Questa pagina è stata tradotta dall'API Cloud Translation.

Maschera dati colonna

Questo documento illustra come implementare il mascheramento dei dati per: oscurare selettivamente i dati sensibili. Implementando il mascheramento dei dati, puoi offrono livelli di visibilità differenti a gruppi di utenti differenti. Per informazioni generali, vedi Introduzione al mascheramento dei dati.

Puoi implementare il mascheramento dei dati aggiungendo un criterio dei dati a una colonna. Per aggiungere dati criterio di mascheramento in una colonna, devi completare i seguenti passaggi :

Crea una tassonomia con almeno un tag di criteri.
(Facoltativo) Concedi il ruolo Lettore granulare Data Catalog a una o più entità su uno o più tag di criteri che hai creato.
Crea fino a tre criteri dei dati per il tag di criteri al fine di mappare le regole di mascheramento e entità (che rappresentano utenti o gruppi) a quel tag.
Imposta il tag di criteri su una colonna. che mappa i criteri dei dati associati il tag di criteri nella colonna selezionata.
Assegna gli utenti che devono avere accesso ai dati mascherati al Ruolo Lettore mascherato BigQuery. Come best practice, assegna Ruolo Lettore mascherato BigQuery a livello di criterio dei dati. L'assegnazione del ruolo a livello di progetto o superiore concede agli utenti le autorizzazioni tutti i criteri dei dati nell'ambito del progetto, il che può causare problemi autorizzazioni in eccesso.

Puoi utilizzare la console Google Cloud o l'API BigQuery Data Policy per lavorare con e i criteri relativi ai dati.

Una volta completati questi passaggi, gli utenti che eseguono query sulla colonna visualizzare dati non mascherati, dati mascherati o un errore di accesso negato, a seconda del gruppi a cui appartengono e i ruoli a cui sono stati assegnati. Per ulteriori informazioni le informazioni, vedi Come interagiscono i ruoli Lettore mascherato e Lettore granulare.

Prima di iniziare

Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Abilita le API Data Catalog and BigQuery Data Policy.

Abilita le API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Abilita le API Data Catalog and BigQuery Data Policy.

Abilita le API

BigQuery viene abilitato automaticamente nei nuovi progetti, ma potrebbe essere necessario attivarlo in un progetto preesistente.
Attiva l'API BigQuery.
Abilita l'API
Se crei una norma dei dati che fa riferimento a una routine di mascheramento personalizzata, crea la funzione definita dall'utente di mascheramento associata in modo che sia disponibile nelle passaggi.

Creazione tassonomie

All'account utente o di servizio che crea una tassonomia deve essere concesso il Ruolo Amministratore tag criteri di Data Catalog.

Console

Apri la pagina Tassonomie di tag di criterio nella nella console Google Cloud.
Apri la pagina Tassonomie di tag di criteri
Fai clic su Crea tassonomia.
Nella pagina Nuova tassonomia:
1. In Nome tassonomia, inserisci il nome della tassonomia desiderata per creare.
2. Per Descrizione, inserisci una descrizione.
3. Se necessario, modifica il progetto elencato in Progetto.
4. Se necessario, modifica la località indicata in Posizione.
5. In Tag di criterio, inserisci un nome e una descrizione per il tag di criteri.
6. Per aggiungere un tag di criteri secondario a un tag di criteri, fai clic su Aggiungi sottotag.
7. Per aggiungere un nuovo tag di criteri allo stesso livello di un altro tag di criteri, Fai clic su + Aggiungi tag di criteri.
8. Continua ad aggiungere tag di criteri e tag di criteri secondari in base alle tue esigenze tassonomia.
9. Al termine della creazione dei tag di criteri per la gerarchia, fai clic su Crea.

API

Per utilizzare tassonomie esistenti, richiama taxonomies.import anziché i primi due passaggi della procedura seguente.

Chiama taxonomies.create per creare una tassonomia.
Chiama taxonomies.policytag.create per creare un tag di criteri.

Utilizzare i tag di criteri

Per ulteriori informazioni su come utilizzare i tag di criteri, ad esempio come visualizzare aggiornarle, consulta Utilizzare i tag di criteri. Per le best practice, vedi Best practice per l'utilizzo dei tag di criteri in BigQuery.

