Utilizzare l'archivio attributi del Catalogo universale Dataplex

Questo documento descrive come utilizzare l'archivio degli attributi del catalogo universale di Dataplex.

Migrazione da Attribute Store a tag e condizioni IAM

Per eseguire la migrazione da Attribute Store, sostituisci la funzionalità di Attribute Store con tag, tag di policy e condizioni IAM.

• Per i set di dati e le tabelle BigQuery:

  1. Crea un tag che replichi l'attributo Dataplex Universal Catalog. Per maggiori informazioni, vedi Creare e definire un nuovo tag.
  2. Collega il tag al set di dati o alla tabella BigQuery. Per ulteriori informazioni, consulta Allegare tag a un set di dati esistente e Allegare tag a una tabella esistente.
  3. Crea una condizione IAM per gestire l'accesso al set di dati o alla tabella in base al tag. Per saperne di più, consulta Controllare l'accesso con le condizioni IAM.

• Per le colonne BigQuery:

  1. Crea un tag di criteri in BigQuery che replichi l'attributo Dataplex Universal Catalog.
  2. Imposta il tag di criteri sulla colonna.
  3. Utilizza il tag di criteri per gestire l'accesso alla colonna utilizzando controllo dell'accesso a livello di colonna o il mascheramento dinamico dei dati.

  Per maggiori informazioni, consulta Introduzione al controllo dell'accesso a livello di colonna e Configurare il controllo dell'accesso a livello di colonna.

Panoramica dell'archivio attributi

L'archivio degli attributi del catalogo universale Dataplex è un'infrastruttura estensibile che ti consente di specificare i comportamenti correlati alle norme sulle risorse associate. Gli amministratori di Dataplex Universal Catalog possono utilizzare Attribute Store per definire il modo in cui determinati dati devono essere trattati, associandoli agli attributi.

Utilizzando l'archivio degli attributi, puoi aggiungere più attributi a un oggetto, ad esempio una colonna. L'archivio degli attributi unisce i comportamenti di tutti gli attributi associati a un oggetto e li presenta come un'unica norma nella risorsa sottostante.

Puoi impostare gli attributi per i set di dati pubblicati. I set di dati pubblicati si riferiscono ai set di dati creati da Dataplex Universal Catalog dalle tabelle rilevate in un asset bucket.

Sono supportati i seguenti comportamenti delle norme:

• Specifiche delle risorse: specifica l'accesso a una risorsa, ad esempio una tabella
• Specifiche della colonna: specifica l'accesso a una colonna in una tabella BigQuery

Puoi utilizzare l'archivio degli attributi per definire una gerarchia di attributi chiamata tassonomia. In una tassonomia, un attributo secondario eredita le specifiche dalla gerarchia degli attributi principali. Le specifiche della risorsa padre e della risorsa figlio vengono unite in un elenco unificato, che viene propagato alla risorsa.

Puoi utilizzare l'archivio degli attributi di Dataplex Universal Catalog per:

• Crea tassonomie.
• Crea attributi e organizzali in una gerarchia.
• Associa uno o più attributi alle tabelle.
• Associa uno o più attributi alle colonne.

Terminologia

Questa sezione descrive la terminologia utilizzata in questo documento.

Tassonomia degli attributi

Una tassonomia dei dati è una gerarchia di attributi. In una tassonomia, gli attributi nei nodi principali consentono agli attributi sottostanti (attributi secondari) di ereditare e aggiungere le specifiche di comportamento degli attributi principali ai propri.

Ad esempio: Se un attributo denominato PII ha una specifica di risorsa group-a@company.com e un attributo secondario di PII denominato Social Security numbers ha una specifica di risorsa group-b@company.com, le specifiche di risorsa applicate ai criteri in cui è associato l'attributo Social Security numbers saranno group-a@company.com e group-b@company.com.

Quando definisci un attributo, puoi scegliere se si tratta di un attributo principale o secondario. Quando definisci un attributo secondario, devi specificare l'attributo principale.

Specifiche delle colonne

Le specifiche di comportamento per le colonne. Specifica le persone o i gruppi che hanno accesso in lettura alle colonne. Se associ un attributo contenente una specifica di colonna alla colonna di una tabella, viene aggiunto un tag di policy della colonna BigQuery a quella colonna.

Specifiche delle risorse

Le autorizzazioni per persone o gruppi di accedere alle risorse (tabelle). Se associ un attributo alla specifica della risorsa, Dataplex Universal Catalog propaga i ruoli IAM agli utenti specificati per accedere alle tabelle associate all'attributo.

