Routine autorizzate
Le routine autorizzate ti consentono di condividere i risultati delle query con utenti o gruppi specifici senza concedere loro l'accesso alle tabelle sottostanti che hanno generato i risultati. Ad esempio, una routine autorizzata può calcolare un'aggregazione sui dati o cercare un valore di tabella e utilizzarlo in un calcolo.
Per impostazione predefinita, se un utente richiama una routine, deve disporre dell'accesso per leggere i dati nella tabella. In alternativa, puoi autorizzare la routine ad accedere al set di dati contenente la tabella di riferimento. Una routine autorizzata può eseguire query sulle tabelle nel set di dati, anche se l'utente che chiama la routine non può eseguire query direttamente su queste tabelle.
È possibile autorizzare i seguenti tipi di routine:
Autorizza routine
Per autorizzare una routine, utilizza la console Google Cloud, lo strumento a riga di comando bq o l'API REST:
Console
Vai alla pagina BigQuery nella console Google Cloud.
Nella sezione Explorer del pannello di navigazione, espandi il progetto e seleziona un set di dati.
Nel riquadro dei dettagli, espandi Condivisione, quindi fai clic su Autorizza routine.
Nella pagina Routine autorizzate, nella sezione Autorizza routine, seleziona il progetto, il set di dati e la routine per la routine che vuoi autorizzare.
Fai clic su Aggiungi autorizzazione.
bq
Utilizza il comando
bq show
per ottenere la rappresentazione JSON del set di dati a cui vuoi che acceda la routine. L'output del comando è una rappresentazione JSON della risorsaDataset
. Salva il risultato in un file locale.bq show --format=prettyjson TARGET_DATASET > dataset.json
Sostituisci TARGET_DATASET con il nome del set di dati a cui può accedere la routine.
Modifica il file per aggiungere il seguente oggetto JSON all'array
access
nella risorsaDataset
:{ "routine": { "datasetId": "DATASET_NAME", "projectId": "PROJECT_ID", "routineId": "ROUTINE_NAME" } }
Dove:
- DATASET_NAME è il nome del set di dati contenente la routine.
- PROJECT_ID è l'ID del progetto che contiene la routine.
- ROUTINE_NAME è il nome della routine.
Utilizza il comando
bq update
per aggiornare il set di dati.bq update --source dataset.json TARGET_DATASET
API
Chiama il metodo
datasets.get
per recuperare il set di dati a cui vuoi che acceda la routine. Il corpo della risposta contiene una rappresentazione della risorsaDataset
.Aggiungi il seguente oggetto JSON all'array
access
nella risorsaDataset
:{ "routine": { "datasetId": "DATASET_NAME", "projectId": "PROJECT_ID", "routineId": "ROUTINE_NAME" } }
Dove:
- DATASET_NAME è il nome del set di dati che contiene la funzione definita dall'utente.
- PROJECT_ID è l'ID del progetto che contiene la funzione definita dall'utente.
- ROUTINE_NAME è il nome della routine.
Chiama il metodo
dataset.update
con la rappresentazioneDataset
modificata.
Quote e limiti
Le routine autorizzate sono soggette a limiti del set di dati. Per ulteriori informazioni, consulta Limiti del set di dati.
Esempio di routine autorizzata
Di seguito è riportato un esempio end-to-end della creazione e dell'utilizzo di una funzione definita dall'utente autorizzata.
Crea due set di dati denominati
private_dataset
epublic_dataset
. Per ulteriori informazioni sulla creazione di un set di dati, consulta Creazione di un set di dati.Esegui questa istruzione per creare una tabella denominata
private_table
inprivate_dataset
:CREATE OR REPLACE TABLE private_dataset.private_table AS SELECT key FROM UNNEST(['key1', 'key1','key2','key3']) key;
Esegui questa istruzione per creare una funzione definita dall'utente denominata
count_key
inpublic_dataset
. La funzione definita dall'utente include un'istruzioneSELECT
suprivate_table
.CREATE OR REPLACE FUNCTION public_dataset.count_key(input_key STRING) RETURNS INT64 AS ((SELECT COUNT(1) FROM private_dataset.private_table t WHERE t.key = input_key));
Concedi il ruolo
bigquery.dataViewer
a un utente nel set di datipublic_dataset
. Questo ruolo include l'autorizzazionebigquery.routines.get
, che consente all'utente di chiamare la routine. Per informazioni su come assegnare i controlli dell'accesso a un set di dati, consulta Controllo dell'accesso ai set di dati.A questo punto, l'utente è autorizzato a chiamare la routine
count_key
, ma non può accedere alla tabella inprivate_dataset
. Se l'utente prova a chiamare la routine, riceverà un messaggio di errore simile al seguente:Access Denied: Table myproject:private_dataset.private_table: User does not have permission to query table myproject:private_dataset.private_table.
Utilizzando lo strumento a riga di comando bq, esegui il comando
show
nel seguente modo:bq show --format=prettyjson private_dataset > dataset.json
L'output viene salvato in un file locale denominato
dataset.json
.Modifica
dataset.json
per aggiungere il seguente oggetto JSON all'arrayaccess
:{ "routine": { "datasetId": "public_dataset", "projectId": "PROJECT_ID", "routineId": "count_key" } }
Sostituisci PROJECT_ID con l'ID progetto di
public_dataset
.Utilizzando lo strumento a riga di comando bq, esegui il comando
update
nel seguente modo:bq update --source dataset.json private_dataset
Per verificare che la funzione definita dall'utente abbia accesso a
private_dataset
, l'utente può eseguire la query seguente:SELECT public_dataset.count_key('key1');