Usar el almacén de atributos de Dataplex Universal Catalog

En este documento se describe cómo usar el almacén de atributos de Universal Catalog de Dataplex.

Migrar de Attribute Store a etiquetas y condiciones de gestión de identidades y accesos

Para migrar de Attribute Store, sustituye la funcionalidad de Attribute Store por etiquetas, etiquetas de política y condiciones de gestión de identidades y accesos.

Descripción general de Attribute Store

El almacén de atributos de Dataplex Universal Catalog es una infraestructura extensible que te permite especificar comportamientos relacionados con las políticas en los recursos asociados. Los administradores de Dataplex Universal Catalog pueden usar Attribute Store para definir cómo se deben tratar determinados datos asociándolos a atributos.

Con Attribute Store, puede añadir varios atributos a un objeto, como una columna. El almacén de atributos combina los comportamientos de todos los atributos asociados a un objeto y los presenta como una sola política en el recurso subyacente.

Puedes definir atributos para conjuntos de datos publicados. Los conjuntos de datos publicados son los que crea Dataplex Universal Catalog a partir de las tablas descubiertas en un recurso de tipo bucket.

Se admiten los siguientes comportamientos de las políticas:

  • Especificaciones de recursos: especifica el acceso a un recurso, como una tabla.
  • Especificaciones de columna: especifica el acceso a una columna de una tabla de BigQuery.

Puede usar el almacén de atributos para definir una jerarquía de atributos denominada taxonomía. En una taxonomía, un atributo secundario hereda las especificaciones de la jerarquía de atributos principales. Las especificaciones de la unidad superior y de la secundaria se combinan en una lista unificada, que se propaga al recurso.

Puedes usar el almacén de atributos de Universal Catalog de Dataplex para hacer lo siguiente:

  • Crea taxonomías.
  • Crea atributos y organízalos en una jerarquía.
  • Asocia uno o varios atributos a las tablas.
  • Asocia uno o varios atributos a las columnas.

Terminología

En esta sección se describe la terminología utilizada en este documento.

Taxonomía de atributos

Una taxonomía de datos es una jerarquía de atributos. En una taxonomía, los atributos de los nodos principales permiten que los atributos que se encuentran por debajo (atributos secundarios) hereden y añadan las especificaciones de comportamiento de los atributos principales.

Por ejemplo, si un atributo llamado PII tiene una especificación de recurso group-a@company.com y un atributo secundario de PII llamado Social Security numbers tiene una especificación de recurso group-b@company.com, las especificaciones de recurso aplicadas a las políticas en las que se asocia el atributo Social Security numbers serán group-a@company.com y group-b@company.com.

Cuando define un atributo, puede elegir si es un atributo principal o secundario. Al definir un atributo secundario, debe especificar su atributo principal.

Especificaciones de las columnas

Las especificaciones de comportamiento de las columnas. Especifica las personas o los grupos que tienen acceso de lectura a las columnas. Si asocias un atributo que contiene una especificación de columna con una columna de una tabla, se añade una etiqueta de política de columna de BigQuery a esa columna.

Especificaciones de recursos

Los permisos de las personas o los grupos para acceder a los recursos (tablas). Si asocias un atributo con una especificación de recurso, Dataplex Universal Catalog propaga los roles de IAM a los usuarios especificados para que puedan acceder a las tablas asociadas al atributo.

Antes de empezar

Limitaciones

Dataplex Universal Catalog propaga las políticas de especificación de columnas como etiquetas de política de BigQuery. BigQuery tiene una limitación de una etiqueta de política por columna. Si ya hay una etiqueta de política en una columna, Dataplex Universal Catalog genera un error en el registro de gobernanza de la pestaña Gestionar.

