Limitare l'accesso con il controllo dell'accesso a livello di colonna
Questa pagina spiega come utilizzare il controllo dell'accesso a livello di colonna di BigQuery per limitare l'accesso ai dati BigQuery a livello di colonna. Per informazioni generali informazioni sul controllo dell'accesso a livello di colonna, consulta Introduzione al controllo dell'accesso a livello di colonna di BigQuery.
Le istruzioni in questa pagina utilizzano sia BigQuery Data Catalog (Catalogo dati).
Devi aggiornare lo schema della tabella per impostare un tag di criteri su una colonna. Puoi utilizzare la console Google Cloud, lo strumento a riga di comando bq e l'API BigQuery per impostare di tag di criteri in una colonna. Inoltre, puoi creare una tabella, specificare schema elettrico e specifica i tag di criteri in un'unica operazione, utilizzando il seguente tecniche:
- I comandi
bq mkebq loaddello strumento a riga di comando bq. - Il metodo API
tables.insert. - La pagina Crea tabella nella console Google Cloud. Se utilizzi Console Google Cloud, devi selezionare Modifica come testo quando aggiungi o modifichi lo schema.
Per migliorare il controllo dell'accesso a livello di colonna, puoi utilizzare facoltativamente mascheramento dinamico dei dati. Il mascheramento dei dati consente di mascherare i dati sensibili sostituendo quelli null, predefiniti o contenuti sottoposti ad hashing al posto del valore effettivo della colonna.
Prima di iniziare
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Abilita le API Data Catalog and BigQuery Data Policy.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Abilita le API Data Catalog and BigQuery Data Policy.
- BigQuery viene abilitato automaticamente nei nuovi progetti, ma
potrebbe essere necessario attivarlo
in un progetto preesistente.
Attiva l'API BigQuery.
Ruoli e autorizzazioni
Esistono diversi ruoli relativi ai tag di criteri per utenti e account di servizio.
- Gli utenti o gli account di servizio che amministrano i tag di criteri devono avere Amministratore tag criteri Data Catalog. Amministratore tag di criteri può gestire tassonomie e tag di criteri e può concedere o rimuovere i ruoli IAM associati ai tag di criteri.
- Utenti o account di servizio che applicare il controllo dell'accesso per il controllo dell'accesso a livello di colonna, devono avere Ruolo Amministratore BigQuery o Proprietario dati BigQuery ruolo. I ruoli BigQuery possono gestire i criteri dei dati, vengono utilizzati per imporre controllo dell'accesso in una tassonomia.
- Per visualizzare tassonomie e tag di criteri per tutti i progetti in un'organizzazione nella Console Google Cloud, gli utenti devono avere il ruolo Visualizzatore organizzazione. Altrimenti, nella console vengono visualizzati solo le tassonomie e i tag di criteri associati progetto selezionato.
- Utenti o account di servizio che eseguono query su dati protetti da livello di colonna il controllo dell'accesso deve avere il lettore granulare Data Catalog per accedere a quei dati.
Per ulteriori informazioni su tutti i ruoli relativi ai tag di criteri, consulta Ruoli utilizzati con il controllo dell'accesso a livello di colonna.
Il ruolo Amministratore tag criteri di Data Catalog
Il ruolo Amministratore tag criteri di Data Catalog può creare e gestire e i tag dei criteri dei dati.
Per concedere il ruolo Amministratore tag di criteri, devi
dispongono dell'autorizzazione resourcemanager.projects.setIamPolicy sul progetto per
a cui vuoi assegnare il ruolo. Se non disponi di
Autorizzazione resourcemanager.projects.setIamPolicy, chiedi a un Proprietario progetto di
ti concede l'autorizzazione oppure procedi nel seguente modo per te.
Nella console Google Cloud, vai alla pagina IAM.
Se l'indirizzo email dell'utente che deve concedere il ruolo è presente nell'elenco, seleziona l'opzione Indirizzo email e fai clic su Modifica (icona a forma di matita). Quindi, fai clic su Aggiungi un altro ruolo.
