Por predefinição, todos os Google Cloud projetos incluem um único utilizador, o criador original do projeto. Nenhum outro utilizador tem acesso ao projeto e, por isso, acesso aos recursos do catálogo universal do Dataplex, até que um utilizador seja adicionado como membro do projeto ou esteja associado a um recurso específico. Esta página descreve as formas como pode adicionar novos utilizadores ao seu projeto e como definir o controlo de acesso para os recursos do Dataplex Universal Catalog.
Vista geral da IAM
Google Cloud oferece gestão de identidade e de acesso (IAM), que lhe permite conceder acesso mais detalhado aGoogle Cloud recursos específicos e impede o acesso indesejado a outros recursos. O IAM permite-lhe adotar o princípio de segurança do menor privilégio, pelo que concede apenas o acesso necessário aos seus recursos.
O IAM também lhe permite controlar quem (identidade) tem que (funções) autorização para que recursos através da definição de políticas de IAM.
As políticas de IAM concedem funções específicas a um membro do projeto, dando à identidade determinadas autorizações.
Por exemplo, para um determinado recurso, como um projeto, pode atribuir a função roles/dataplex.admin a uma Conta Google, e essa conta pode controlar os recursos do catálogo universal do Dataplex no projeto, mas não pode gerir outros recursos. Também pode usar o IAM para gerir as funções básicas concedidas aos membros da equipa do projeto.
Opções de controlo de acesso para utilizadores
Para dar aos utilizadores a capacidade de criar e gerir os recursos do catálogo universal do Dataplex, pode adicionar utilizadores como membros da equipa ao seu projeto ou a recursos específicos e conceder-lhes autorizações através de funções do IAM.
Um membro da equipa pode ser um utilizador individual com uma Conta Google válida, um grupo Google, uma conta de serviço ou um domínio do Google Workspace. Quando adiciona um membro da equipa a um projeto ou a um recurso, especifica as funções que lhe quer atribuir. O IAM oferece três tipos de funções: funções predefinidas, funções básicas e funções personalizadas.
Para mais informações sobre as capacidades de cada função do Dataplex Universal Catalog e os métodos da API aos quais uma função específica concede autorização, consulte o artigo Funções de IAM do Dataplex Universal Catalog.
Para outros tipos de membros, como contas de serviço e grupos, consulte a referência de associação de políticas.
Contas de serviço
O Dataplex Universal Catalog usa uma conta de serviço à qual foram concedidas as autorizações necessárias para aceder aos recursos geridos num lago. Esta conta de serviço recebe automaticamente autorizações no projeto que contém uma instância do lake. Tem de conceder-lhe explicitamente autorizações a outros projetos e recursos que quer adicionar e gerir num lake.
A conta de serviço no Dataplex Universal Catalog tem o seguinte formato:
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com
CUSTOMER_PROJECT_NUMBER é o projeto no qual ativou a API Dataplex.
Tem de conceder ao agente do serviço Dataplex Universal Catalog (roles/dataplex.serviceAgent) acesso aos recursos subjacentes que adiciona a um lake ou a uma zona de dados.
Políticas IAM para recursos
O catálogo universal do Dataplex adiciona uma hierarquia virtual sobre os recursos de armazenamento base, como contentores do Cloud Storage e conjuntos de dados do BigQuery. O catálogo universal do Dataplex propaga as políticas de IAM atribuídas ao lake até aos recursos da zona de dados e, finalmente, aos recursos apontados por estes recursos. As políticas são adicionadas às que já existem no recurso de armazenamento base (contentor do Cloud Storage e conjunto de dados do BigQuery).
Uma Política IAM permite-lhe gerir funções IAM nesses recursos, em vez de, ou além de, gerir funções ao nível do projeto. Isto dá-lhe flexibilidade para aplicar o princípio do menor privilégio, que consiste em conceder acesso apenas aos recursos específicos de que os colaboradores precisam para fazer o seu trabalho.
Os recursos também herdam as políticas dos respetivos recursos principais. Se definir uma política ao nível do projeto, esta é herdada por todos os respetivos recursos secundários. A política em vigor para um recurso é a união da política definida nesse recurso e da política herdada de um nível superior na hierarquia. Para mais informações, leia acerca da hierarquia de políticas de IAM.
Pode obter e definir políticas de IAM através da Google Cloud consola, da API IAM ou da CLI Google Cloud.
- Para a Google Cloud consola, consulte Controlo de acesso através da Google Cloud consola.
- Para a API, consulte o artigo Controlo de acesso através da API.
- Para a CLI do Google Cloud, consulte o artigo Controlo de acesso através da CLI do Google Cloud.
O que se segue?
- Saiba mais acerca das funções do IAM.
- Saiba mais acerca das autorizações de IAM.
- Saiba mais sobre a segurança do lago do Dataplex Universal Catalog.