Prima di iniziare

Limitazioni

Dataplex Universal Catalog propaga i criteri di specifica delle colonne come tag di criteri BigQuery. BigQuery ha una limitazione di un tag di criteri per colonna. Se un tag di criteri esiste già in una colonna, Dataplex Universal Catalog genera un errore nel log Governance nella scheda Gestisci.

Quote

Di seguito sono riportate le quote e i limiti applicabili all'archivio attributi di Dataplex Universal Catalog:

Limite	Predefinito
Numero massimo di classificazioni in una regione	100
Numero massimo di attributi in tutte le classificazioni in una regione	10.000
Numero massimo di attributi che possono essere associati a una risorsa (tabella)	50
Numero massimo di attributi che possono essere associati a una colonna	100
Profondità massima per albero di attributi dei dati in una tassonomia degli attributi	4

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per utilizzare l'archivio degli attributi di Dataplex Universal Catalog, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

• Gestisci le classificazioni e gli attributi: Dataplex Taxonomy Admin (roles/dataplex.taxonomyAdmin)
• Visualizza le associazioni associate a risorse e attributi: Dataplex Taxonomy Viewer (roles/dataplex.taxonomyViewer)
• Crea e gestisci le risorse di binding in un progetto:
  • Dataplex Binding Admin (roles/dataplex.bindingAdmin)
  • Dataplex Admin (roles/dataplex.admin sulla risorsa Zona)
• Gestisci le specifiche di accesso a risorse e dati: Dataplex Security Admin (roles/dataplex.securityAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare l'archivio degli attributi di Dataplex Universal Catalog. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per utilizzare l'archivio degli attributi di Dataplex Universal Catalog sono necessarie le seguenti autorizzazioni:

• Gestisci tassonomie e attributi:
  • dataplex.datataxonomies.*
  • dataplex.dataattributes.* (except dataplex.dataattributes.configureResourceAccess and dataplex.dataattributes.configureDataAccess)
• Visualizza i binding associati a risorse e attributi:
  • dataplex.datataxonomies.get
  • dataplex.datataxonomies.list
  • dataplex.dataattributes.get
  • dataplex.dataattributes.list
  • dataplex.dataattributebindings.get
  • dataplex.dataattributebindings.list
• Crea e gestisci le risorse di binding in un progetto: dataplex.dataattributebindings.*
• Gestisci le specifiche di accesso a risorse e dati:
  • dataplex.datataxonomies.configureResourceAccess
  • dataplex.datataxonomies.configureDataAccess

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Esempi di casi d'uso

Considera un'azienda di nome ACME che dispone di tre tipi di dati:

• Red dati sensibili
• Dati Green con restrizioni, ma meno sensibili
• Dati senza categoria

L'amministratore di Dataplex Universal Catalog di ACME crea il seguente insieme di attributi:

• Attributo: Red

  • Specifiche della colonna: secrets_team@acme con autorizzazione di lettura
  • Specifiche delle risorse: secrets_team@acme e tenured_employees@acme con autorizzazione di lettura

• Attributo: Green

  • Specifiche della colonna: full_time_employees@acme con autorizzazione di lettura
  • Specifiche delle risorse: full_time_employees@acme con autorizzazione di modifica

Gli attributi Red e Green controllano il comportamento di accesso alle risorse (tabelle) a seconda degli attributi associati alle tabelle e alle relative colonne.

Considera una tabella con le seguenti colonne:

• ID
• Codice postale
• Nome
• Indirizzo
• $Value

Caso d'uso 1: associa lo stesso attributo alla tabella e a una colonna

Se associ l'attributo Red alla tabella e alla relativa colonna Name, Dataplex Universal Catalog propaga i seguenti criteri:

• I dipendenti in secrets_team@acme e tenured_employees@acme possono leggere la tabella, visualizzarne i metadati ed eseguire query.
• Solo i dipendenti di secrets_team@acme possono eseguire query sulla colonna Nome, in quanto è ulteriormente protetta dalle specifiche delle colonne.

Caso d'uso 2: combinare gli attributi

Considera le seguenti associazioni:

• Associa gli attributi Red e Green alla tabella.
• Associa gli attributi Red e Green alla colonna Nome.
• Associa l'attributo Red alla colonna $Value.