Cuotas

A continuación, se indican las cuotas y los límites que se aplican al almacén de atributos de Dataplex Universal Catalog:

Límite Predeterminado
Número máximo de taxonomías en una región 100
Número máximo de atributos en todas las taxonomías de una región 10.000
Número máximo de atributos que se pueden asociar a un recurso (tabla) 50
Número máximo de atributos que se pueden asociar a una columna 100
Profundidad máxima por árbol de atributos de datos en una taxonomía de atributos 4

Roles obligatorios

Para obtener los permisos que necesitas para usar el almacén de atributos de Universal Catalog de Dataplex, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en el proyecto:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para usar el almacén de atributos de Universal Catalog de Dataplex. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para usar el almacén de atributos de Dataplex Universal Catalog, se necesitan los siguientes permisos:

  • Gestionar taxonomías y atributos:
    • dataplex.datataxonomies.*
    • dataplex.dataattributes.* (except dataplex.dataattributes.configureResourceAccess and dataplex.dataattributes.configureDataAccess)
  • Para ver las vinculaciones asociadas a recursos y atributos, siga estos pasos:
    • dataplex.datataxonomies.get
    • dataplex.datataxonomies.list
    • dataplex.dataattributes.get
    • dataplex.dataattributes.list
    • dataplex.dataattributebindings.get
    • dataplex.dataattributebindings.list
  • Crea y gestiona recursos de enlace en un proyecto: dataplex.dataattributebindings.*
  • Gestionar las especificaciones de acceso a recursos y datos:
    • dataplex.datataxonomies.configureResourceAccess
    • dataplex.datataxonomies.configureDataAccess

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Ejemplos de casos prácticos

Imagina una empresa llamada ACME que tiene tres tipos de datos:

  • Red datos sensibles
  • Green datos restringidos, pero menos sensibles
  • Datos sin clasificar

El administrador de Dataplex Universal Catalog de ACME crea el siguiente conjunto de atributos:

  • Atributo: Red

    • Especificaciones de la columna: secrets_team@acme con permiso de lectura
    • Especificaciones de recursos: secrets_team@acme y tenured_employees@acme con permiso de lectura

  • Atributo: Green

    • Especificaciones de la columna: full_time_employees@acme con permiso de lectura
    • Especificaciones de recursos: full_time_employees@acme con permiso de edición

Esta imagen contiene las especificaciones de columna y de recurso de los atributos Rojo y Verde.

Los atributos Red y Green controlan el comportamiento de acceso a los recursos (tablas) en función de los atributos asociados a las tablas y sus columnas.

Supongamos que tiene una tabla con las siguientes columnas:

  • ID
  • Código postal
  • Nombre
  • Dirección
  • $Value

Caso práctico 1: Asociar el mismo atributo a la tabla y a una columna

En esta imagen se muestra el atributo Rojo asociado a la tabla y a la columna Nombre.

Si asocia el atributo Red a la tabla y a su columna Nombre, Dataplex Universal Catalog propaga las siguientes políticas:

  • Los empleados de secrets_team@acme y tenured_employees@acme pueden leer la tabla, ver sus metadatos y consultarla.
  • Solo los empleados de secrets_team@acme pueden consultar la columna Name, ya que está protegida por las especificaciones de la columna.

Caso práctico 2: Combinar atributos

Ten en cuenta las siguientes asociaciones:

  • Asocia los atributos Red y Green a la tabla.
  • Asocia los atributos Red y Green a la columna Nombre.
  • Asocia el atributo Red a la columna $Value.

En esta imagen se muestran los atributos Rojo y Verde asociados a la tabla y a la columna Nombre, y el atributo Rojo asociado a la columna $value.

En este caso, Dataplex Universal Catalog propaga las siguientes políticas:

  • Los empleados de secrets_team@acme, tenured_employees@acme y full_time_employees@acme pueden acceder a la tabla. Esto se debe a que Dataplex Universal Catalog combina las especificaciones de recursos de los atributos Red y Green.
  • Los empleados de secrets_team@acme y full_time_employees@acme pueden acceder a la columna Nombre. Esto se debe a que Dataplex Universal Catalog combina las especificaciones de columna de los atributos Red y Green.
  • Solo los empleados de secrets_team@acme pueden consultar la columna $Value.

Caso práctico 3: Organizar atributos en una jerarquía

Puede organizar los atributos en una jerarquía especificando los subtipos de atributos. Tenga en cuenta el siguiente conjunto de atributos:

Atributo principal 1:
Atributo: PII

  • Especificaciones de las columnas: secrets_team@acme
  • Especificaciones de recursos: secrets_team@acme y tenured_employees@acme

Atributo secundario de PII:
Atributo: Email

  • Especificaciones de las columnas: email_comm@acme
  • Especificaciones de recursos: email_comm@acme

Atributo principal 2:
Atributo: Financial

  • Especificaciones de las columnas: full_time_employees@acme
  • Especificaciones de recursos: full_time_employees@acme

En esta imagen se muestra un ejemplo de jerarquía de atributos.

