Protege tu lago

En este documento se describe cómo proteger y gestionar el acceso a los lagos de Dataplex Universal Catalog.

El modelo de seguridad de Dataplex Universal Catalog te permite gestionar los permisos de usuario para las siguientes tareas:

  • Administrar un lago (crear y adjuntar recursos, zonas y lagos adicionales)
  • Acceder a los datos conectados a un lago a través del recurso de asignación (por ejemplo,Google Cloud recursos como segmentos de Cloud Storage y conjuntos de datos de BigQuery)
  • Acceder a metadatos sobre los datos conectados a un lago

Un administrador de un lago controla el acceso a los recursos de Dataplex Universal Catalog, como lagos, zonas y recursos, asignando los roles básicos y predefinidos.

Roles básicos

Rol Descripción
Visor de Dataplex
(roles/dataplex.viewer)		 Permiso para ver (pero no editar) el lago, sus zonas configuradas y sus recursos.
Editor de Dataplex
(roles/dataplex.editor)		 Posibilidad de editar el lago. Puede crear y configurar lagos, zonas, recursos y tareas.
Administrador de Dataplex
(roles/dataplex.administrator)		 Capacidad para administrar un lago por completo.
Desarrollador de Dataplex
(roles/dataplex.developer)		 Capacidad para ejecutar cargas de trabajo de analíticas de datos en un lago. *
* Para consultar una tabla de BigQuery, necesitas permiso para ejecutar una tarea de BigQuery. Define este permiso en el proyecto al que quieras atribuir o cobrar el gasto de computación de la tarea. Para obtener más información, consulta el artículo sobre los roles y permisos predefinidos de BigQuery.
Para ejecutar una tarea de Spark, crea clústeres de Dataproc y envía tareas de Dataproc en el proyecto al que quieras atribuir el cálculo.

Funciones predefinidas

Google Cloud Gestiona los roles predefinidos que proporcionan acceso granular a Dataplex Universal Catalog.

Roles de metadatos

Los roles de metadatos pueden ver metadatos, como los esquemas de las tablas.

Rol Descripción
Editor de metadatos de Dataplex
(roles/dataplex.metadataWriter)		 Posibilidad de actualizar los metadatos de un recurso concreto.
Lector de metadatos de Dataplex
(roles/dataplex.metadataReader)		 Permiso para leer los metadatos (por ejemplo, para consultar una tabla).

Roles de datos

Si se asignan roles de datos a una entidad principal, esta podrá leer o escribir datos en los recursos subyacentes a los que apunten los recursos del lake.

Dataplex Universal Catalog asigna sus roles a los roles de datos de cada recurso de almacenamiento subyacente (como Cloud Storage y BigQuery).

Dataplex Universal Catalog traduce y propaga los roles de datos de Dataplex Universal Catalog al recurso de almacenamiento subyacente, lo que permite definir los roles correctos para cada recurso de almacenamiento. Puedes asignar un único rol de datos de Dataplex Universal Catalog en la jerarquía de lagos (por ejemplo, un lago) y Dataplex Universal Catalog mantendrá el acceso especificado a los datos de todos los recursos conectados a ese lago (por ejemplo, los segmentos de Cloud Storage y los conjuntos de datos de BigQuery se denominan recursos en las zonas subyacentes).

Por ejemplo, si se asigna el rol dataplex.dataWriter a una entidad de seguridad en un lago, esta tendrá acceso de escritura a todos los datos del lago, sus zonas y sus recursos subyacentes. Los roles de acceso a datos concedidos en un nivel inferior (zona) se heredan en la jerarquía del lago de datos a los recursos subyacentes.

Rol Descripción
Lector de datos de Dataplex
(roles/dataplex.dataReader)		 Capacidad para leer datos del almacenamiento asociado a los recursos, incluidos los contenedores de almacenamiento y los conjuntos de datos de BigQuery (y su contenido). *
Escritor de datos de Dataplex
(roles/dataplex.dataWriter)		 Permiso para escribir en los recursos subyacentes a los que apunta el recurso. *
Propietario de datos de Dataplex
(roles/dataplex.dataOwner)		 Asigna el rol Propietario a los recursos subyacentes, lo que incluye la capacidad de gestionar los recursos secundarios. Por ejemplo, como propietario de datos de un conjunto de datos de BigQuery, puede gestionar las tablas subyacentes.

Protege tu lago

Puedes proteger y gestionar el acceso a tu lago y a los datos asociados. En la consola Google Cloud , usa una de las siguientes vistas:

  • Vista Gestionar de Dataplex Universal Catalog en la pestaña Permisos
  • Vista Segura de Dataplex Universal Catalog

Usar la vista Gestionar

La pestaña Permisos te permite gestionar todos los permisos de un recurso de lago y ofrece una vista sin filtros de todos los permisos, incluidos los heredados.

Para proteger tu lago, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Lagos de Dataplex Universal Catalog.

