Limiter l'accès à l'aide du contrôle des accès au niveau des colonnes

Cette page explique comment utiliser le contrôle des accès au niveau des colonnes de BigQuery pour limiter l'accès aux données BigQuery au niveau des colonnes. Pour obtenir des informations générales sur le contrôle des accès au niveau des colonnes, consultez la page Présentation du contrôle des accès au niveau des colonnes de BigQuery.

Les instructions figurant sur cette page utilisent BigQuery et Data Catalog.

Vous devez mettre à jour le schéma de la table pour définir un tag avec stratégie sur une colonne. Vous pouvez utiliser la console Google Cloud, l'outil de ligne de commande bq et l'API BigQuery pour définir un tag avec stratégie sur une colonne. En outre, vous pouvez créer une table ainsi que spécifier le schéma et des tags avec stratégie en une seule opération, à l'aide des techniques suivantes :

  • Les commandes bq mk et bq load de l'outil de ligne de commande bq.
  • La méthode d'API tables.insert
  • La page Créer une table dans la console Google Cloud. Si vous utilisez la console Google Cloud, vous devez sélectionner Modifier sous forme de texte lorsque vous ajoutez ou modifiez le schéma.

Pour améliorer le contrôle des accès au niveau des colonnes, vous pouvez éventuellement utiliser le masquage des données dynamiques. Le masquage des données vous permet de masquer les données sensibles en remplaçant la valeur réelle de la colonne par du contenu vide, du contenu par défaut ou du contenu haché.

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Data Catalog and BigQuery Data Policy APIs.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Data Catalog and BigQuery Data Policy APIs.

    Enable the APIs

  8. BigQuery est automatiquement activé dans les nouveaux projets, mais vous devrez peut-être l'activer dans un projet préexistant.

    Enable the BigQuery API.

    Enable the API

Rôles et autorisations

Il existe plusieurs rôles associés aux tags avec stratégie pour les utilisateurs et les comptes de service.

  • Les utilisateurs ou les comptes de service qui administrent les tags avec stratégie doivent disposer du rôle "Administrateur de tags avec stratégie Data Catalog". Ce rôle permet de gérer les taxonomies et les tags avec stratégie, et d'accorder ou de supprimer des rôles IAM associés à ces tags.
  • Les utilisateurs ou les comptes de service qui appliquent le contrôle des accès au contrôle des accès au niveau des colonnes doivent disposer du rôle d'administrateur BigQuery ou de propriétaire de données BigQuery. Les rôles BigQuery permettent de gérer les stratégies de données qui sont utilisées pour appliquer le contrôle des accès sur une taxonomie.

  • Les utilisateurs ou les comptes de service qui interrogent des données protégées par le contrôle des accès au niveau des colonnes doivent disposer du rôle "Lecteur détaillé Data Catalog" pour accéder à ces données.

Pour en savoir plus sur tous les rôles liés aux tags avec stratégie, consultez la page Rôles utilisés avec le contrôle des accès au niveau des colonnes.

Rôle "Administrateur de tags avec stratégie Data Catalog"

Le rôle Administrateur de tags avec stratégie Data Catalog permet de créer et de gérer des tags avec stratégie de données.

Pour attribuer ce rôle, vous devez disposer de l'autorisation resourcemanager.projects.setIamPolicy sur le projet pour lequel vous souhaitez accorder le rôle. Si vous ne disposez pas de l'autorisation resourcemanager.projects.setIamPolicy, demandez à un propriétaire de projet de vous l'accorder ou d'effectuer la procédure suivante.

  1. Dans la console Google Cloud, accédez à la page IAM.

    Ouvrir la page IAM

  2. Si l'adresse e-mail de l'utilisateur auquel attribuer le rôle figure dans la liste, sélectionnez-la et cliquez sur Modifier (icône en forme de crayon). Cliquez ensuite sur Ajouter un autre rôle.

    Si l'adresse e-mail de l'utilisateur ne figure pas dans la liste, cliquez sur Ajouter, puis saisissez l'adresse e-mail dans le champ Nouveaux comptes principaux.