Ten en cuenta las siguientes asociaciones:

  • Asocia los atributos Email y Financial a la tabla.
  • Asocia los atributos Email y Financial a la columna Nombre.
  • Asocia el atributo PII a la columna $Value.

En esta imagen se muestra cómo se pueden asociar los atributos de una jerarquía a la tabla y a las columnas.

En este caso, Dataplex Universal Catalog propaga las siguientes políticas:

  • Los empleados de secrets_team@acme, tenured_employees@acme, full_time_employees@acme y email_comm@acme pueden acceder a la tabla. Esto se debe a que Dataplex Universal Catalog combina las especificaciones de recursos de los atributos Financial y Email, y el atributo Email hereda las especificaciones del atributo PII.
  • Los empleados de secrets_team@acme, email_comm@acme y full_time_employees@acme pueden acceder a la columna Nombre. Esto se debe a que Dataplex Universal Catalog combina las especificaciones de columna de los atributos Financial y Email.
  • Solo los empleados de secrets_team@acme pueden consultar la columna $Value.

Configurar atributos

Para crear un atributo, primero debe crear una taxonomía y, a continuación, crear los atributos de datos principales y secundarios.

Crear una taxonomía de atributos de datos

  1. En la Google Cloud consola, ve a la página Attribute Store (Almacén de atributos) de Universal Catalog de Dataplex.

    Ir a la tienda de atributos

  2. Haga clic en Crear taxonomía.

  3. Escriba el nombre de la taxonomía, el ID y la descripción.

  4. Selecciona una región.

  5. Haz clic en Enviar.

    La nueva taxonomía aparece en la página Taxonomías de datos.

Crear un atributo principal

  1. En la Google Cloud consola, ve a la página Attribute Store (Almacén de atributos) de Universal Catalog de Dataplex.

    Ir a la tienda de atributos

  2. En la página Taxonomías de datos, haga clic en la taxonomía en la que quiera crear el atributo principal.

  3. En la página Detalles de la taxonomía, haga clic en Añadir atributo de datos.

  4. Seleccione Crear atributo de datos principal.

  5. Introduce el nombre, el ID y la descripción del atributo principal.

  6. Opcional: Configura las especificaciones de los atributos.

    1. Configura las especificaciones de los recursos:

      1. Haz clic en Gestionar permisos en Recurso.
      2. Haz clic en Añadir.
      3. En el campo Nuevos responsables, introduce la dirección de correo de una persona o un grupo que necesite acceder al recurso.
      4. Selecciona los roles necesarios y haz clic en Guardar.
      5. Haz clic en Guardar.

    2. Configura las especificaciones de las columnas:

      1. Haz clic en Gestionar permisos en Columna.
      2. Haz clic en Añadir.
      3. En el campo Nuevos administradores, introduce la dirección de correo de una persona o un grupo que necesite acceder a la columna.
      4. Selecciona los roles necesarios y haz clic en Guardar.
      5. Haz clic en Guardar.

  7. Haz clic en Crear.

Crear un atributo secundario

  1. En la Google Cloud consola, ve a la página Attribute Store (Almacén de atributos) de Universal Catalog de Dataplex.

    Ir a la tienda de atributos

  2. En la página Taxonomías de datos, haga clic en la taxonomía en la que quiera crear el atributo secundario.

  3. En la página Detalles de la taxonomía, haga clic en Añadir atributo de datos.

  4. Seleccione Crear atributo de datos secundario.

  5. Seleccione un Atributo de datos principal para el atributo secundario que esté creando.

  6. Introduce un nombre, un ID y una descripción para el atributo secundario.

  7. Opcional: Configura las especificaciones de los atributos.

    1. Configura las especificaciones de los recursos:

      1. Haz clic en Gestionar permisos en Recurso.
      2. Haz clic en Añadir.
      3. En el campo Nuevos responsables, introduce la dirección de correo de una persona o un grupo que necesite acceder al recurso.
      4. Selecciona los roles necesarios y haz clic en Guardar.
      5. Haz clic en Guardar.

