Por padrão, todos os projetos do Google Cloud vêm com um único usuário: o criador do projeto original. Nenhum outro usuário tem acesso ao projeto, e acesso aos recursos do Dataplex, até que um usuário seja adicionado como membro do projeto ou vinculado a um recurso específico. Esta página descreve as formas de adicionar novos usuários ao projeto e como definir o acesso para seus recursos do Dataplex.
O que é IAM?
O Google Cloud oferece o gerenciamento de identidade e acesso (IAM), que permite a concessão de acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Com o IAM, é possível adotar o princípio de segurança do menor privilégio (em inglês) para conceder apenas o acesso necessário aos recursos.
O IAM permite controlar quem (identidade) tem qual (papéis) permissão para quais recursos. Basta definir as políticas.
As políticas do IAM concedem
papéis específicos a um membro do projeto, dando à identidade algumas permissões.
Por exemplo, para um determinado recurso, como um projeto, é possível atribuir o
roles/dataplex.admin a uma Conta do Google, e ela poderá
controlar os recursos do Dataplex no projeto, mas não
gerenciar outros recursos. Também é possível usar o IAM para gerenciar os papéis básicos concedidos aos membros da equipe do projeto.
Opções de controle de acesso para usuários
Para oferecer aos usuários a capacidade de criar e gerenciar o Dataplex recursos, é possível adicionar usuários como membros da equipe ao seu projeto ou recursos específicos e conceder a eles permissões usando os papéis do IAM.
Um membro da equipe pode ser um usuário individual com uma Conta do Google válida, um Grupo do Google, uma conta de serviço ou um domínio do Google Workspace. Quando você adiciona um membro da equipe a um projeto ou a um recurso, especifica quais papéis precisam ser concedidos. O IAM oferece três tipos de papéis: predefinidos, básicos e personalizados.
Para conferir uma lista de recursos de cada papel do Dataplex e métodos de API aos quais um papel específico concede permissão, revise o Papéis do IAM do Dataplex na documentação do Google Cloud.
Para outros tipos de membros, como contas de serviço e grupos, consulte a Referência de vinculação de políticas.
Contas de serviço
O Dataplex usa uma conta de serviço que recebeu as permissões necessárias para acessar recursos gerenciados em um lake. Este serviço recebe automaticamente permissões no projeto que contém um lake instância. É necessário conceder permissões explícitas a outros projetos e recursos que você quer adicionar e gerenciar em um lago.
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.comCUSTOMER_PROJECT_NUMBERé o projeto em que a API Dataplex está ativada.
É preciso conceder ao agente de serviço do Dataplex
(roles/dataplex.serviceAgent) acesso aos recursos subjacentes que você adicionar
é um data lake ou zona de dados.
Políticas de IAM para recursos
O Dataplex adiciona uma hierarquia virtual aos recursos de armazenamento básicos, como buckets do Cloud Storage e conjuntos de dados do BigQuery. O Dataplex propaga as políticas do IAM atribuídos ao lake, até os recursos da zona de dados e, por fim, os recursos por esses recursos. As políticas são adicionadas àquelas já existentes de armazenamento de base (bucket do Cloud Storage e BigQuery no conjunto de dados).
Com uma política do IAM, você gerencia os papéis do IAM recursos, em vez de, ou além de, gerenciar papéis no nível do projeto. Assim, você tem flexibilidade para aplicar o princípio de privilégio mínimo, conceder acesso apenas aos recursos específicos que os colaboradores precisam fazer o trabalho.
Os recursos também herdam as políticas do pai. Se você definir uma política no nível do projeto, ela será herdada por todos os recursos filhos. A política efetiva para um recurso é a união do conjunto de políticas nesse recurso e a política herdada do recurso mais alto na hierarquia. Para mais informações, leia sobre a hierarquia de políticas do IAM.
É possível receber e definir políticas do IAM usando o Console do Google Cloud, a API IAM ou a CLI do Google Cloud.
- Para acessar o console do Google Cloud, consulte Controle de acesso usando o console do Google Cloud.
- Para usar a API, consulte Controle de acesso usando a API.
- Para a CLI do Google Cloud, consulte Controle de acesso usando a CLI do Google Cloud.
A seguir
- Saiba mais sobre os papéis do IAM.
- Saiba mais sobre as permissões do IAM.
- Saiba mais sobre a segurança do lake do Dataplex.