Asignación de permisos de IAM entre Data Catalog y el catálogo universal

En este documento, se describe la asignación entre los permisos de Data Catalog y los permisos del catálogo universal de BigQuery.

Para obtener más información, consulta lo siguiente:

Grupos de entrada

En la siguiente tabla, se proporciona una asignación detallada entre los permisos de Data Catalog y los permisos del catálogo universal para operaciones comunes en grupos de entradas:

Operación Permisos necesarios en Data Catalog Permisos necesarios en el catálogo universal
Crea grupos de entradas datacatalog.entryGroups.create dataplex.entryGroups.create
Actualiza los grupos de entradas datacatalog.entryGroups.update dataplex.entryGroups.update
Cómo ver los detalles de un grupo de entrada datacatalog.entryGroups.get dataplex.entryGroups.get
Borra grupos de entrada datacatalog.entryGroups.delete dataplex.entryGroups.delete

Para obtener más información sobre los grupos de entradas, consulta grupos de entradas en Data Catalog y grupos de entradas en el catálogo universal.

Entradas

En la siguiente tabla, se muestra una asignación detallada entre los permisos de Data Catalog y los permisos del catálogo universal para operaciones comunes en las entradas:

Operación Permisos necesarios en Data Catalog Permisos necesarios en el catálogo universal Notas
Crea entradas personalizadas datacatalog.entries.create

dataplex.entries.create

dataplex.entryTypes.use (para usar el tipo de entrada y crear entradas de ese tipo)

dataplex.aspectTypes.use (para usar tipos de aspectos y crear entradas con los aspectos correspondientes)

Data Catalog no tiene la noción de tipos de entrada.

En Data Catalog, puedes crear etiquetas para una entrada solo después de crearla. En el catálogo universal, puedes crear aspectos para una entrada cuando la creas.
Usa tipos de entrada del sistema reutilizables para crear entradas No aplicable Permiso especificado en el grupo de entrada (por ejemplo, dataplex.entryGroups.useENTRY_TYPE) Para obtener más información, consulta Tipos de aspectos y tipos de entrada del sistema.
Cómo ver los detalles de una entrada personalizada datacatalog.entries.get dataplex.entries.get -
Cómo ver los detalles de una entrada del sistema Permiso específico del sistema (por ejemplo, bigquery.tables.get)

dataplex.entries.get (para el método entries.get)
o
permiso específico del sistema (por ejemplo, bigquery.tables.get (para el método lookupEntry))

En el catálogo universal, puedes recuperar una entrada con el método entries.get o lookupEntry. La diferencia entre estos métodos son los permisos que se requieren.

La consola de Google Cloud usa el método lookupEntry.
Enumerar entradas datacatalog.entries.list (para entradas personalizadas) dataplex.entries.list (para entradas del sistema y personalizadas)

Data Catalog no admite la publicación de entradas del sistema.

En el catálogo universal, los grupos de entradas del sistema son recursos válidos para los que puedes configurar permisos.
Cómo realizar una búsqueda No se requiere permiso para la acción de búsqueda dataplex.projects.search

En Data Catalog, puedes realizar la búsqueda sin necesitar permisos especiales.

Para realizar la búsqueda en el catálogo universal, necesitas el permiso dataplex.projects.search en el proyecto que se usa para realizar la búsqueda. Este proyecto se configura con el parámetro name en el método searchEntries, mientras que el parámetro scope define en qué proyectos estás buscando.

En Data Catalog y el catálogo universal, los resultados de la búsqueda están sujetos a verificaciones de permisos específicas del sistema. Solo verás los recursos a los que tienes autorización para acceder.

Para obtener más información sobre los permisos necesarios para buscar entradas en el catálogo universal, consulta Entradas.

Actualiza campos (excepto etiquetas y aspectos) en entradas personalizadas datacatalog.entries.update

dataplex.entries.update

dataplex.entryTypes.use

 El permiso entryTypes.use en el catálogo universal protege los campos que no son de aspecto, como entrySource. Por ejemplo, puedes usar este permiso para evitar que los usuarios modifiquen los campos que establece una canalización de conectividad administrada.
Cómo establecer permisos en una entrada específica en lugar de un grupo de entradas

Por lo general, no se admite.

