Per impostazione predefinita, tutti i progetti Google Cloud hanno un solo utente, il creatore originale del progetto. Nessun altro utente ha accesso al progetto e, di conseguenza, alle risorse Dataplex Universal Catalog, finché un utente non viene aggiunto come membro del progetto o non è associato a una risorsa specifica. Questa pagina descrive i modi in cui puoi aggiungere nuovi utenti al tuo progetto e come impostare il controllo degli accessi per le tue risorse Dataplex Universal Catalog.
Panoramica di IAM
Google Cloud offre Identity and Access Management (IAM), che ti consente di concedere un accesso più granulare a risorseGoogle Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo il livello di accesso necessario per le tue risorse.
IAM consente inoltre di controllare chi (identità) ha quale (ruoli)
autorizzazione per quali risorse impostando i criteri IAM.
I criteri IAM concedono
ruoli specifici a un membro del progetto, conferendo all'identità determinate autorizzazioni.
Ad esempio, per una determinata risorsa, come un progetto, puoi assegnare il ruolo
roles/dataplex.admin a un Account Google e questo account può
controllare le risorse di Dataplex Universal Catalog nel progetto, ma non può
gestire altre risorse. Puoi anche utilizzare IAM per
gestire i ruoli di base concessi ai membri del team del progetto.
Opzioni di controllo dell'accesso per gli utenti
Per consentire agli utenti di creare e gestire le risorse Dataplex Universal Catalog, puoi aggiungerli come membri del team al tuo progetto o a risorse specifiche e concedere loro autorizzazioni utilizzando i ruoli IAM.
Un membro del team può essere un singolo utente con un Account Google valido, un gruppo Google, un account di servizio o un dominio Google Workspace. Quando aggiungi un membro del team a un progetto o a una risorsa, specifichi i ruoli da concedergli. IAM fornisce tre tipi di ruoli: ruoli predefiniti, ruoli di base e ruoli personalizzati.
Per saperne di più sulle funzionalità di ogni ruolo di Dataplex Universal Catalog e sui metodi API a cui un ruolo specifico concede l'autorizzazione, consulta Ruoli IAM di Dataplex Universal Catalog.
Per altri tipi di membri, come account di servizio e gruppi, consulta il riferimento al binding delle norme.
Account di servizio
Dataplex Universal Catalog utilizza un account di servizio a cui sono state concesse le autorizzazioni necessarie per accedere alle risorse gestite all'interno di un lake. A questo account di servizio vengono concesse automaticamente le autorizzazioni nel progetto contenente un'istanza del lake. Devi concedere esplicitamente le autorizzazioni ad altri progetti e risorse che vuoi aggiungere e gestire all'interno di un lake.
Il account di servizio in Dataplex Universal Catalog ha il seguente formato:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
CUSTOMER_PROJECT_NUMBER è il progetto in cui hai
abilitato l'API Dataplex Universal Catalog.
Devi concedere all'agente di servizio Dataplex Universal Catalog
(roles/dataplex.serviceAgent) l'accesso agli asset sottostanti che aggiungi a
un lake o a una zona dati.
Criteri IAM per le risorse
Dataplex Universal Catalog aggiunge una gerarchia virtuale sopra le risorse di archiviazione di base, come i bucket Cloud Storage e i set di dati BigQuery. Dataplex Universal Catalog propaga le policy IAM assegnate al lake fino agli asset della zona di dati e infine alle risorse a cui fanno riferimento questi asset. I criteri vengono aggiunti a quelli già esistenti nella risorsa di archiviazione di base (bucket Cloud Storage e set di dati BigQuery).
Un criterio IAM ti consente di gestire i ruoli IAM su queste risorse anziché, o in aggiunta, alla gestione dei ruoli a livello di progetto. In questo modo, puoi applicare il principio del privilegio minimo, ovvero concedere l'accesso solo alle risorse specifiche di cui i collaboratori hanno bisogno per svolgere il proprio lavoro.
Le risorse ereditano anche i criteri delle risorse padre. Se imposti un criterio a livello di progetto, questo viene ereditato da tutte le relative risorse figlio. Il criterio effettivo per una risorsa è l'unione del criterio impostato per quella risorsa e del criterio ereditato dai livelli superiori della gerarchia. Per ulteriori informazioni, leggi la gerarchia delle policy IAM.
Puoi ottenere e impostare i criteri IAM utilizzando la console Google Cloud , l'API IAM o Google Cloud CLI.
- Per la console Google Cloud , consulta Controllo dell'accesso tramite la console Google Cloud .
- Per l'API, vedi Controllo dell'accesso tramite l'API.
- Per Google Cloud CLI, consulta Controllo dell'accesso tramite Google Cloud CLI.
Passaggi successivi
- Scopri di più sui ruoli IAM.
- Scopri di più sulle autorizzazioni IAM.
- Scopri di più sulla sicurezza del lake Dataplex Universal Catalog.