在 BigQuery 中使用政策标记的最佳做法
本页面介绍了在 BigQuery 中使用政策标记的最佳实践。使用列级访问权限控制或动态数据遮盖时,您可以使用政策标记来定义对数据的访问权限。
如需了解如何为列设置政策标记,请参阅为列设置政策标记。
构建数据类层次结构
构建适合您业务的数据类层次结构。
首先,请考虑组织需要处理哪些种类的数据。通常有少量数据类由组织管理。例如,组织可以有如下数据类:
- PII 数据
- 财务数据
- 客户订单历史记录
可以使用一个政策标记将单个数据类应用于多个数据列。 您应利用此抽象级别,仅使用几个政策标记来高效管理多个列。
其次,请考虑是否有用户群组需要拥有对不同数据类的不同访问权限。例如,一个群组需要访问企业敏感数据,例如收入和客户历史记录。另一个群组需要访问个人身份数据 (PII),例如电话号码和地址。
请记住,您可以将政策标记汇集成树。有时,创建根政策标记以包含所有其他政策标记会很有帮助。
下图显示了一个示例分类。此层次结构将所有数据类型分组成三种顶层政策标记:高、中和低。
每个顶层政策标记都包含叶级政策标记。例如,高层级政策标记包含信用卡、身份证号码和生物特征政策标记。中层级和低层级同样具有叶级政策标记。
此结构具有多项优势:
您可以一次授予对整个政策标记群组的访问权限。例如,您可以在低层级授予 Data Catalog Fine Grained Reader 角色。
您可以将政策标记从一个层级移动到另一个层级。例如,您可以将地址从低层级移动到中层级,以进一步限制其访问权限,而无需重新分类所有地址列。
借助这种细化的访问权限,您可以通过仅控制少量数据分类政策标记来管理对多个列的访问权限。
如需详细了解 BigQuery 中的政策标记,请参阅: