Per impostazione predefinita, tutti i progetti Google Cloud includono un unico utente: il Project Creator originale. Nessun altro utente ha accesso al progetto e quindi alle risorse Dataplex Universal Catalog finché un utente non viene aggiunto come membro del progetto o associato a una risorsa specifica. Questa pagina descrive i modi in cui puoi aggiungere nuovi utenti al tuo progetto e come impostare il controllo degli accessi per le tue risorse Dataplex Universal Catalog.
Panoramica di IAM
Google Cloud offre Identity and Access Management (IAM), che ti consente di concedere un accesso più granulare a determinate risorseGoogle Cloud e impedisce l'accesso indesiderato ad altre risorse. Con IAM puoi adottare il principio di sicurezza del privilegio minimo e quindi concedere solo l'accesso necessario alle tue risorse.
IAM ti consente anche di controllare chi (identità) ha quale (ruoli) autorizzazione per quali risorse impostando le policy IAM.
Le policy IAM assegnano uno o più ruoli specifici a un membro del progetto, concedendo all'identità determinate autorizzazioni.
Ad esempio, per una determinata risorsa, come un progetto, puoi assegnare il ruolo
roles/dataplex.admin a un Account Google e questo account può
controllare le risorse di Dataplex Universal Catalog nel progetto, ma non può
gestire altre risorse. Puoi anche utilizzare IAM per gestire i ruoli di base concessi ai membri del team di progetto.
Opzioni di controllo dell'accesso per gli utenti
Per consentire agli utenti di creare e gestire le risorse Dataplex Universal Catalog, puoi aggiungerli come membri del team al progetto o a risorse specifiche e concedere loro le autorizzazioni utilizzando i ruoli IAM.
Un membro del team può essere un singolo utente con un Account Google valido, un gruppo Google, unaccount di serviziot o un dominio Google Workspace. Quando aggiungi un membro del team a un progetto o a una risorsa, specifichi i ruoli da concedergli. IAM fornisce tre tipi di ruoli: ruoli predefiniti, ruoli di base e ruoli personalizzati.
Per ulteriori informazioni sulle funzionalità di ogni ruolo di Dataplex Universal Catalog e sui metodi API a cui un ruolo specifico concede l'autorizzazione, consulta Ruoli IAM di Dataplex Universal Catalog.
Per altri tipi di membri, come service account e gruppi, consulta il riferimento al binding dei criteri.
Account di servizio
Dataplex Universal Catalog utilizza un account di servizio a cui sono state concesse le autorizzazioni necessarie per accedere alle risorse gestite all'interno di un lake. A questo service account vengono concesse automaticamente le autorizzazioni nel progetto contenente un'istanza lake. Devi concedere esplicitamente le autorizzazioni ad altri progetti e risorse che vuoi aggiungere e gestire all'interno di un lake.
Il account di servizio in Dataplex Universal Catalog ha il seguente formato:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
CUSTOMER_PROJECT_NUMBER è il progetto in cui hai
abilitato l'API Dataplex.
Devi concedere all'agente di servizio Dataplex Universal Catalog
(roles/dataplex.serviceAgent) l'accesso agli asset sottostanti che aggiungi a
un lake o a una zona dati.
Policy IAM per le risorse
Dataplex Universal Catalog aggiunge una gerarchia virtuale sopra le risorse di archiviazione di base, come i bucket Cloud Storage e i set di dati BigQuery. Dataplex Universal Catalog propaga le policy IAM assegnate al lake fino agli asset della zona di dati e infine alle risorse a cui fanno riferimento questi asset. I criteri vengono aggiunti a quelli già esistenti nella risorsa di archiviazione di base (bucket Cloud Storage e set di dati BigQuery).
Una policy IAM ti consente di gestire i ruoli IAM su queste risorse anziché, o in aggiunta a, gestire i ruoli a livello di progetto. In questo modo, hai la flessibilità di applicare il principio del privilegio minimo, ovvero concedere l'accesso solo alle risorse specifiche di cui i collaboratori hanno bisogno per svolgere il proprio lavoro.
Le risorse ereditano anche le policy delle risorse padre. Se imposti una policy a livello di progetto, questa viene ereditata da tutte le risorse figlio. La policy applicata a una risorsa è data dall'unione della policy impostata per quella risorsa più la policy ereditata dal livello superiore della gerarchia. Per ulteriori informazioni, consulta i dettagli sulla gerarchia delle policy IAM.
Puoi ottenere e impostare le policy IAM utilizzando la console Google Cloud , l'API IAM o Google Cloud CLI.
- Per la console Google Cloud , consulta Controllo dell'accesso tramite la console Google Cloud .
- Per l'API, vedi Controllo dell'accesso tramite l'API.
- Per Google Cloud CLI, consulta Controllo dell'accesso utilizzando Google Cloud CLI.
Passaggi successivi
- Scopri di più sui ruoli IAM.
- Scopri di più sulle autorizzazioni IAM.
- Scopri di più sulla sicurezza del lake Dataplex Universal Catalog.