Autorisierte Funktionen
Mit autorisierten Funktionen können Sie Abfrageergebnisse für bestimmte Nutzer oder Gruppen freigeben, ohne diesen Nutzern oder Gruppen Zugriff auf die zugrunde liegenden Tabellen zu gewähren. Beispielsweise kann eine autorisierte Funktion eine Aggregation von Daten berechnen oder einen Tabellenwert abrufen und diesen Wert in einer Berechnung verwenden.
Wenn eine benutzerdefinierte Funktion (UDF) oder Tabellenfunktion eine Tabelle abfragt, muss ein Nutzer, der diese Funktion aufruft, standardmäßig Berechtigung zum Lesen der Daten in der Tabelle haben. Alternativ können Sie die Funktion autorisieren, um auf das Dataset zuzugreifen, das die referenzierte Tabelle enthält. Eine autorisierte Funktion kann die Tabellen im Dataset abfragen, auch wenn der Nutzer, der die Funktion aufruft, diese Tabellen nicht direkt abfragen kann.
Funktion autorisieren
Sie können sowohl UDFs als auch Tabellenfunktionen autorisieren. Zum Autorisieren einer Funktion können Sie die Google Cloud Console, die REST API oder das bq
-Befehlszeilentool verwenden:
Console
Rufen Sie in der Google Cloud Console die Seite "BigQuery" auf.
Maximieren Sie im Navigationsbereich im Abschnitt Ressourcen Ihr Projekt und wählen Sie ein Dataset aus.
Klicken Sie im Detailbereich auf Routinen autorisieren.
Wählen Sie auf der Seite Autorisierte Routinen im Abschnitt Routine autorisieren die Projekt-ID, die Dataset-ID und die Routine-ID für die Funktion aus, die Sie autorisieren möchten.
Klicken Sie auf Autorisierung hinzufügen.
API
Rufen Sie die Methode
datasets.get
auf, um das Dataset abzurufen, auf das die Funktion zugreifen soll. Der Antworttext enthält eine Darstellung derDataset
-Ressource.Fügen Sie dem
access
-Array in derDataset
-Ressource das folgende JSON-Objekt hinzu:{ "routine": { "datasetId": "DATASET_NAME", "projectId": "PROJECT_ID", "routineId": "ROUTINE_NAME" } }
Dabei gilt:
- DATASET_NAME ist der Name des Datasets, das die UDF enthält.
- PROJECT_ID ist die Projekt-ID des Projekts, das die UDF enthält.
- ROUTINE_NAME ist der Name der Funktion.
Rufen Sie die Methode
dataset.update
mit der geändertenDataset
-Darstellung auf.
bq
Verwenden Sie den Befehl
bq show
, um die JSON-Darstellung des Datasets abzurufen, auf das die Funktion zugreifen soll. Die Ausgabe des Befehls ist eine JSON-Darstellung der RessourceDataset
. Speichern Sie das Ergebnis in einer lokalen Datei.bq show --format=prettyjson TARGET_DATASET > dataset.json
Ersetzen Sie TARGET_DATASET durch den Namen des Datasets, auf das die Funktion zugreifen soll.
Bearbeiten Sie die Datei, um dem
access
-Array in derDataset
-Ressource das folgende JSON-Objekt hinzuzufügen:{ "routine": { "datasetId": "DATASET_NAME", "projectId": "PROJECT_ID", "routineId": "ROUTINE_NAME" } }
Dabei gilt:
- DATASET_NAME ist der Name des Datasets, das die Funktion enthält.
- PROJECT_ID ist die Projekt-ID des Projekts, das die Funktion enthält.
- ROUTINE_NAME ist der Name der Funktion.
Aktualisieren Sie das Dataset mit dem Befehl
bq update
.bq update --source dataset.json TARGET_DATASET
Beispiel für eine autorisierte Funktion
Im Folgenden finden Sie ein End-to-End-Beispiel für das Erstellen und Verwenden einer autorisierten UDF.
Erstellen Sie zwei Datasets mit den Namen
private_dataset
undpublic_dataset
. Weitere Informationen zum Erstellen eines Datasets finden Sie unter Dataset erstellen.Führen Sie die folgende Anweisung aus, um eine Tabelle mit dem Namen
private_table
inprivate_dataset
zu erstellen:CREATE OR REPLACE TABLE private_dataset.private_table AS SELECT key FROM UNNEST(['key1', 'key1','key2','key3']) key;
Führen Sie die folgende Anweisung aus, um eine UDF mit dem Namen
count_key
inpublic_dataset
zu erstellen. Die UDF enthält eineSELECT
-Anweisung fürprivate_table
.CREATE OR REPLACE FUNCTION public_dataset.count_key(input_key STRING) RETURNS INT64 AS ((SELECT COUNT(1) FROM private_dataset.private_table t WHERE t.key = input_key));
Weisen Sie einem Nutzer des Datasets
public_dataset
die Rollebigquery.dataViewer
zu. Diese Rolle enthält die Berechtigungbigquery.routines.get
, mit der der Nutzer die Funktion aufrufen kann. Weitere Informationen zum Zuweisen von Zugriffssteuerungen für Datasets finden Sie unter Zugriff auf Datasets steuern.An diesem Punkt hat der Nutzer die Berechtigung, die Funktion
count_key
aufzurufen, kann jedoch nicht auf die Tabelle inprivate_dataset
zugreifen. Wenn der Nutzer versucht, die Funktion aufzurufen, erhält er eine Fehlermeldung ähnlich der folgenden:Access Denied: Table myproject:private_dataset.private_table: User does not have permission to query table myproject:private_dataset.private_table.
Führen Sie mit dem
bq
-Befehlszeilentool den Befehlshow
so aus:bq show --format=prettyjson private_dataset > dataset.json
Die Ausgabe wird in einer lokalen Datei mit dem Namen
dataset.json
gespeichert.Bearbeiten Sie
dataset.json
, um demaccess
-Array das folgende JSON-Objekt hinzuzufügen:{ "routine": { "datasetId": "public_dataset", "projectId": "PROJECT_ID", "routineId": "count_key" } }
Ersetzen Sie PROJECT_ID durch die Projekt-ID für
public_dataset
.Führen Sie mit dem
bq
-Befehlszeilentool den Befehlupdate
so aus:bq update --source dataset.json private_dataset
Der Nutzer kann die folgende Abfrage ausführen, um zu prüfen, ob die UDF Zugriff auf
private_dataset
hat:SELECT public_dataset.count_key('key1');