Por padrão, todos os projetos do Google Cloud vêm com um único usuário: o criador do projeto original. Nenhum outro usuário tem acesso ao projeto e aos recursos do Dataplex Universal Catalog até que um usuário seja adicionado como membro do projeto ou esteja vinculado a um recurso específico. Nesta página, descrevemos como adicionar novos usuários a um projeto e definir o controle de acesso dos recursos do Dataplex Universal Catalog.
Visão geral do IAM
OGoogle Cloud oferece o gerenciamento de identidade e acesso (IAM), que permite conceder acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Com o IAM, é possível adotar o princípio de segurança de privilégio mínimo para conceder apenas o acesso necessário aos recursos.
O IAM permite controlar quem (identidade) tem qual (papéis) permissão para quais recursos. Basta definir as políticas.
As políticas do IAM concedem
papéis específicos a um membro do projeto, dando à identidade algumas permissões.
Por exemplo, é possível atribuir o papel roles/dataplex.admin a uma Conta do Google e ela poderá controlar recursos do catálogo universal do Dataplex no projeto, mas não poderá gerenciar outros recursos. Também é possível usar o IAM para gerenciar os papéis básicos concedidos aos membros da equipe do projeto.
Opções de controle de acesso para usuários
Para oferecer aos usuários a capacidade de criar e gerenciar os recursos do Catálogo Universal do Dataplex, adicione-os como membros da equipe ao projeto ou a recursos específicos e conceda a eles permissões usando os papéis do IAM.
Um membro da equipe pode ser um usuário individual com uma Conta do Google válida, um Grupo do Google, uma conta de serviço ou um domínio do Google Workspace. Quando você adiciona um membro da equipe a um projeto ou a um recurso, especifica quais papéis precisam ser concedidos. O IAM oferece três tipos de papéis: predefinidos, básicos e personalizados.
Para mais informações sobre os recursos de cada papel do Dataplex Universal Catalog e os métodos de API aos quais um papel específico concede permissão, consulte Papéis do IAM do Dataplex Universal Catalog.
Para outros tipos de membros, como contas de serviço e grupos, consulte a Referência de vinculação de políticas.
Contas de serviço
O Dataplex Universal Catalog usa uma conta de serviço que recebeu as permissões necessárias para acessar recursos gerenciados em um lake. Essa conta de serviço recebe automaticamente permissões no projeto que contém uma instância do lake. É preciso conceder permissões explícitas a outros projetos e recursos que você quer adicionar e gerenciar em um lake.
A conta de serviço no Dataplex Universal Catalog tem o seguinte formato:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
CUSTOMER_PROJECT_NUMBER é o projeto em que você ativou a API Dataplex Universal Catalog.
Você precisa conceder ao agente de serviço do Dataplex Universal Catalog (roles/dataplex.serviceAgent) acesso aos recursos subjacentes que você adiciona a um data lake ou zona de dados.
Políticas de IAM para recursos
O Dataplex Universal Catalog adiciona uma hierarquia virtual aos recursos de armazenamento de base, como buckets do Cloud Storage e conjuntos de dados do BigQuery. O Dataplex Universal Catalog propaga as políticas do IAM atribuídas ao data lake até os recursos da zona de dados e, por fim, aos recursos apontados por esses recursos. As políticas são adicionadas às que já existem no recurso de armazenamento de base (bucket do Cloud Storage e conjunto de dados do BigQuery).
Uma política do IAM permite gerenciar os papéis do IAM nesses recursos em vez de, ou além de, gerenciar papéis no nível do projeto. Isso oferece flexibilidade para aplicar o princípio de privilégio mínimo, que é conceder acesso somente aos recursos específicos que os colaboradores precisam para realizar o trabalho.
Os recursos também herdam as políticas do pai. Se você definir uma política no nível do projeto, ela será herdada por todos os recursos filhos. A política efetiva para um recurso é a união do conjunto de políticas nesse recurso e a política herdada do recurso mais alto na hierarquia. Para mais informações, leia sobre a hierarquia de políticas do IAM.
É possível receber e definir políticas do IAM usando o console Google Cloud , a API IAM ou a Google Cloud CLI.
- Para o console do Google Cloud , consulte Controle de acesso usando o console do Google Cloud .
- Para a API, consulte Controle de acesso usando a API.
- Para a Google Cloud CLI, consulte Controle de acesso usando a Google Cloud CLI.
A seguir
- Saiba mais sobre os papéis do IAM.
- Saiba mais sobre as permissões do IAM.
- Saiba mais sobre a segurança do lake do Dataplex Universal Catalog.