der Google Cloud Console die Seite Attributspeicher des Dataplex Universal Catalog auf.

   Zum Attributspeicher

2. Klicken Sie auf die Taxonomie, die Sie aktualisieren möchten.

3. Klicken Sie auf Bearbeiten.

4. Bearbeiten Sie den Namen und die Beschreibung der Taxonomie nach Bedarf.

5. Klicken Sie auf Senden.

Attributdetails aktualisieren

1. Rufen Sie in der Google Cloud Console die Seite Attributspeicher des Dataplex Universal Catalog auf.

   Zum Attributspeicher

2. Klicken Sie auf die Taxonomie, die das Attribut enthält, das Sie aktualisieren möchten.

3. Klicken Sie auf das Attribut, das Sie aktualisieren möchten.

4. Klicken Sie auf Bearbeiten, um den Attributnamen und die Beschreibung zu aktualisieren.

   1. Wenn Sie ein übergeordnetes Attribut aktualisieren, können Sie es in ein untergeordnetes Attribut ändern und umgekehrt. Wählen Sie die entsprechenden Optionen aus.
   2. Bearbeiten Sie den Attributnamen und die Beschreibung nach Bedarf.
   3. Klicken Sie auf Aktualisieren.

5. Wenn Sie die Ressourcenspezifikationen für das Attribut aktualisieren möchten, klicken Sie für Ressourcenspezifikationen auf edit Bearbeiten.

   1. So fügen Sie einen neuen Rechtssubjekt hinzu:

      1. Klicken Sie auf Hinzufügen.
      2. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Ressource benötigt.
      3. Wählen Sie die erforderlichen Rollen aus.
      4. Klicken Sie auf Speichern.

   2. So aktualisieren Sie einen vorhandenen Prinzipal:

      1. Klicken Sie für das Hauptkonto, das Sie aktualisieren möchten, auf edit Bearbeiten.
      2. Wählen Sie die erforderlichen Rollen aus.
      3. Klicken Sie auf Speichern.

   3. So entfernen Sie einen vorhandenen Prinzipal:

      1. Wählen Sie das Hauptkonto aus, das Sie entfernen möchten.
      2. Klicken Sie auf Entfernen.

6. Wenn Sie die Spaltenspezifikationen für das Attribut aktualisieren möchten, klicken Sie bei Spaltenspezifikationen auf edit Bearbeiten.

   1. So fügen Sie einen neuen Rechtssubjekt hinzu:

      1. Klicken Sie auf Hinzufügen.
      2. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse einer Person oder Gruppe ein, die Zugriff auf die Spalte benötigt.
      3. Wählen Sie die erforderlichen Rollen aus.
      4. Klicken Sie auf Speichern.

   2. So aktualisieren Sie einen vorhandenen Prinzipal:

      1. Klicken Sie für das Hauptkonto, das Sie aktualisieren möchten, auf edit Bearbeiten.
      2. Wählen Sie die erforderlichen Rollen aus.
      3. Klicken Sie auf Speichern.

   3. So entfernen Sie einen vorhandenen Prinzipal:

      1. Wählen Sie das Hauptkonto aus, das Sie entfernen möchten.
      2. Klicken Sie auf Entfernen.

Attribute mit Ressourcen verknüpfen

Attribut mit einer Tabelle verknüpfen

1. Rufen Sie in der Google Cloud Console die Seite Attributspeicher des Dataplex Universal Catalog auf.

   Zum Attributspeicher

2. Klicken Sie auf die Taxonomie, die das Attribut enthält.

3. Klicken Sie auf das Attribut, dem Sie eine Tabelle zuordnen möchten.

4. Klicken Sie auf den Tab Ressourcen.

5. Klicken Sie auf Ressourcen hinzufügen.

6. Wählen Sie eine Tabelle aus der Liste aus.

7. Klicken Sie auf Auswählen.

Attribut mit einer Spalte verknüpfen

1. Rufen Sie in der Google Cloud Console die Seite Data Catalog-Suche auf.

   Zur Suche

2. Suchen Sie nach der Tabelle, für die Sie ein Attribut einer Spalte zuordnen möchten, und wählen Sie sie aus.

3. Klicken Sie auf den Tab Schema- und Spalten-Tags.

4. Klicken Sie in der Spalte, der Sie ein Attribut zuweisen möchten, unter Richtlinien-Tags auf add Hinzufügen.

5. Wählen Sie die Taxonomie aus, die das Attribut enthält.

6. Wählen Sie das Attribut aus.

7. Klicken Sie auf Anhängen.

Nächste Schritte

• Weitere Informationen zur Sicherheit von Dataplex Universal Catalog
• Weitere Informationen zur Richtlinienverwaltung in Dataplex Universal Catalog
• Weitere Informationen zu Dataplex Universal Catalog-IAM-Rollen