Best practice per l'utilizzo dei tag di criteri in BigQuery

In questa pagina vengono descritte le best practice per l'utilizzo dei tag di criteri in BigQuery. Utilizza i tag di criteri per definire l'accesso ai tuoi dati quando li utilizzi controllo dell'accesso a livello di colonna mascheramento dinamico dei dati.

Per informazioni su come impostare i tag di criterio su una colonna, consulta Impostare un tag di criteri su una colonna.

Creare una gerarchia di classi di dati

Crea una gerarchia di classi di dati adatta alla tua attività.

In primo luogo, considera quali tipi di dati vengono elaborati dall'organizzazione. Di solito esiste un numero limitato di classi di dati gestite da un'organizzazione. Per Ad esempio, un'organizzazione potrebbe avere classi di dati quali:

• dati PII
• Dati finanziari
• Cronologia degli ordini del cliente

Una singola classe di dati può essere applicata a più colonne di dati utilizzando un tag di criteri. Dovresti sfruttare questo livello di astrazione per gestire in modo efficiente molte colonne con pochi tag di criteri.

Secondo, considera se ci sono gruppi di persone che necessitano di un accesso diverso classi di dati diverse. Ad esempio, un gruppo ha bisogno di accedere ai dati di dati sensibili come entrate e cronologia dei clienti. Un altro gruppo richiede l'accesso ai dati che consentono l'identificazione personale (PII), come numeri di telefono e indirizzi.

Ricorda che puoi raggruppare i tag di criteri in una struttura ad albero. A volte utile per creare un tag di criteri principale che contiene tutti gli altri tag di criteri.

La figura seguente mostra un esempio di tassonomia. Questa gerarchia raggruppa tutti i dati in tre tag di criteri di primo livello: Alto, Medio e Basso.

Ciascuno dei tag di criteri di primo livello contiene tag di criteri foglia. Ad esempio, Tag di criteri Alto contiene i dati relativi a carta di credito, documento di identità ufficiale e Tag di criteri biometrici. Allo stesso modo, Medio e Basso hanno il criterio Fogliolina i tag.

Questa struttura presenta diversi vantaggi:

• Puoi concedere l'accesso a un intero gruppo di tag di criteri contemporaneamente. Ad esempio: puoi concedere il ruolo Lettore granulare Data Catalog su il livello Basso.

• Puoi spostare i tag di criteri da un livello all'altro. Ad esempio, puoi spostare Indirizzo dal livello Basso al livello Medio per limitarne ulteriormente senza dover riclassificare tutte le colonne Address (Indirizzo).

• Grazie a questo accesso granulare, puoi gestire l'accesso a molte colonne controllando solo un numero limitato di tag di criteri di classificazione dei dati.

Per saperne di più sui tag di criteri in BigQuery, consulta:

• Introduzione al controllo dell'accesso a livello di colonna
• Limitazione dell'accesso con il controllo dell'accesso a livello di colonna
• Introduzione al mascheramento dinamico dei dati
• Mascherare i dati delle colonne in base al ruolo utente