  3. Cliquez sur la liste déroulante Sélectionner un rôle.

  4. Cliquez sur Data Catalog, puis sur Administrateur de tags avec stratégie.

  5. Cliquez sur Enregistrer.

Rôles "Administrateur BigQuery" et "Propriétaire de données"

Les rôles "Administrateur de BigQuery" et "Propriétaire de données" permettent de gérer les stratégies de données.

Pour accorder l'un de ces rôles, vous devez disposer de l'autorisation resourcemanager.projects.setIamPolicy sur le projet pour lequel vous souhaitez accorder le rôle. Si vous ne disposez pas de l'autorisation resourcemanager.projects.setIamPolicy, demandez à un propriétaire de projet de vous l'accorder ou d'effectuer la procédure suivante.

  1. Dans la console Google Cloud, accédez à la page IAM.

    Ouvrir la page IAM

  2. Si l'adresse e-mail de l'utilisateur auquel attribuer le rôle figure dans la liste, sélectionnez-la et cliquez sur Modifier (icône en forme de crayon). Cliquez ensuite sur Ajouter un autre rôle.

    Si l'adresse e-mail de l'utilisateur ne figure pas dans la liste, cliquez sur Ajouter, puis saisissez l'adresse e-mail dans le champ Nouveaux comptes principaux.

  3. Cliquez sur la liste déroulante Sélectionner un rôle.

  4. Cliquez sur BigQuery, puis sur Administrateur ou Propriétaire de données.

  5. Cliquez sur Enregistrer.

Rôle "Lecteur détaillé Data Catalog"

Les utilisateurs ayant besoin d'accéder à des données protégées par le contrôle des accès au niveau des colonnes doivent disposer du rôle "Lecteur détaillé Data Catalog". Ce rôle est attribué aux comptes principaux lors de la configuration d'un tag avec stratégie.

Pour attribuer à un utilisateur le rôle de lecteur détaillé sur un tag avec stratégie, vous devez disposer de l'autorisation datacatalog.taxonomies.setIamPolicy sur le projet contenant la taxonomie de ce tag. Si vous ne disposez pas de l'autorisation datacatalog.taxonomies.setIamPolicy, demandez à un propriétaire de projet de vous l'accorder ou d'effectuer la procédure suivante.

Pour obtenir des instructions, consultez la section Définir des autorisations sur les tags avec stratégie.

Configurer le contrôle des accès au niveau des colonnes

Configurez le contrôle d'accès au niveau des colonnes en procédant comme suit :

  • Créez une taxonomie de tags avec stratégie.
  • Associez les comptes principaux aux tags avec stratégie et accordez-leur le rôle "Lecteur détaillé Data Catalog".
  • Associez les tags avec stratégie aux colonnes de table BigQuery.
  • Appliquez le contrôle d'accès à la taxonomie contenant les tags avec stratégie.

Créer des catégories

L'utilisateur ou le compte de service qui crée une taxonomie doit disposer du rôle "Administrateur de tags avec stratégie Data Catalog".

Console

  1. Ouvrez la page Catégories de tags avec stratégie dans la console Google Cloud.

    Ouvrir la page Catégories de tags avec stratégie

  2. Cliquez sur Créer une taxonomie.
  3. Sur la page Nouvelle taxonomie :

    1. Dans le champ Nom de la taxonomie, saisissez le nom de la taxonomie à créer.
    2. Dans le champ Description, saisissez une description.
    3. Si nécessaire, modifiez le projet répertorié sous Project (Projet).
    4. Si nécessaire, modifiez l'emplacement répertorié sous Location (Emplacement).
    5. Sous Policy Tags (Tags avec stratégie), saisissez un nom et une description de tag avec stratégie.
    6. Pour ajouter un tag avec stratégie enfant à un tag avec stratégie, cliquez sur Ajouter un sous-tag.
    7. Pour ajouter un tag avec stratégie au même niveau qu'un autre tag, cliquez sur + Ajouter un tag avec stratégie.
    8. Continuez à ajouter des tags avec stratégie et des tags avec stratégie enfant selon les besoins de votre taxonomie.
    9. Lorsque vous avez fini de créer des tags avec stratégie pour votre hiérarchie, cliquez sur Enregistrer.

