Práticas recomendadas para usar tags de política no BigQuery
Nesta página, você verá as práticas recomendadas para usar tags de política no BigQuery. Use tags de política para definir o acesso aos dados ao usar o controle de acesso no nível da coluna ou o mascaramento de dados dinâmicos.
Para saber como definir tags de política em uma coluna, consulte Definir uma tag de política em uma coluna.
Crie uma hierarquia de classes de dados
Crie uma hierarquia de classes de dados que faça sentido para sua empresa.
Primeiro, considere que tipos de dados a organização processa. Normalmente, uma organização gerencia um pequeno número de classes de dados. É possível que ela tenha, por exemplo, classes de dados como:
- Dados de PII
- Dados financeiros
- Histórico de pedidos do cliente
É possível aplicar uma única classe de dados a várias colunas de dados usando uma tag de política. É necessário usar esse nível de abstração para gerenciar com eficiência várias colunas com apenas algumas tags de política.
Em segundo lugar, considere se há grupos de pessoas que precisam de acesso diferente a diferentes classes de dados. Por exemplo, um grupo precisa acessar dados confidenciais da empresa, como receitas e histórico de clientes. Outro precisa ter acesso a dados de identificação pessoal (PII), como números de telefone e endereços.
Lembre-se de que é possível agrupar tags de política em uma árvore. Às vezes, é útil criar uma tag de política de raiz que contenha todas as outras tags de política.
A imagem a seguir mostra um exemplo de taxonomia. Essa hierarquia agrupa todos os tipos de dados em três tags de política de nível superior: Alta, Média e Baixa.
Cada uma das tags de política de nível superior contém tags de política de folha. Por exemplo, a tag de política Alta contém as tags de política de Cartão de crédito, Código do governo e Biometria. A Média e a Baixa também têm tags de política de folha.
Essa estrutura tem vários benefícios:
É possível conceder acesso a um grupo inteiro de tags de política de uma só vez. Por exemplo, é possível conceder o papel Leitor detalhado do Data Catalog no nível Baixo.
É possível mover tags de política de um nível para outro. Por exemplo, é possível mover Endereço do nível Baixo para o nível Médio para restringir ainda mais o acesso, sem precisar reclassificar todas as colunas de Endereço.
Ao usar o acesso detalhado, é possível gerenciar o acesso a muitas colunas controlando apenas um pequeno número de tags da política de classificação de dados.
Para mais informações sobre tags de política no BigQuery, consulte:
- Introdução ao controle de acesso no nível da coluna
- Como restringir o acesso com o controle de acesso no nível da coluna
- Introdução à máscara de dados dinâmica
- Mascarar dados de coluna por função do usuário