    Ir a Lagos

  2. Haz clic en el nombre del lago que has creado.

  3. Haz clic en la pestaña Permisos.

  4. Haga clic en la pestaña Ver por roles.

  5. Haz clic en Añadir para añadir un nuevo rol. Añade los roles Lector de datos de Dataplex, Escritor de datos y Propietario de datos.

  6. Comprueba que aparecen los roles Lector de datos de Dataplex, Escritor de datos y Propietario de datos.

Usar la vista Seguro

La vista Segura de Dataplex Universal Catalog en la consola de Google Cloud proporciona lo siguiente:

  • Una vista filtrable de los roles de Dataplex Universal Catalog que se centran en un recurso específico
  • Separar los roles de datos de los roles de recursos del lago
Ejemplo de permisos de datos que no se heredan de recursos de lagos superiores
Figura 1: En este ejemplo de un lago, ambos principales tienen permisos de datos en el recurso llamado Datos de Cloud Storage (datos de GCS). Estos permisos no se heredan de recursos de lago de nivel superior.


Ejemplo de permisos que no se heredan de recursos de lagos superiores
Figura 2: en este ejemplo se muestra lo siguiente:
  1. Una cuenta de servicio que hereda el rol Administrador de Dataplex del proyecto.
  2. Principales (dirección de correo) que heredan los roles Editor y Lector de Dataplex del proyecto. Estos son los roles que se aplican a todos los recursos.
  3. Una cuenta principal (dirección de correo electrónico) que hereda el rol Administrador de Dataplex del proyecto.

Gestión de políticas

Una vez que hayas especificado tu política de seguridad, Dataplex Universal Catalog propagará los permisos a las políticas de gestión de identidades y accesos de los recursos gestionados.

La política de seguridad configurada a nivel de lago se propaga a todos los recursos gestionados en ese lago. Dataplex Universal Catalog proporciona el estado de propagación y la visibilidad de estas propagaciones a gran escala en la pestaña Gestionar > Permisos de Dataplex Universal Catalog. Monitoriza continuamente los recursos gestionados para detectar cualquier cambio en la política de IAM fuera de Dataplex Universal Catalog.

Los usuarios que ya tengan permisos en un recurso seguirán teniéndolos después de que se adjunte a un lago de Universal Catalog de Dataplex. Del mismo modo, los enlaces de roles que no sean de Dataplex Universal Catalog y que se creen o actualicen después de asociar el recurso a Dataplex Universal Catalog no cambiarán.

Definir políticas a nivel de columna, de fila y de tabla

Los recursos de los segmentos de Cloud Storage tienen asociadas tablas externas de BigQuery.

Puedes actualizar un recurso de segmento de Cloud Storage, lo que significa que Dataplex Universal Catalog elimina las tablas externas asociadas y adjunta tablas de BigLake.

Puedes usar tablas de BigLake en lugar de tablas externas para obtener un control de acceso detallado, incluidos controles a nivel de fila, controles a nivel de columna y enmascaramiento de datos de columna.

Seguridad de los metadatos

Los metadatos hacen referencia principalmente a la información de esquema asociada a los datos de usuario presentes en los recursos gestionados por un lago.

Dataplex Universal Catalog Discovery examina los datos de los recursos gestionados y extrae información de esquemas tabulares. Estas tablas se publican en los sistemas BigQuery, Dataproc Metastore y Data Catalog (obsoleto).

BigQuery

Cada tabla detectada tiene una tabla asociada registrada en BigQuery. Cada zona tiene un conjunto de datos de BigQuery asociado en el que se registran todas las tablas externas asociadas a las tablas descubiertas en esa zona de datos.

Las tablas alojadas en Cloud Storage que se han detectado se registran en el conjunto de datos creado para la zona.

Dataproc Metastore

Las bases de datos y las tablas están disponibles en el almacén de metadatos de Dataproc asociado a la instancia de lago de Dataplex Universal Catalog. Cada zona de datos tiene una base de datos asociada y cada recurso puede tener una o varias tablas asociadas.

Los datos de un servicio de Dataproc Metastore se protegen configurando tu red de VPC-SC. La instancia de Dataproc Metastore se proporciona a Dataplex Universal Catalog durante la creación del lago, lo que ya la convierte en un recurso gestionado por el usuario.

Data Catalog

Cada tabla detectada tiene una entrada asociada en Data Catalog (obsoleta) para permitir la búsqueda y la detección.

Data Catalog requiere nombres de políticas de IAM durante la creación de entradas. Por lo tanto, Dataplex Universal Catalog proporciona el nombre de la política de IAM del recurso de activo de Dataplex Universal Catalog con el que se debe asociar la entrada. Por lo tanto, los permisos de la entrada de Dataplex Universal Catalog se rigen por los permisos del recurso de elemento. Asigna el rol Lector de metadatos de Dataplex (roles/dataplex.metadataReader) y el rol Escritor de metadatos de Dataplex (roles/dataplex.metadataWriter) en el recurso de activo.

Siguientes pasos