Sin embargo, puedes establecer permisos en una entrada específica cuando actualizas las etiquetas de una entrada del sistema. Esto requiere permisos en el sistema fuente.

 No compatible

Las políticas de IAM solo se crean para grupos de entrada.

En Data Catalog, cuando actualizas las etiquetas de una entrada del sistema, necesitas permisos en el sistema de origen. Por ejemplo, cuando actualizas las etiquetas de una tabla de BigQuery, necesitas el permiso bigquery.tables.updateTag. Puedes establecer este permiso en una entrada específica.

En el catálogo universal, para actualizar los aspectos de una entrada, necesitas dataplex.entries.update, que no se puede configurar en una entrada específica.
Borrar entradas datacatalog.entries.delete dataplex.entries.delete -

Para obtener más información sobre las entradas, consulta entradas en Data Catalog y entradas en el catálogo universal.

Plantillas de etiquetas y tipos de aspecto

En la siguiente tabla, se proporciona una asignación detallada entre los permisos de Data Catalog y los permisos del catálogo universal para operaciones comunes en plantillas de etiquetas (en Data Catalog) y tipos de aspecto (en el catálogo universal).

Operación Permisos necesarios en Data Catalog Permisos necesarios en el catálogo universal Notas
Crea plantillas de etiquetas o tipos de aspecto datacatalog.tagTemplates.create dataplex.aspectTypes.create -
Actualiza las plantillas de etiquetas o los tipos de aspecto datacatalog.tagTemplates.update dataplex.aspectTypes.update -
Cómo ver los detalles de una plantilla de etiqueta o un tipo de aspecto datacatalog.tagTemplates.get dataplex.aspectTypes.get -
Genera una lista con todas las plantillas de etiquetas o los tipos de aspecto No compatible dataplex.aspectTypes.list Data Catalog no admite plantillas de etiquetas de ficha.
Usa tipos de aspectos del sistema reutilizables No aplicable Se especificó el permiso en el grupo de entrada en lugar de dataplex.aspectTypes.use. Por ejemplo, dataplex.entryGroups.useASPECT_TYPE Para obtener más información, consulta Tipos de aspectos y tipos de entrada del sistema.
Borra plantillas de etiquetas o tipos de aspecto datacatalog.tagTemplates.delete dataplex.aspectTypes.delete -

Aspectos y etiquetas

En la siguiente tabla, se proporciona una asignación detallada entre los permisos de Data Catalog y los permisos del catálogo universal para operaciones comunes en etiquetas (en Data Catalog) y aspectos (en el catálogo universal).

Operación Permisos necesarios en Data Catalog Permisos necesarios en el catálogo universal Notas
Crea, actualiza y borra etiquetas o aspectos

datacatalog.entries.updateTag
o
equivalente dependiente del servicio, por ejemplo,bigquery.tables.updateTag

datacatalog.tagTemplates.use

dataplex.entries.update

dataplex.aspectTypes.use

En Data Catalog, las etiquetas son recursos independientes de las entradas. Para actualizar las etiquetas y las entradas, debes usar métodos independientes, y los permisos correspondientes que se requieren también son independientes.

En el catálogo universal, los aspectos se almacenan dentro de las entradas, no como recursos independientes. Para actualizar los aspectos de una entrada, debes actualizarla. Esto se aplica a las entradas del sistema y personalizadas.
Enumera etiquetas o aspectos

datacatalog.entries.get (para etiquetas públicas y privadas)

datacatalog.tagTemplates.get (para cada etiqueta privada) Si no tienes acceso a una etiqueta, esta se omite en los resultados de la búsqueda).

 dataplex.entries.get En el catálogo universal, cuando recuperas una entrada, también se muestran sus aspectos.

¿Qué sigue?