API

Pour utiliser les taxonomies existantes, appelez taxonomies.import à la place des deux premières étapes de la procédure suivante.

  1. Appelez taxonomies.create pour créer une taxonomie.
  2. Appelez taxonomies.policytag.create pour créer un tag avec stratégie.

Définir des autorisations sur les tags avec stratégie

L'utilisateur ou le compte de service qui crée une taxonomie doit disposer du rôle "Administrateur de tags avec stratégie Data Catalog".

Console

  1. Ouvrez la page Catégories de tags avec stratégie dans la console Google Cloud.

    Ouvrir la page Catégories de tags avec stratégie

  2. Cliquez sur le nom de la taxonomie qui contient les tags avec stratégie pertinents.

  3. Sélectionnez un ou plusieurs tags avec stratégie.

  4. Si le panneau d'informations est masqué, cliquez sur Afficher le panneau d'informations.

  5. Dans le panneau d'informations, vous pouvez voir les rôles et les comptes principaux pour les tags avec stratégie sélectionnés. Ajoutez le rôle Administrateur de tags avec stratégie aux comptes qui créent et gèrent des tags avec stratégie. Ajoutez le rôle Lecteur détaillé aux comptes qui doivent avoir accès aux données protégées par le contrôle des accès au niveau des colonnes. Vous pouvez également utiliser ce panneau pour supprimer des rôles associés aux comptes ou modifier d'autres autorisations.

  6. Cliquez sur Enregistrer.

API

Appelez taxonomies.policytag.setIamPolicy pour accorder l'accès à un tag avec stratégie en attribuant les comptes principaux aux rôles appropriés.

Définir des tags avec stratégie sur des colonnes

L'utilisateur ou le compte de service qui définit un tag avec stratégie a besoin des autorisations datacatalog.taxonomies.get et bigquery.tables.setCategory. datacatalog.taxonomies.get est inclus dans les rôles "Administrateur de tags avec stratégie Data Catalog" et "Lecteur de projet". bigquery.tables.setCategory est inclus dans les rôles Administrateur BigQuery (roles/bigquery.admin) et Propriétaire de données BigQuery (roles/bigquery.dataOwner).

Console

Définissez le tag avec stratégie en modifiant un schéma à l'aide de la console Google Cloud.

  1. Ouvrez la page BigQuery dans la console Google Cloud.

    Accéder à BigQuery

  2. Dans l'explorateur BigQuery, localisez et sélectionnez la table que vous souhaitez mettre à jour. Le schéma de la table s'ouvre.

  3. Cliquez sur Modifier le schéma.

  4. Dans l'écran Current schema (Schéma actuel), sélectionnez la colonne cible, puis cliquez sur Add policy tag (Ajouter un tag avec stratégie).

  5. Dans l'écran Add policy tag (Ajouter un tag avec stratégie), sélectionnez le tag avec stratégie que vous souhaitez appliquer à la colonne.

  6. Cliquez sur Select (Sélectionner). L'écran qui s'affiche devrait se présenter comme ceci :

    Modifier le schéma.

  7. Cliquez sur Enregistrer.

bq

  1. Enregistrez le schéma dans un fichier local.

    bq show --schema --format=prettyjson \
       project-id:dataset.table > schema.json
    

    où :

    • project-id est l'ID de votre projet.
    • dataset est le nom de l'ensemble de données contenant la table que vous mettez à jour.
    • table est le nom de la table que vous mettez à jour.
  2. Modifiez le fichier schema.json pour définir un tag avec stratégie sur une colonne. Pour la valeur du champ names de policyTags, utilisez le nom de ressource du tag avec stratégie.

    [
     ...
     {
       "name": "ssn",
       "type": "STRING",
       "mode": "REQUIRED",
       "policyTags": {
         "names": ["projects/project-id/locations/location/taxonomies/taxonomy-id/policyTags/policytag-id"]
       }
     },
     ...
    ]
    
  3. Mettez à jour le schéma.

    bq update \
       project-id:dataset.table schema.json
    

API

Pour les tables existantes, appelez tables.patch ou, pour les nouvelles tables, appelez tables.insert. Utilisez la propriété schema de l'objet Table que vous transmettez pour définir un tag avec stratégie dans votre définition de schéma. Consultez l'exemple de schéma de ligne de commande pour savoir comment définir un tag avec stratégie.

