De forma predeterminada, todos los proyectos de Google Cloud incluyen un solo usuario, es decir, el creador original del proyecto. Ningún otro usuario tiene acceso al proyecto. por lo tanto, el acceso a los recursos de Dataplex se agrega como miembro del proyecto o se vincula a un recurso específico. Esta página se describen las formas en que puedes agregar usuarios nuevos a tu proyecto y cómo configurar el acceso para tus recursos de Dataplex.
¿Qué es IAM?
Google Cloud ofrece Identity and Access Management (IAM), lo que te permite brindar un acceso más detallado recursos de Google Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgas el acceso necesario a tus recursos.
IAM te permite controlar quién (identidad) tiene qué (funciones) permisos sobre qué recursos mediante la configuración de políticas de IAM.
Las políticas de IAM otorgan funciones específicas a un miembro del proyecto y otorgan ciertos permisos a la identidad.
Por ejemplo, para un recurso determinado, como un proyecto, puedes asignar la
roles/dataplex.admin a una Cuenta de Google, y esa cuenta puede
controlar los recursos de Dataplex en el proyecto, pero no
administrar otros recursos. También puedes usar IAM para administrar las funciones básicas otorgadas a los miembros del equipo del proyecto.
Opciones de control de acceso para usuarios
Para otorgar a los usuarios la capacidad de crear y administrar tus recursos de Dataplex, puedes agregar usuarios como miembros del equipo a tu proyecto o a recursos específicos, y otorgarles permisos mediante roles de IAM.
Un miembro del equipo puede ser un usuario individual con una Cuenta de Google válida, un Grupo de Google, una cuenta de servicio o un dominio de Google Workspace. Cuando agregas un miembro del equipo a un proyecto o recurso, debes especificar qué funciones le otorgas. IAM proporciona tres tipos de roles: roles predefinidos, roles básicos y roles personalizados.
Para ver una lista de las capacidades de cada rol de Dataplex y los métodos de API a los que otorga permiso un rol específico, revisa el Roles de IAM de Dataplex en la documentación de Google Cloud.
Para otros tipos de miembros, como cuentas de servicio y grupos, consulta la referencia de vinculación de políticas.
Cuentas de servicio
Dataplex usa una cuenta de servicio a la que se le otorgó los permisos necesarios para acceder a los recursos administrados dentro de un lake. A esta cuenta de servicio se le otorgan permisos automáticamente en el proyecto que contiene una instancia de lago. Debes otorgarles explícitamente permisos a otros proyectos y recursos que quieres agregar y administrar en un lake.
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.comCUSTOMER_PROJECT_NUMBERes el proyecto en el que La API de Dataplex está habilitada.
Debes otorgar al agente de servicio de Dataplex
(roles/dataplex.serviceAgent) acceso a los elementos subyacentes que agregues a los
un lake o una zona de datos.
Políticas de IAM para los recursos
Dataplex agrega una jerarquía virtual sobre el almacenamiento base recursos como buckets de Cloud Storage y BigQuery conjuntos de datos. Dataplex propaga políticas de IAM desde el lake hasta los recursos de la zona de datos de estos recursos. Las políticas se agregan a aquellas existentes en el recurso de almacenamiento base (bucket de Cloud Storage y conjunto de datos).
Una política de IAM te permite administrar roles de IAM en esos en lugar de administrar funciones a nivel de proyecto, o además de hacerlo. Esto te da flexibilidad para aplicar el principio de privilegio mínimo, que es para otorgar acceso solo a los recursos específicos que los colaboradores necesitan su trabajo.
Los recursos también heredan las políticas de sus recursos superiores. Si estableces una política a nivel de proyecto, todos sus recursos secundarios la heredan. La política vigente para un recurso es la unión de la política establecida en ese recurso y la política heredada de una jerarquía superior. Para obtener más información, consulta la jerarquía de políticas de IAM.
Puedes obtener y establecer políticas de IAM con la consola de Google Cloud, la API de IAM o Google Cloud CLI.
- Para la consola de Google Cloud, consulta Control de acceso con la consola de Google Cloud.
- Para la API, consulta Control de acceso con la API.
- Para Google Cloud CLI, consulta Control de acceso con Google Cloud CLI.
Próximos pasos
- Obtén más información sobre las funciones de IAM
- Obtén más información sobre los permisos de IAM.
- Obtén más información sobre la seguridad del lake de Dataplex.