BigQuery 最佳做法:使用政策标记

本页面介绍了在 BigQuery 中使用政策标记的最佳做法。使用政策标记可以定义对数据的访问权限,例如,当您使用 BigQuery 列级别安全性时。

构建数据类层次结构

构建适合您业务的数据类层次结构。

首先,请考虑组织需要处理哪些种类的数据。通常有少量数据类由组织管理。例如,组织可以有如下数据类:

  • PII 数据
  • 财务数据
  • 客户订单历史记录

可以使用一个政策标记将单个数据类应用于多个数据列。 您应利用此抽象级别,仅使用几个政策标记来高效管理多个列。

其次,请考虑是否有用户群组需要拥有对不同数据类的不同访问权限。例如,一个群组需要访问企业敏感数据,例如收入和客户历史记录。另一个群组需要访问个人身份数据 (PII),例如电话号码和地址。

请记住,您可以将政策标记汇集成树。有时,创建根政策标记以包含所有其他政策标记会很有帮助。

下图显示了一个示例分类。此层次结构会将所有数据类型分组成三种顶层政策标记:高层级中层级低层级

数据层次结构

每个顶层政策标记都包含叶级政策标记。例如,高层级政策标记包含信用卡身份证号码生物特征政策标记。中层级低层级同样具有叶级政策标记。

此结构具有多项优势:

  • 您可以一次授予对整个政策标记群组的访问权限。例如,您可以在低层级授予 Data Catalog Fine Grained Reader 角色。

  • 您可以将政策标记从一个层级移动到另一个层级。例如,您可以将地址低层级移动到中层级,以进一步限制其访问权限,而无需重新分类所有地址列。

  • 借助这种细化的访问权限,您可以通过仅控制少量数据分类政策标记来管理对多个列的访问权限。

如需详细了解 BigQuery 中的政策标记,请参阅:

在监控模式下测试

在针对您的组织执行访问权限政策之前,您可以在“仅监控”模式下运行。“仅监控”模式表示您尚未执行访问权限控制,但您正在审核政策标记的效果。

此最佳做法假设:

  • 您已经拥有一组有权访问您的数据的用户。
  • 您想要了解执行新的列级别安全性变更是否会意外阻止这些用户访问数据。

如需使用“仅监控”模式,请创建分类标记和政策标记,将政策标记分配给各个列,但尚不执行访问权限控制。然后,让您之前授权的用户继续使用该系统。在他们使用系统时,审核跟踪会生成。您可以扫描审核日志,以确定是否遇到任何意外的 PERMISSION_DENIED 错误。在确信列级别安全性已正确设置后,请执行访问权限控制