Crea criteri relativi ai dati

L'account utente o di servizio che crea un criterio dei dati deve avere bigquery.dataPolicies.create, bigquery.dataPolicies.setIamPolicy e Autorizzazioni datacatalog.taxonomies.get.

Se crei una norma dei dati che fa riferimento a una routine di mascheramento personalizzata, devi disporre anche delle autorizzazioni di routine.

Queste autorizzazioni sono incluse nella Ruoli Amministratore BigQuery e Proprietario dati BigQuery.

Puoi creare fino a nove criteri dei dati per un tag di criteri. Una di queste norme è riservato a impostazioni di controllo dell'accesso a livello di colonna.

Console

Apri la pagina Tassonomie di tag di criterio nella nella console Google Cloud.
Apri la pagina Tassonomie di tag di criteri
Fai clic sul nome della tassonomia da aprire.
Seleziona un tag di criteri.
Fai clic su Gestisci criteri relativi ai dati.
In Nome criterio dati, digita un nome per il criterio dei dati. I dati il nome del criterio deve essere univoco all'interno del progetto in cui si trova il criterio dei dati in.
In Regola di mascheramento, scegli una regola di mascheratura predefinita o di mascheramento. Se selezioni una routine di mascheramento personalizzata, assicurati che hai sia bigquery.routines.get che Autorizzazioni bigquery.routines.list a livello di progetto.
In Entità, digita il nome di uno o più utenti o gruppi a cui vuoi concedere l'accesso mascherato alla colonna. Tieni presente che tutti gli utenti e ai gruppi inseriti qui viene concesso il Ruolo Lettore.
Fai clic su Invia.

API

Chiama il create . Supera DataPolicy che soddisfi i seguenti requisiti:
- Il campo dataPolicyType è impostato su DATA_MASKING_POLICY.
- Il campo dataMaskingPolicy identifica la regola di mascheramento dei dati oppure la routine da usare.
- Il campo dataPolicyId fornisce un nome per il criterio dei dati che è univoco all'interno del progetto in cui si trova il criterio dei dati.
Chiama il setIamPolicy e passiamo in un Policy. L'Policy deve identificare le entità a cui viene concesso l'accesso ai dati mascherati e specifica roles/bigquerydatapolicy.maskedReader per il campo role.

Imposta tag di criteri sulle colonne

Imposta un criterio dei dati su una colonna collegando il tag di criteri associato a il criterio dei dati nella colonna.

L'account utente o di servizio che imposta un tag di criteri deve avere Autorizzazioni datacatalog.taxonomies.get e bigquery.tables.setCategory. datacatalog.taxonomies.get è incluso in Ruoli Amministratore tag di criteri di Data Catalog e Visualizzatore progetto. bigquery.tables.setCategory è incluso in Amministratore BigQuery (roles/bigquery.admin) e Ruoli Proprietario dati BigQuery (roles/bigquery.dataOwner).

Per visualizzare tassonomie e tag di criteri in tutti i progetti di un'organizzazione in Console Google Cloud, agli utenti serve il resourcemanager.organizations.get , inclusa nel ruolo Visualizzatore organizzazione.

Console

Imposta il tag di criteri modificando uno schema utilizzando il metodo nella console Google Cloud.

Apri la pagina BigQuery nella console Google Cloud.

Vai alla pagina di BigQuery
In BigQuery Explorer, individua e seleziona la tabella che vuoi aggiornare. Si apre lo schema per la tabella in questione.
Fai clic su Modifica schema.
Nella schermata Schema attuale, seleziona la colonna di destinazione e fai clic su Aggiungi. di criteri.
Nella schermata Aggiungi un tag di criteri, individua e seleziona il tag che ti interessa. da applicare alla colonna.
Fai clic su Seleziona. Dovresti vedere una schermata simile alla seguente:
Fai clic su Salva.

bq

Scrivi lo schema in un file locale.
```
bq show --schema --format=prettyjson \
   project-id:dataset.table > schema.json
```
dove:
- project-id è l'ID progetto.
- dataset è il nome del set di dati che contiene la tabella che stai aggiornando.
- table è il nome della tabella che stai aggiornando.