Lorsque vous utilisez une table existante, la méthode tables.patch est préférable, car la méthode tables.update remplace l'intégralité de la ressource de table.

Autres méthodes pour définir des tags avec stratégie sur des colonnes

Vous pouvez également définir des tags avec stratégie dans les cas suivants :

  • Vous utilisez bq mk pour créer une table. Transmettez un schéma à utiliser pour créer la table.
  • Vous utilisez bq load pour charger des données dans une table. Transmettez un schéma à utiliser lorsque vous chargez la table.

Pour obtenir des informations générales sur le schéma, consultez la page Spécifier un schéma.

Appliquer le contrôle des accès

Suivez ces instructions pour activer ou désactiver l'application du contrôle des accès.

L'application du contrôle des accès nécessite la création d'une stratégie de données. Si vous appliquez le contrôle des accès à l'aide de la console Google Cloud, cette opération est effectuée automatiquement. Si vous souhaitez appliquer le contrôle des accès à l'aide de l'API BigQuery Data Policy, vous devez explicitement créer la stratégie de données.

L'utilisateur ou le compte de service qui applique le contrôle des accès doit disposer du rôle "Administrateur de BigQuery" ou "Propriétaire de données BigQuery". Il doit également disposer du rôle "Administrateur Data Catalog" ou du rôle "Lecteur Data Catalog".

Console

Pour appliquer le contrôle des accès, procédez comme suit :

  1. Ouvrez la page Catégories de tags avec stratégie dans la console Google Cloud.

    Ouvrir la page Catégories de tags avec stratégie

  2. Cliquez sur la taxonomie pour laquelle vous souhaitez appliquer le contrôle des accès au niveau des colonnes.

  3. Si l'option Appliquer le contrôle des accès n'est pas déjà activée, cliquez sur Appliquer le contrôle des accès pour l'activer.

Pour arrêter l'application du contrôle des accès s'il est activé, cliquez sur Appliquer le contrôle des accès pour le désactiver.

Si des stratégies de données sont associées à l'un des tags avec stratégie de la taxonomie, vous devez supprimer toutes les stratégies de données de la taxonomie avant d'arrêter l'application du contrôle des accès. Si vous supprimez les stratégies de données à l'aide de l'API BigQuery Data Policy, vous devez supprimer toutes les stratégies de données dont le champ dataPolicyType est défini sur DATA_MASKING_POLICY. Pour en savoir plus, consultez la page Supprimer des stratégies de données.

API

Pour appliquer le contrôle des accès, appelez create et transmettez une ressource DataPolicy où le champ dataPolicyType est défini surCOLUMN_LEVEL_SECURITY_POLICY.

Pour arrêter l'application du contrôle des accès si celui-ci est activé, supprimez la stratégie de données associée à la taxonomie. Pour ce faire, appelez la méthode delete pour cette stratégie de données.

Si des stratégies de données sont associées à l'un des tags avec stratégie de la taxonomie, vous ne pouvez pas arrêter l'application du contrôle des accès sans supprimer d'abord toutes les stratégies de données dans la taxonomie. Pour en savoir plus, consultez la page Supprimer des stratégies de données.

Utiliser des tags avec stratégie

Cette section vous explique comment afficher, modifier et supprimer des tags avec stratégie.

Afficher les tags avec stratégie

Pour afficher les tags avec stratégie que vous avez créés pour une taxonomie, procédez comme suit :

  1. Ouvrez la page Catégories de tags avec stratégie dans la console Google Cloud.

    Ouvrir la page Catégories de tags avec stratégie

  2. Cliquez sur la taxonomie dont vous souhaitez afficher les tags avec stratégie. La page Taxonomies affiche les tags avec stratégie de la taxonomie.