Se l'indirizzo email dell'utente non è nell'elenco, fai clic su Aggiungi, quindi inserisci l'email nella casella Nuove entità.
Fai clic sull'elenco a discesa Seleziona un ruolo.
Fai clic su Data Catalog e poi su Amministratore tag di criteri.
Fai clic su Salva.
I ruoli Amministratore BigQuery e Proprietario dati
I ruoli Amministratore BigQuery e Proprietario dei dati possono gestire i criteri relativi ai dati.
Per concedere uno di questi ruoli, devi
dispongono dell'autorizzazione resourcemanager.projects.setIamPolicy sul progetto per
a cui vuoi assegnare il ruolo. Se non disponi di
Autorizzazione resourcemanager.projects.setIamPolicy, chiedi a un Proprietario progetto di
ti concede l'autorizzazione oppure procedi nel seguente modo per te.
Nella console Google Cloud, vai alla pagina IAM.
Se l'indirizzo email dell'utente che deve concedere il ruolo è presente nell'elenco, seleziona l'opzione Indirizzo email e fai clic su Modifica (icona a forma di matita). Quindi, fai clic su Aggiungi un altro ruolo.
Se l'indirizzo email dell'utente non è nell'elenco, fai clic su Aggiungi, quindi inserisci l'email nella casella Nuove entità.
Fai clic sull'elenco a discesa Seleziona un ruolo.
Fai clic su BigQuery e poi su Amministratore o Proprietario dati.
Fai clic su Salva.
Ruolo Visualizzatore organizzazione
Il ruolo Visualizzatore organizzazione consente agli utenti di visualizzare i dettagli dell'organizzazione
risorsa. Per concedere questo ruolo, devi disporre del
Autorizzazione resourcemanager.organizations.setIamPolicy per l'organizzazione.
Ruolo Lettore granulare Data Catalog
Utenti che devono accedere ai dati protetti con il controllo dell'accesso a livello di colonna è necessario il ruolo Lettore granulare Data Catalog. Questo ruolo è assegnate alle entità nell'ambito della configurazione di un tag di criteri.
Per concedere a un utente il ruolo Lettore granulare per un tag di criteri, devi disporre del
datacatalog.taxonomies.setIamPolicy per il progetto che contiene
la tassonomia di quel tag di criteri. Se non disponi
Autorizzazione datacatalog.taxonomies.setIamPolicy, chiedi a un Proprietario progetto di
concederti l'autorizzazione o eseguire l'azione per tuo conto.
Per istruzioni, vedi Impostare le autorizzazioni per i tag di criteri.
Configura il controllo dell'accesso a livello di colonna
Configura il controllo dell'accesso a livello di colonna completando queste attività:
- Creare una tassonomia dei tag di criteri.
- Associa le entità ai tag di criteri e concedi loro la Ruolo Lettore granulare Data Catalog.
- Associare i tag di criteri alle colonne della tabella BigQuery.
- Applicare il controllo dell'accesso alla tassonomia contenente i tag dei criteri.
Creazione tassonomie
All'account utente o di servizio che crea una tassonomia deve essere concesso il Ruolo Amministratore tag criteri di Data Catalog.
Console
- Apri la pagina Tassonomie di tag di criterio nella nella console Google Cloud.
- Fai clic su Crea tassonomia.
Nella pagina Nuova tassonomia:
- In Nome tassonomia, inserisci il nome della tassonomia desiderata per creare.
- Per Descrizione, inserisci una descrizione.
- Se necessario, modifica il progetto elencato in Progetto.
- Se necessario, modifica la località indicata in Posizione.
- In Tag di criterio, inserisci un nome e una descrizione per il tag di criteri.
- Per aggiungere un tag di criteri secondario a un tag di criteri, fai clic su Aggiungi sottotag.
- Per aggiungere un nuovo tag di criteri allo stesso livello di un altro tag di criteri, Fai clic su + Aggiungi tag di criteri.