Modifica schema.json per impostare un tag di criteri su una colonna. Per il valore del parametro Campo names di policyTags, utilizza il nome risorsa del tag di criteri.

[
 ...
 {
   "name": "ssn",
   "type": "STRING",
   "mode": "REQUIRED",
   "policyTags": {
     "names": ["projects/project-id/locations/location/taxonomies/taxonomy-id/policyTags/policytag-id"]
   }
 },
 ...
]

Aggiorna lo schema.

bq update \
   project-id:dataset.table schema.json

API

Per le tabelle esistenti, chiama tables.patch o per le nuove tabelle richiama tables.insert. Utilizza la Proprietà schema dell'oggetto Table che trasmetti per impostare un tag di criteri nella definizione dello schema. Guarda l'esempio della riga di comando per vedere come impostare un tag di criteri.

Quando lavori con una tabella esistente, è preferibile il metodo tables.patch, perché il metodo tables.update sostituisce l'intera risorsa della tabella.

Applica controllo di accesso

Quando crei un criterio dei dati per un tag di criteri, il controllo dell'accesso viene automaticamente in modo forzato. Tutte le colonne a cui è applicato il tag di criteri restituiscono dati mascherati in risposta alle query degli utenti con il ruolo Lettore mascherato.

Per interrompere l'applicazione del controllo dell'accesso, devi eliminare innanzitutto tutti i criteri relativi ai dati associati ai tag di criteri nel tassonomia. Per ulteriori informazioni, vedi Imporre il controllo dell'accesso.

Controlla le autorizzazioni IAM su un criterio dei dati

Per vedere quali autorizzazioni disponi per un criterio dei dati, chiama il testIamPermissions .

Aggiorna i criteri relativi ai dati

L'account utente o di servizio che aggiorna un criterio sui dati deve avere Autorizzazione bigquery.dataPolicies.update. Se stai aggiornando il tag di criteri a cui è associato il criterio dei dati, è necessaria l'autorizzazione datacatalog.taxonomies.get.

Se stai aggiornando le entità associate al criterio dei dati, è necessaria l'autorizzazione bigquery.dataPolicies.setIamPolicy.

bigquery.dataPolicies.update e bigquery.dataPolicies.setIamPolicy autorizzazioni sono incluse Ruoli Amministratore BigQuery e Proprietario dati BigQuery. L'autorizzazione datacatalog.taxonomies.get è inclusa in Ruoli Amministratore Data Catalog e Visualizzatore Data Catalog.

Console

Apri la pagina Tassonomie di tag di criterio nella nella console Google Cloud.
Apri la pagina Tassonomie di tag di criteri
Fai clic sul nome della tassonomia da aprire.
Seleziona un tag di criteri.
Fai clic su Gestisci criteri relativi ai dati.
Se vuoi, modifica la regola di mascheramento.
(Facoltativo) Aggiungi o rimuovi entità.
Fai clic su Invia.

API

Per modificare la regola di mascheramento dei dati, richiama il metodo patch e passiamo in un DataPolicy risorsa con un campo dataMaskingPolicy aggiornato.

Per modificare le entità associate a un criterio dei dati, richiama il metodo setIamPolicy e passiamo in un Policy che si aggiorna e le entità a cui viene concesso l'accesso ai dati mascherati.

Elimina criteri relativi ai dati

L'account utente o di servizio che crea un criterio dei dati deve avere Autorizzazione bigquery.dataPolicies.delete. Questa autorizzazione è inclusa nel Ruoli Amministratore BigQuery e Proprietario dati BigQuery.

Console

Apri la pagina Tassonomie di tag di criterio nella nella console Google Cloud.
Apri la pagina Tassonomie di tag di criteri
Fai clic sul nome della tassonomia da aprire.
Seleziona un tag di criteri.
Fai clic su Gestisci criteri relativi ai dati.
Fai clic su accanto al criterio dei dati da eliminare.
Fai clic su Invia.
Fai clic su Conferma.

API

Per eliminare un criterio dei dati, richiama il metodo delete .