Afficher les tags avec stratégie dans le schéma

Vous pouvez afficher les tags avec stratégie appliqués à une table lorsque vous examinez le schéma de celle-ci. Vous pouvez afficher le schéma à l'aide de la console Google Cloud, de l'outil de ligne de commande bq, de l'API BigQuery et des bibliothèques clientes. Pour en savoir plus sur l'affichage du schéma, consultez la section Obtenir des informations sur la table.

Afficher les autorisations sur les tags avec stratégie

  1. Ouvrez la page Catégories de tags avec stratégie dans la console Google Cloud.

    Ouvrir la page Catégories de tags avec stratégie

  2. Cliquez sur le nom de la taxonomie qui contient les tags avec stratégie pertinents.

  3. Sélectionnez un ou plusieurs tags avec stratégie.

  4. Si le panneau d'informations est masqué, cliquez sur Afficher le panneau d'informations.

  5. Dans le panneau d'informations, vous pouvez voir les rôles et les comptes principaux pour les tags avec stratégie sélectionnés.

Mettre à jour les autorisations sur les tags avec stratégie

L'utilisateur ou le compte de service qui crée une taxonomie doit disposer du rôle "Administrateur de tags avec stratégie Data Catalog".

Console

  1. Ouvrez la page Catégories de tags avec stratégie dans la console Google Cloud.

    Ouvrir la page Catégories de tags avec stratégie

  2. Cliquez sur le nom de la taxonomie qui contient les tags avec stratégie pertinents.

  3. Sélectionnez un ou plusieurs tags avec stratégie.

  4. Si le panneau d'informations est masqué, cliquez sur Afficher le panneau d'informations.

  5. Dans le panneau d'informations, vous pouvez voir les rôles et les comptes principaux pour les tags avec stratégie sélectionnés. Ajoutez le rôle Administrateur de tags avec stratégie aux comptes qui créent et gèrent des tags avec stratégie. Ajoutez le rôle Lecteur détaillé aux comptes qui doivent avoir accès aux données protégées par le contrôle des accès au niveau des colonnes. Vous pouvez également utiliser ce panneau pour supprimer des rôles associés aux comptes ou modifier d'autres autorisations.

  6. Cliquez sur Enregistrer.

API

Appelez taxonomies.policytag.setIamPolicy pour accorder l'accès à un tag avec stratégie en attribuant les comptes principaux aux rôles appropriés.

Récupérer les noms de ressources de tags avec stratégie

Vous avez besoin du nom de ressource d'un tag avec stratégie lorsque vous appliquez ce tag à une colonne.

Pour récupérer le nom de ressource du tag avec stratégie, procédez comme suit :

  1. Affichez les tags avec stratégie pour la taxonomie contenant le tag avec stratégie.

  2. Recherchez le tag avec stratégie dont vous souhaitez copier le nom de ressource.

  3. Cliquez sur l'icône Copier le nom de la ressource de tag avec stratégie.

    Copier le nom de la ressource.

Supprimer des tags avec stratégie

Mettez à jour le schéma de la table pour supprimer un tag avec stratégie d'une colonne. Vous pouvez utiliser la console Google Cloud, l'outil de ligne de commande bq et la méthode d'API BigQuery pour supprimer un tag avec stratégie d'une colonne.

Console

Sur la page Current schema (Schéma actuel), sous Policy tags (Tags avec stratégie), cliquez sur X.

Supprimer le tag avec stratégie.

bq

  1. Récupérez le schéma et enregistrez-le dans un fichier local.

    bq show --schema --format=prettyjson \
       project-id:dataset.table > schema.json
    

    où :

    • project-id est l'ID de votre projet.
    • dataset est le nom de l'ensemble de données contenant la table que vous mettez à jour.
    • table est le nom de la table que vous mettez à jour.
  2. Modifiez le fichier schema.json pour supprimer un tag avec stratégie d'une colonne.

    [
     ...
     {
       "name": "ssn",
       "type": "STRING",
       "mode": "REQUIRED",
       "policyTags": {
         "names": []
       }
     },
     ...
    ]
    
  3. Mettez à jour le schéma.

    bq update \
       project-id:dataset.table schema.json
    

API

Appelez tables.patch et utilisez la propriété schema pour supprimer un tag avec stratégie dans votre définition de schéma. Consultez l'exemple de schéma de ligne de commande pour savoir comment supprimer un tag avec stratégie.