In questo caso, Dataplex Universal Catalog propaga i seguenti criteri:

• I dipendenti di secrets_team@acme, tenured_employees@acme e full_time_employees@acme possono accedere alla tabella. Questo perché Dataplex Universal Catalog unisce le specifiche delle risorse degli attributi Red e Green.
• I dipendenti di secrets_team@acme e full_time_employees@acme possono accedere alla colonna Nome. Questo perché Dataplex Universal Catalog unisce le specifiche delle colonne degli attributi Red e Green.
• Solo i dipendenti di secrets_team@acme possono eseguire query sulla colonna $Value.

Caso d'uso 3: organizzare gli attributi in una gerarchia

Puoi organizzare gli attributi in una gerarchia specificando i sottotipi di attributi. Considera il seguente insieme di attributi:

Attributo principale 1:
Attributo: PII

• Specifiche delle colonne: secrets_team@acme
• Specifiche delle risorse: secrets_team@acme e tenured_employees@acme

Attributo secondario di PII:
Attributo: Email

• Specifiche delle colonne: email_comm@acme
• Specifiche delle risorse: email_comm@acme

Attributo principale 2:
Attributo: Financial

• Specifiche delle colonne: full_time_employees@acme
• Specifiche delle risorse: full_time_employees@acme

Considera le seguenti associazioni:

• Associa gli attributi Email e Financial alla tabella.
• Associa gli attributi Email e Financial alla colonna Nome.
• Associa l'attributo PII alla colonna $Value.

In questo caso, Dataplex Universal Catalog propaga i seguenti criteri:

• I dipendenti di secrets_team@acme, tenured_employees@acme, full_time_employees@acme e email_comm@acme possono accedere alla tabella. Questo perché Dataplex Universal Catalog unisce le specifiche delle risorse degli attributi Financial e Email e l'attributo Email eredita le specifiche dell'attributo PII.
• I dipendenti in secrets_team@acme, email_comm@acme, full_time_employees@acme possono accedere alla colonna Nome. Questo perché Dataplex Universal Catalog unisce le specifiche delle colonne degli attributi Financial e Email.
• Solo i dipendenti di secrets_team@acme possono eseguire query sulla colonna $Value.

Configurare gli attributi

Per creare un attributo, devi prima creare una tassonomia, quindi creare gli attributi dei dati principali e secondari.

Crea una tassonomia degli attributi dei dati

1. Nella console Google Cloud , vai alla pagina Attribute Store del catalogo universale Dataplex.

   Vai all'archivio degli attributi

2. Fai clic su Crea tassonomia.

3. Inserisci Nome tassonomia, ID e Descrizione.

4. Seleziona una regione.

5. Fai clic su Invia.

   La nuova tassonomia viene visualizzata nella pagina Tassonomie dei dati.

Crea un attributo principale

1. Nella console Google Cloud , vai alla pagina Attribute Store del catalogo universale Dataplex.

   Vai all'archivio degli attributi

2. Nella pagina Tassonomie dei dati, fai clic sulla tassonomia in cui vuoi creare l'attributo principale.

3. Nella pagina Dettagli tassonomia, fai clic su Aggiungi attributo dati.

4. Seleziona Crea attributo dei dati padre.

5. Inserisci un nome, un ID e una descrizione per l'attributo principale.

6. (Facoltativo) Configura le specifiche degli attributi.

   1. Configura le specifiche delle risorse:

      1. Fai clic su Gestisci autorizzazioni per Risorsa.
      2. Fai clic su Aggiungi.
      3. Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla risorsa.
      4. Seleziona i ruoli richiesti e fai clic su Salva.
      5. Fai clic su Salva.

   2. Configura le specifiche delle colonne:

      1. Fai clic su Gestisci autorizzazioni per Colonna.
      2. Fai clic su Aggiungi.
      3. Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla colonna.
      4. Seleziona i ruoli richiesti e fai clic su Salva.
      5. Fai clic su Salva.

7. Fai clic su Crea.

Crea un attributo figlio

1. Nella console Google Cloud , vai alla pagina Attribute Store del catalogo universale Dataplex.

   Vai all'archivio degli attributi

2. Nella pagina Tassonomie dei dati, fai clic sulla tassonomia in cui vuoi creare l'attributo secondario.

3. Nella pagina Dettagli tassonomia, fai clic su Aggiungi attributo dati.

4. Seleziona Crea attributo dei dati figlio.

5. Seleziona un attributo dei dati genitore per l'attributo figlio che stai creando.

6. Inserisci un nome, un ID e una descrizione per l'attributo secondario.

7. (Facoltativo) Configura le specifiche degli attributi.

