Mapeamento de permissões do IAM entre o Data Catalog e o catálogo universal

Este documento descreve o mapeamento entre as permissões do Data Catalog e do catálogo universal do BigQuery.

Para ver mais informações, consulte os seguintes tópicos:

Grupos de entradas

A tabela a seguir fornece um mapeamento detalhado entre as permissões do Data Catalog e do catálogo universal para operações comuns em grupos de entrada:

Operação Permissões necessárias no Data Catalog Permissões necessárias no catálogo universal
Criar grupos de entrada datacatalog.entryGroups.create dataplex.entryGroups.create
Atualizar grupos de entrada datacatalog.entryGroups.update dataplex.entryGroups.update
Conferir os detalhes de um grupo de entrada datacatalog.entryGroups.get dataplex.entryGroups.get
Excluir grupos de entrada datacatalog.entryGroups.delete dataplex.entryGroups.delete

Para mais informações sobre grupos de entradas, consulte grupos de entradas no Data Catalog e grupos de entradas no catálogo universal.

Entradas

A tabela a seguir mostra um mapeamento detalhado entre as permissões do Data Catalog e do catálogo universal para operações comuns nas entradas:

Operação Permissões necessárias no Data Catalog Permissões necessárias no catálogo universal Observações
Criar entradas personalizadas datacatalog.entries.create

dataplex.entries.create

dataplex.entryTypes.use: para usar o tipo de entrada para criar entradas desse tipo.

dataplex.aspectTypes.use (para usar tipos de aspecto para criar entradas com os aspectos correspondentes)

O Data Catalog não tem a noção de tipos de entrada.

No Data Catalog, só é possível criar tags para uma entrada depois de criar a entrada. No catálogo universal, é possível criar aspectos para uma entrada quando você a cria.
Usar tipos de entrada do sistema reutilizáveis para criar entradas Não relevante Permissão especificada no grupo de entrada, por exemplo, dataplex.entryGroups.useENTRY_TYPE Para mais informações, consulte Tipos de entrada e de aspecto do sistema.
Conferir os detalhes de uma entrada personalizada datacatalog.entries.get dataplex.entries.get -
Conferir detalhes de uma entrada do sistema Permissão específica do sistema, por exemplo, bigquery.tables.get

dataplex.entries.get (para o método entries.get)
ou permissão do sistema
específica, por exemplo, bigquery.tables.get (para o método lookupEntry)

No catálogo universal, é possível recuperar uma entrada usando o método entries.get ou lookupEntry. A diferença entre esses métodos são as permissões necessárias.

O console do Google Cloud usa o método lookupEntry.
Listar entradas datacatalog.entries.list (para entradas personalizadas) dataplex.entries.list (para entradas do sistema e personalizadas)

O Data Catalog não oferece suporte para listar entradas do sistema.

No catálogo universal, os grupos de entrada do sistema são recursos válidos para definir permissões.
Fazer uma pesquisa Nenhuma permissão é necessária para a própria ação de pesquisa dataplex.projects.search

No Data Catalog, é possível realizar a pesquisa sem precisar de permissões especiais.

Para realizar a pesquisa no catálogo universal, você precisa da permissão dataplex.projects.search no projeto usado para realizar a pesquisa. Esse projeto é definido usando o parâmetro name no método searchEntries, enquanto o parâmetro scope define em quais projetos você está pesquisando.

No Data Catalog e no catálogo universal, os resultados da pesquisa estão sujeitos a verificações de permissão específicas do sistema. Você só tem acesso aos recursos que tem autorização para acessar.

Para mais informações sobre as permissões necessárias para pesquisar entradas no catálogo universal, consulte Entradas.

Atualizar campos (exceto tags e aspectos) em entradas personalizadas datacatalog.entries.update

dataplex.entries.update

dataplex.entryTypes.use

 A permissão entryTypes.use no catálogo universal protege os campos não de aspecto, como entrySource. Por exemplo, é possível usar essa permissão para impedir que os usuários modifiquem os campos definidos por um pipeline de conectividade gerenciada.
Definir permissão em uma entrada específica em vez de um grupo de entradas

Geralmente não é compatível.

No entanto, é possível definir a permissão em uma entrada específica ao atualizar tags para uma entrada do sistema. Isso exige permissões no sistema de origem.

 Sem suporte

As políticas do IAM são criadas apenas para grupos de entrada.

No Data Catalog, quando você atualiza tags de uma entrada do sistema, é necessário ter permissões no sistema de origem. Por exemplo, ao atualizar tags em uma tabela do BigQuery, você precisa da permissão bigquery.tables.updateTag. É possível definir essa permissão em uma entrada específica.

No catálogo universal, para atualizar aspectos de uma entrada, você precisa de dataplex.entries.update, que não pode ser definido em uma entrada específica.
Excluir entradas datacatalog.entries.delete dataplex.entries.delete -

Para mais informações sobre entradas, consulte entradas no Data Catalog e entradas no catálogo universal.

Modelos de tag e tipos de aspecto

A tabela a seguir fornece um mapeamento detalhado entre as permissões do Data Catalog e do catálogo universal para operações comuns em modelos de tag (no Data Catalog) e tipos de aspecto (no catálogo universal).

Operação Permissões necessárias no Data Catalog Permissões necessárias no catálogo universal Observações
Criar modelos de tag ou tipos de aspecto datacatalog.tagTemplates.create dataplex.aspectTypes.create -
Atualizar modelos de tag ou tipos de aspecto datacatalog.tagTemplates.update dataplex.aspectTypes.update -
Conferir detalhes de um modelo de tag ou um tipo de aspecto datacatalog.tagTemplates.get dataplex.aspectTypes.get -
Listar todos os modelos de tag ou tipos de aspecto Sem suporte dataplex.aspectTypes.list O Data Catalog não oferece suporte a modelos de tags de listagem.
Usar tipos de aspecto do sistema reutilizáveis Não relevante A permissão especificada no grupo de entrada em vez de dataplex.aspectTypes.use. Por exemplo, dataplex.entryGroups.useASPECT_TYPE. Para mais informações, consulte Tipos de entrada e de aspecto do sistema.
Excluir modelos de tag ou tipos de aspecto datacatalog.tagTemplates.delete dataplex.aspectTypes.delete -

Tags e aspectos

A tabela a seguir fornece um mapeamento detalhado entre as permissões do Data Catalog e do catálogo universal para operações comuns em tags (no Data Catalog) e aspectos (no catálogo universal).

Operação Permissões necessárias no Data Catalog Permissões necessárias no catálogo universal Observações
Criar, atualizar e excluir tags ou aspectos

datacatalog.entries.updateTag
ou
equivalente dependente do serviço, por exemplo, bigquery.tables.updateTag

datacatalog.tagTemplates.use

dataplex.entries.update

dataplex.aspectTypes.use

No Data Catalog, as tags são recursos independentes das entradas. Você atualiza tags e entradas usando métodos separados, e as respectivas permissões necessárias também são separadas.

No catálogo universal, os aspectos são armazenados em entradas, não como recursos independentes. Para atualizar aspectos de uma entrada, atualize a entrada. Isso se aplica a entradas do sistema e personalizadas.
Listar tags ou aspectos

datacatalog.entries.get (para tags públicas e privadas)

datacatalog.tagTemplates.get (para cada tag privada. Se você não tiver acesso a uma tag, ela será omitida nos resultados da pesquisa.)

 dataplex.entries.get No catálogo universal, quando você recupera uma entrada, os aspectos dela também são listados.

A seguir