- Continua ad aggiungere tag di criteri e tag di criteri secondari in base alle tue esigenze tassonomia.
- Al termine della creazione dei tag di criteri per la gerarchia, fai clic su Crea.
API
Per utilizzare tassonomie esistenti, richiama
taxonomies.import
anziché i primi due passaggi della procedura seguente.
- Chiama
taxonomies.createper creare una tassonomia. - Chiama
taxonomies.policytag.createper creare un tag di criteri.
Impostare le autorizzazioni per i tag di criteri
All'account utente o di servizio che crea una tassonomia deve essere concesso il Ruolo Amministratore tag criteri di Data Catalog.
Console
Apri la pagina Tassonomie di tag di criterio nella nella console Google Cloud.
Fai clic sul nome della tassonomia che contiene i tag di criteri pertinenti.
Seleziona uno o più tag di criteri.
Se il riquadro informazioni è nascosto, fai clic su Mostra riquadro informazioni.
Nel riquadro Informazioni puoi visualizzare i ruoli e le entità dell'elemento selezionato i tag di criteri. Aggiungi il ruolo Amministratore tag di criteri agli account che creano e gestire i tag di criteri. Aggiungi il Lettore granulare agli account che devono avere accesso ai dati protetti dell'controllo dell'accesso a livello di colonna. Puoi usare questo riquadro anche per rimuovere i ruoli dagli account o modificare altre autorizzazioni.
Fai clic su Salva.
API
Chiama
taxonomies.policytag.setIamPolicy
per concedere l'accesso a un tag di criteri assegnando le entità ai
ruoli.
Imposta tag di criteri sulle colonne
L'account utente o di servizio che imposta un tag di criteri deve avere
Autorizzazioni datacatalog.taxonomies.get e bigquery.tables.setCategory.
datacatalog.taxonomies.get è incluso in
Ruoli Amministratore tag di criteri di Data Catalog e Visualizzatore progetto.
bigquery.tables.setCategory è incluso in
Amministratore BigQuery (roles/bigquery.admin) e
Ruoli Proprietario dati BigQuery (roles/bigquery.dataOwner).
Per visualizzare tassonomie e tag di criteri in tutti i progetti di un'organizzazione in
Console Google Cloud, agli utenti serve il resourcemanager.organizations.get
, inclusa nel ruolo Visualizzatore organizzazione.
Console
Imposta il tag di criteri modificando uno schema utilizzando il metodo nella console Google Cloud.
Apri la pagina BigQuery nella console Google Cloud.
In BigQuery Explorer, individua e seleziona la tabella che vuoi aggiornare. Si apre lo schema per la tabella in questione.
Fai clic su Modifica schema.
Nella schermata Schema attuale, seleziona la colonna di destinazione e fai clic su Aggiungi. di criteri.
Nella schermata Aggiungi un tag di criteri, individua e seleziona il tag che ti interessa. da applicare alla colonna.
Fai clic su Seleziona. Dovresti vedere una schermata simile alla seguente:
Fai clic su Salva.
bq
Scrivi lo schema in un file locale.
bq show --schema --format=prettyjson \ project-id:dataset.table > schema.json
dove:
- project-id è l'ID progetto.
- dataset è il nome del set di dati che contiene la tabella che stai aggiornando.
- table è il nome della tabella che stai aggiornando.
Modifica schema.json per impostare un tag di criteri su una colonna. Per il valore del parametro Campo
namesdipolicyTags, utilizza il nome risorsa del tag di criteri.[ ... { "name": "ssn", "type": "STRING", "mode": "REQUIRED", "policyTags": { "names": ["projects/project-id/locations/location/taxonomies/taxonomy-id/policyTags/policytag-id"] } }, ... ]Aggiorna lo schema.
bq update \ project-id:dataset.table schema.json
API
Per le tabelle esistenti, chiama tables.patch o per le nuove tabelle richiama
tables.insert. Utilizza la
Proprietà schema dell'oggetto Table che trasmetti
per impostare un tag di criteri nella definizione dello schema. Guarda l'esempio della riga di comando
per vedere come impostare un tag di criteri.
