Usa etiquetas de política en BigQuery

En esta página, se describen las prácticas recomendadas para usar etiquetas de política en BigQuery. Usa etiquetas de política para definir el acceso a tus datos, por ejemplo, cuando usas la seguridad a nivel de la columna de BigQuery.

Crea una jerarquía de clases de datos

Crea una jerarquía de clases de datos que tenga una finalidad en tu empresa.

Primero, debes considerar qué tipos de datos procesa la organización. Por lo general, hay una pequeña cantidad de clases de datos administradas por una organización. Por ejemplo, una organización podría tener las siguientes clases de datos:

  • Datos de identificación personal
  • Datos financieros
  • Historial de pedidos de clientes

Se puede aplicar una sola clase de datos a varias columnas de datos mediante una etiqueta de política. Deberías aprovechar este nivel de abstracción para administrar de manera eficiente muchas columnas con solo unas pocas etiquetas de política.

En segundo lugar, considera si hay grupos de personas que necesitan diferentes tipos de acceso a diferentes clases de datos. Por ejemplo, un grupo necesita acceso a datos sensibles de la empresa, como los ingresos y el historial de los clientes. Otro grupo necesita acceso a datos de identificación personal (PII), como números de teléfono y direcciones.

Ten en cuenta que puedes agrupar etiquetas de políticas en un árbol. A veces es útil crear una etiqueta de política raíz que contenga todas las demás etiquetas de política.

En la siguiente figura se muestra un ejemplo de taxonomía. En esta jerarquía se agrupan todos los tipos de datos en tres etiquetas de política de nivel superior: Alta, Media y Baja.

Jerarquía de datos

Cada una de las etiquetas de política de nivel superior contiene etiquetas de políticas de hoja. Por ejemplo, la etiqueta de la política Alta contiene las etiquetas de la política Tarjeta de crédito, ID gubernamental y Biométrica. Las etiquetas Media y Baja también tienen etiquetas de la hoja de política.

Esta estructura tiene varios beneficios:

  • Puedes otorgar acceso a todo un grupo de etiquetas de políticas a la vez. Por ejemplo, puedes otorgar la función Lector detallado de Data Catalog en el nivel Baja.

  • Puedes mover las etiquetas de política de un nivel a otro. Por ejemplo, puedes mover Dirección del nivel Baja al nivel Media para restringir aún más el acceso, sin necesidad de volver a clasificar todas las columnas de Dirección.

  • Con este acceso detallado, puedes administrar el acceso a muchas columnas mediante el control de solo una pequeña cantidad de etiquetas de política de clasificación de datos.

Para obtener más información sobre las etiquetas de política en BigQuery, consulta las siguientes secciones:

Prueba en modo de supervisión

Antes de aplicar las políticas de acceso para tu organización, puedes ejecutar el modo de solo supervisión. En el modo de solo supervisión aún no se aplica el control de acceso, pero auditas los efectos de tus etiquetas de política.

Esta práctica recomendada supone lo siguiente:

  • Ya tienes un conjunto de usuarios autorizados para acceder a tus datos.
  • Deseas averiguar si la aplicación de nuevos cambios de seguridad a nivel de la columna evitaría que esos usuarios accedan a los datos.

Para usar el modo de solo supervisión, crea una taxonomía y etiquetas de política, asígnalas a las columnas, pero no apliques el control de acceso todavía. Luego, haz que tus usuarios autorizados con anterioridad sigan usando el sistema. A medida que usan el sistema, se genera un registro de auditoría. Puedes analizar los registros de auditoría para determinar si se encontraron errores de PERMISSION_DENIED inesperados. Una vez que estés seguro de que la seguridad a nivel de la columna está configurada correctamente, aplica el control de acceso.