    2. Configura las especificaciones de las columnas:

      1. Haz clic en Gestionar permisos en Columna.
      2. Haz clic en Añadir.
      3. En el campo Nuevos administradores, introduce la dirección de correo de una persona o un grupo que necesite acceder a la columna.
      4. Selecciona los roles necesarios y haz clic en Guardar.
      5. Haz clic en Guardar.

  8. Haz clic en Crear.

Actualizar recursos de Attribute Store

Actualizar los detalles de una taxonomía

  1. En la Google Cloud consola, ve a la página Attribute Store (Almacén de atributos) de Universal Catalog de Dataplex.

    Ir a la tienda de atributos

  2. Haga clic en la taxonomía que quiera actualizar.

  3. Haz clic en Editar.

  4. Edita el nombre de la taxonomía y su descripción según sea necesario.

  5. Haz clic en Enviar.

Actualizar detalles de atributos

  1. En la Google Cloud consola, ve a la página Attribute Store (Almacén de atributos) de Universal Catalog de Dataplex.

    Ir a la tienda de atributos

  2. Haz clic en la taxonomía que contenga el atributo que quieras actualizar.

  3. Haz clic en el atributo que quieras actualizar.

  4. Para actualizar el nombre y la descripción del atributo, haz clic en Editar.

    1. Si actualiza un atributo superior, puede cambiarlo a un atributo secundario y viceversa. Selecciona las opciones correspondientes.
    2. Edite el nombre del atributo y su descripción según sea necesario.
    3. Haz clic en Actualizar.

  5. Para actualizar las especificaciones de recursos del atributo, haga clic en Editar en Especificaciones de recursos.

    1. Para añadir un nuevo principal, sigue estos pasos:

      1. Haz clic en Añadir.
      2. En el campo Nuevos principales, introduce la dirección de correo de una persona o un grupo que necesite acceder al recurso.
      3. Seleccione los roles necesarios.
      4. Haz clic en Guardar.

    2. Para actualizar un principal, sigue estos pasos:

      1. En el principal que quieras actualizar, haz clic en Editar.
      2. Seleccione los roles necesarios.
      3. Haz clic en Guardar.

    3. Para quitar un principal, sigue estos pasos:

      1. Selecciona el principal que quieras quitar.
      2. Haz clic en Quitar.

  6. Para actualizar las especificaciones de la columna del atributo, haga clic en Editar en Especificaciones de la columna.

    1. Para añadir un nuevo principal, sigue estos pasos:

      1. Haz clic en Añadir.
      2. En el campo Nuevos responsables, introduce la dirección de correo de una persona o un grupo que necesite acceder a la columna.
      3. Seleccione los roles necesarios.
      4. Haz clic en Guardar.

    2. Para actualizar un principal, sigue estos pasos:

      1. En el principal que quieras actualizar, haz clic en Editar.
      2. Seleccione los roles necesarios.
      3. Haz clic en Guardar.

    3. Para quitar un principal, sigue estos pasos:

      1. Selecciona el principal que quieras quitar.
      2. Haz clic en Quitar.

Asociar atributos a recursos

Asociar un atributo a una tabla

  1. En la Google Cloud consola, ve a la página Attribute Store (Almacén de atributos) de Universal Catalog de Dataplex.

    Ir a la tienda de atributos

  2. Haga clic en la taxonomía que contenga el atributo.

  3. Haga clic en el atributo al que quiera asociar una tabla.

  4. Haz clic en la pestaña Recursos.

  5. Haz clic en Añadir recursos.

  6. Selecciona una tabla de la lista.

  7. Haz clic en Seleccionar.

Asociar un atributo a una columna

  1. En la consola, vaya a la página Búsqueda del catálogo de datos. Google Cloud

    Ir a la búsqueda

  2. Busca y selecciona la tabla a la que quieras asociar un atributo con una columna.

  3. Haga clic en la pestaña Esquema y etiquetas de columna.

  4. En la columna a la que quieras asociar un atributo, en Etiquetas de política, haz clic en Añadir.

  5. Seleccione la taxonomía que contenga el atributo.

  6. Seleccione el atributo.

  7. Haz clic en Adjuntar.

Siguientes pasos