Étant donné que la méthode tables.update remplace l'intégralité de la ressource de table, la méthode tables.patch est à privilégier.

Supprimer des tags avec stratégie

Vous pouvez supprimer un ou plusieurs tags avec stratégie dans une taxonomie, ou supprimer la taxonomie et tous les tags avec stratégie qu'elle contient. La suppression d'un tag avec stratégie supprime automatiquement l'association entre le tag avec stratégie et les colonnes auxquelles il a été appliqué.

Lorsque vous supprimez un tag avec stratégie auquel une stratégie de données est associée, la suppression de la stratégie de données peut prendre jusqu'à 30 minutes. Vous pouvez supprimer la stratégie de données directement si vous souhaitez qu'elle soit immédiatement supprimée.

Pour supprimer un ou plusieurs tags avec stratégie d'une taxonomie, procédez comme suit :

  1. Ouvrez la page Catégories de tags avec stratégie dans la console Google Cloud.

    Ouvrir la page Catégories de tags avec stratégie

  2. Cliquez sur le nom de la taxonomie contenant les tags à supprimer.
  3. Cliquez sur Modifier.
  4. Cliquez sur  à côté des tags avec stratégie à supprimer.
  5. Cliquez sur Enregistrer.
  6. Cliquez sur Confirmer.

Pour supprimer une taxonomie entière, procédez comme suit :

  1. Ouvrez la page Catégories de tags avec stratégie dans la console Google Cloud.

    Ouvrir la page Catégories de tags avec stratégie

  2. Cliquez sur le nom de la taxonomie contenant les tags à supprimer.
  3. Cliquez sur Supprimer la taxonomie de tag avec stratégie.
  4. Saisissez le nom de la taxonomie, puis cliquez sur Supprimer.

Interroger les données à l'aide du contrôle des accès au niveau des colonnes

Si un utilisateur dispose d'un accès à un ensemble de données et possède le rôle "Lecteur détaillé Data Catalog", il peut accéder aux données des colonnes. L'utilisateur exécute une requête selon la procédure habituelle.

Si un utilisateur dispose d'un accès à un ensemble de données, mais ne possède pas le rôle "Lecteur détaillé Data Catalog", il ne peut pas accéder aux données des colonnes. Si cet utilisateur exécute SELECT *, il reçoit une erreur qui répertorie les colonnes auxquelles il ne peut pas accéder. Pour résoudre cette erreur, vous pouvez :

  • Modifier la requête pour exclure les colonnes auxquelles l'utilisateur n'a pas accès. Par exemple, si l'utilisateur n'a pas accès à la colonne ssn, mais a accès aux colonnes restantes, il peut exécuter la requête suivante :

    SELECT * EXCEPT (ssn) FROM ...
    

    Dans l'exemple précédent, la clause EXCEPT exclut la colonne ssn.

  • demander à un administrateur Data Catalog d'ajouter l'utilisateur en tant que lecteur détaillé Data Catalog à la classe de données correspondante. Le message d'erreur fournit le nom complet du tag avec stratégie auquel l'utilisateur aurait besoin d'accéder.

FAQ

La sécurité au niveau des colonnes de BigQuery fonctionne-t-elle pour les vues ?

Oui. Les vues sont dérivées d'une table sous-jacente. Le même contrôle des accès au niveau des colonnes sur la table s'applique lorsque les colonnes protégées sont accessibles via une vue.

Il existe deux types de vues dans BigQuery : les vues logiques et les vues autorisées. Les deux types de vues sont dérivés d'une table source et sont cohérents avec le contrôle des accès au niveau des colonnes de la table.

Le contrôle des accès au niveau des colonnes fonctionne-t-il sur les colonnes STRUCT ou RECORD ?

Oui. Vous ne pouvez appliquer des tags avec stratégie qu'à des champs feuille, et seuls ces champs sont protégés.

Puis-je utiliser l'ancien SQL et GoogleSQL ?

Vous pouvez utiliser GoogleSQL pour interroger des tables protégées par le contrôle des accès au niveau des colonnes.