   1. Configura le specifiche delle risorse:

      1. Fai clic su Gestisci autorizzazioni per Risorsa.
      2. Fai clic su Aggiungi.
      3. Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla risorsa.
      4. Seleziona i ruoli richiesti e fai clic su Salva.
      5. Fai clic su Salva.

   2. Configura le specifiche delle colonne:

      1. Fai clic su Gestisci autorizzazioni per Colonna.
      2. Fai clic su Aggiungi.
      3. Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla colonna.
      4. Seleziona i ruoli richiesti e fai clic su Salva.
      5. Fai clic su Salva.

8. Fai clic su Crea.

Aggiornare le risorse dell'archivio degli attributi

Aggiornare i dettagli della tassonomia

1. Nella console Google Cloud , vai alla pagina Attribute Store del catalogo universale Dataplex.

   Vai all'archivio degli attributi

2. Fai clic sulla tassonomia da aggiornare.

3. Fai clic su Modifica.

4. Modifica il nome della tassonomia e la relativa descrizione in base alle tue esigenze.

5. Fai clic su Invia.

Aggiornare i dettagli dell'attributo

1. Nella console Google Cloud , vai alla pagina Attribute Store del catalogo universale Dataplex.

   Vai all'archivio degli attributi

2. Fai clic sulla tassonomia che contiene l'attributo da aggiornare.

3. Fai clic sull'attributo che vuoi aggiornare.

4. Per aggiornare il nome e la descrizione dell'attributo, fai clic su Modifica.

   1. Se stai aggiornando un attributo principale, hai la possibilità di aggiornarlo a un attributo secondario e viceversa. Seleziona le opzioni di conseguenza.
   2. Modifica il nome dell'attributo e la relativa descrizione in base alle esigenze.
   3. Fai clic su Aggiorna.

5. Per aggiornare le specifiche delle risorse per l'attributo, fai clic su edit Modifica per Specifiche delle risorse.

   1. Per aggiungere un nuovo principal, segui questi passaggi:

      1. Fai clic su Aggiungi.
      2. Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla risorsa.
      3. Seleziona i ruoli richiesti.
      4. Fai clic su Salva.

   2. Per aggiornare un principal esistente:

      1. Per l'entità che vuoi aggiornare, fai clic su edit Modifica.
      2. Seleziona i ruoli richiesti.
      3. Fai clic su Salva.

   3. Per rimuovere un principal esistente:

      1. Seleziona l'entità che vuoi rimuovere.
      2. Fai clic su Rimuovi.

6. Per aggiornare le specifiche di colonna per l'attributo, fai clic su edit Modifica per Specifiche di colonna.

   1. Per aggiungere un nuovo principal, segui questi passaggi:

      1. Fai clic su Aggiungi.
      2. Nel campo Nuove entità, inserisci l'indirizzo email di una persona o di un gruppo che deve accedere alla colonna.
      3. Seleziona i ruoli richiesti.
      4. Fai clic su Salva.

   2. Per aggiornare un principal esistente:

      1. Per l'entità che vuoi aggiornare, fai clic su edit Modifica.
      2. Seleziona i ruoli richiesti.
      3. Fai clic su Salva.

   3. Per rimuovere un principal esistente:

      1. Seleziona l'entità che vuoi rimuovere.
      2. Fai clic su Rimuovi.

Associa attributi alle risorse

Associare un attributo a una tabella

1. Nella console Google Cloud , vai alla pagina Attribute Store del catalogo universale Dataplex.

   Vai all'archivio degli attributi

2. Fai clic sulla tassonomia che contiene l'attributo.

3. Fai clic sull'attributo a cui vuoi associare una tabella.

4. Fai clic sulla scheda Risorse.

5. Fai clic su Aggiungi risorse.

6. Seleziona una tabella dall'elenco.

7. Fai clic su Seleziona.

Associare un attributo a una colonna

1. Nella console Google Cloud , vai alla pagina Ricerca di Data Catalog.

   Vai a Cerca

2. Cerca e seleziona la tabella a cui vuoi associare un attributo a una colonna.

3. Fai clic sulla scheda Tag di schema e colonna.

4. Per la colonna a cui vuoi associare un attributo, in Tag di policy, fai clic su add Aggiungi.

5. Seleziona la tassonomia che contiene l'attributo.

6. Seleziona l'attributo.

7. Fai clic su Allega.

Passaggi successivi

• Scopri di più sulla sicurezza di Dataplex Universal Catalog.
• Scopri di più sulla gestione delle policy in Dataplex Universal Catalog.
• Scopri di più sui ruoli IAM per Dataplex Universal Catalog.