Quando lavori con una tabella esistente, è preferibile il metodo tables.patch,
perché il metodo tables.update sostituisce l'intera risorsa della tabella.
Altri modi per impostare tag di criteri nelle colonne
Puoi impostare i tag di criteri anche quando:
- Utilizza
bq mkper creare una tabella. Passa uno schema da usare per la creazione nella tabella. - Utilizza
bq loadper caricare i dati in una tabella. Inserisci uno schema da usare per per caricare la tabella.
Per informazioni generali sullo schema, consulta la sezione Specificare uno schema.
Applica controllo di accesso
Utilizza queste istruzioni per attivare o disattivare l'applicazione forzata del controllo dell'accesso.
L'applicazione del controllo dell'accesso richiede la creazione di un criterio dei dati. Questo viene eseguita automaticamente se imponi il controllo dell'accesso utilizzando nella console Google Cloud. Se vuoi applicare il controllo dell'accesso utilizzando API BigQuery Data Policy, devi creare esplicitamente il criterio dei dati.
L'account utente o di servizio che applica il controllo dell'accesso deve disporre Ruolo Amministratore BigQuery o Proprietario dati BigQuery ruolo. Devono inoltre disporre del ruolo Amministratore Data Catalog o il ruolo Visualizzatore Data Catalog.
Console
Per applicare il controllo dell'accesso, segui questi passaggi:
Apri la pagina Tassonomie di tag di criterio nella nella console Google Cloud.
Fai clic sulla tassonomia di cui vuoi applicare il controllo dell'accesso a livello di colonna.
Se l'opzione Applica controllo dell'accesso non è già attivata, fai clic su Applica il controllo dell'accesso per abilitarlo.
Per interrompere l'applicazione del controllo dell'accesso, se attivo, fai clic su Applica accesso per attivare/disattivare il controllo.
Se disponi di criteri relativi ai dati associati a uno qualsiasi dei tag di criteri nel
devi eliminare tutti i criteri dei dati della tassonomia prima
interrompi l'applicazione
del controllo dell'accesso. Se elimini i criteri dei dati tramite
utilizzando l'API BigQuery Data Policy, devi eliminare tutti i criteri dei dati con
dataPolicyType di DATA_MASKING_POLICY. Per ulteriori informazioni, vedi
Elimina i criteri relativi ai dati.
API
Per applicare il controllo dell'accesso, chiama
create
e passiamo
DataPolicy
in cui il campo dataPolicyType è impostato su
COLUMN_LEVEL_SECURITY_POLICY.
Per interrompere l'applicazione del controllo dell'accesso se è attivo, elimina il criterio dei dati
associati alla tassonomia. A questo scopo, puoi richiamare
delete
metodo per quel criterio dei dati.
Se disponi di criteri relativi ai dati associati a uno qualsiasi dei tag di criteri nella tassonomia, non puoi applicazione del controllo dell'accesso senza prima eliminare tutti i dati i criteri della tassonomia. Per ulteriori informazioni, vedi Elimina i criteri relativi ai dati.
Utilizzare i tag di criteri
Utilizza questa sezione per imparare a visualizzare, modificare ed eliminare i tag di criterio.
Visualizza tag di criteri
Per visualizzare i tag di criteri che hai creato per una tassonomia:
Apri la pagina Tassonomie di tag di criterio nella nella console Google Cloud.
Fai clic sulla tassonomia di cui vuoi visualizzare i tag di criteri. Le tassonomie mostra i tag di criteri nella tassonomia.
Visualizza i tag di criteri nello schema
Puoi visualizzare i tag di criteri applicati a una tabella quando esamini lo schema della tabella. Puoi visualizzare lo schema utilizzando la console Google Cloud, lo strumento a riga di comando bq, l'API BigQuery e le librerie client. Per informazioni dettagliate su come visualizzare consulta la sezione Recupero delle informazioni della tabella.