Toutes les requêtes en ancien SQL sont rejetées s'il existe des tags avec stratégie dans les tables cibles.

Les requêtes sont-elles journalisées dans Cloud Logging ?

La vérification des tags avec stratégie Cloud IAM est journalisée dans Logging. Pour plus d'informations, consultez la section Journaux d'audit pour le contrôle des accès au niveau des colonnes.

La copie d'une table est-elle affectée par le contrôle des accès au niveau des colonnes ?

Oui. Vous ne pouvez pas copier de colonnes si vous n'y avez pas accès.

Les opérations suivantes vérifient les autorisations au niveau des colonnes.

Lorsque je copie des données dans une nouvelle table, les tags avec stratégie sont-ils automatiquement propagés ?

Dans la plupart des cas, non. Si vous copiez les résultats d'une requête dans une nouvelle table, aucun tag avec stratégie n'est attribué automatiquement à la nouvelle table. La nouvelle table ne dispose donc pas d'un contrôle des accès au niveau des colonnes. Il en va de même si vous exportez des données vers Cloud Storage.

La seule exception est si vous utilisez une tâche de copie de table. Étant donné que les tâches de copie de table n'appliquent aucune transformation de données, les tags avec stratégie sont automatiquement propagés vers les tables cibles.

Le contrôle des accès au niveau des colonnes est-il compatible avec le cloud privé virtuel ?

Oui, le contrôle des accès au niveau des colonnes et le VPC sont compatibles et complémentaires.

Le cloud privé virtuel exploite Cloud IAM pour contrôler les accès aux services, tels que BigQuery et Cloud Storage. Le contrôle des accès au niveau des colonnes offre une sécurité précise des colonnes individuelles dans BigQuery.

Pour appliquer le VPC aux tags avec stratégie et aux stratégies de données pour le contrôle des accès au niveau des colonnes et le masquage dynamique des données, vous devez limiter les API suivantes dans le périmètre :

Résoudre les problèmes

Je ne vois pas les rôles Data Catalog

Si vous ne voyez pas les rôles tels que "Lecteur détaillé Data Catalog", il est possible que vous n'ayez pas activé l'API Data Catalog dans votre projet. Pour en savoir plus sur l'activation de l'API Data Catalog, consultez la section Avant de commencer. Les rôles Data Catalog doivent apparaître quelques minutes après l'activation de l'API Data Catalog.

Je ne peux pas afficher la page "Taxonomies"

Vous devez disposer d'autorisations supplémentaires pour afficher la page Taxonomies. Par exemple, le rôle Administrateur de tags avec stratégie Data Catalog a accès à la page Taxonomies.

J'ai appliqué des tags avec stratégie, mais cela ne semble pas fonctionner

Si vous continuez à recevoir des résultats de requête pour un compte qui ne devrait pas disposer d'un accès, il est possible que ce compte reçoive des résultats mis en cache. Plus précisément, si vous avez précédemment exécuté la requête avec succès, puis appliqué des tags avec stratégie, vous pouvez obtenir des résultats provenant du cache des résultats de requête. Par défaut, les résultats de requête sont mis en cache pendant 24 heures. La requête devrait échouer immédiatement si vous désactivez le cache des résultats. Pour plus d'informations sur la mise en cache, consultez la section Impact du contrôle des accès au niveau des colonnes.

En règle générale, la propagation des mises à jour de Cloud IAM prend environ 30 secondes. La propagation des modifications apportées à la hiérarchie des tags avec stratégie peut prendre jusqu'à 30 minutes.

Je ne dispose pas de l'autorisation de lire dans une table avec une sécurité définie au niveau des colonnes

Vous devez disposer du rôle Lecteur détaillé ou du rôle Lecteur masqué à différents niveaux, par exemple au niveau de l'organisation, du dossier, du projet et du tag avec stratégie. Le rôle Lecteur détaillé accorde l'accès aux données brutes, tandis que le rôle Lecteur masqué accorde l'accès aux données masquées. Vous pouvez vérifier cette autorisation au niveau du projet à l'aide de l'outil de dépannage IAM.