Visualizza le autorizzazioni per i tag di criteri
Apri la pagina Tassonomie di tag di criterio nella nella console Google Cloud.
Fai clic sul nome della tassonomia che contiene i tag di criteri pertinenti.
Seleziona uno o più tag di criteri.
Se il riquadro informazioni è nascosto, fai clic su Mostra riquadro informazioni.
Nel riquadro Informazioni puoi visualizzare i ruoli e le entità dell'elemento selezionato i tag di criteri.
Aggiorna le autorizzazioni sui tag di criteri
All'account utente o di servizio che crea una tassonomia deve essere concesso il Ruolo Amministratore tag criteri di Data Catalog.
Console
Apri la pagina Tassonomie di tag di criterio nella nella console Google Cloud.
Fai clic sul nome della tassonomia che contiene i tag di criteri pertinenti.
Seleziona uno o più tag di criteri.
Se il riquadro informazioni è nascosto, fai clic su Mostra riquadro informazioni.
Nel riquadro Informazioni puoi visualizzare i ruoli e le entità dell'elemento selezionato i tag di criteri. Aggiungi il ruolo Amministratore tag di criteri agli account che creano e gestire i tag di criteri. Aggiungi il Lettore granulare agli account che devono avere accesso ai dati protetti dell'controllo dell'accesso a livello di colonna. Puoi usare questo riquadro anche per rimuovere i ruoli dagli account o modificare altre autorizzazioni.
Fai clic su Salva.
API
Chiama
taxonomies.policytag.setIamPolicy
per concedere l'accesso a un tag di criteri assegnando le entità ai
ruoli.
Recuperare i nomi delle risorse dei tag di criteri
Il nome della risorsa del tag di criteri è necessario quando applichi il tag di criteri a una colonna.
Per recuperare il nome della risorsa del tag di criteri:
Visualizza i tag di criteri per la tassonomia che contiene i parametri .
Trova il tag di criteri di cui vuoi copiare il nome della risorsa.
Fai clic sull'icona Copia nome risorsa tag di criteri criterio.
Cancella tag di criteri
Aggiorna lo schema della tabella per cancellare un tag di criteri da una colonna. Puoi utilizzare lo console Google Cloud, lo strumento a riga di comando bq e il metodo API BigQuery per cancellare di tag di criteri da una colonna.
Console
Nella pagina Schema corrente, in Tag di criterio, fai clic su X.
bq
Recupera lo schema e salvalo in un file locale.
bq show --schema --format=prettyjson \ project-id:dataset.table > schema.json
dove:
- project-id è l'ID progetto.
- dataset è il nome del set di dati che contiene la tabella che stai aggiornando.
- table è il nome della tabella che stai aggiornando.
Modifica schema.json per cancellare un tag di criteri da una colonna.
[ ... { "name": "ssn", "type": "STRING", "mode": "REQUIRED", "policyTags": { "names": [] } }, ... ]Aggiorna lo schema.
bq update \ project-id:dataset.table schema.json
API
Chiama tables.patch e utilizza la proprietà schema per cancellare un tag di criteri
nella definizione dello schema. Per scoprire come fare, consulta lo schema di esempio della riga di comando
per cancellare un tag di criteri.
Poiché il metodo tables.update sostituisce l'intera risorsa della tabella, il valore
È preferito il metodo tables.patch.
Elimina tag di criteri
Puoi eliminare uno o più tag di criteri in una tassonomia oppure eliminare e tutti i tag di criteri che contiene. Eliminazione di un tag di criteri rimuove automaticamente l'associazione tra il tag di criteri e le eventuali colonne a cui è stata applicata.
Quando elimini un tag di criteri che ha un norme sui dati associate a l'eliminazione del criterio relativo ai dati può richiedere fino a 30 minuti. Puoi elimina il criterio sui dati direttamente se vuoi che vengano eliminate immediatamente.
Per eliminare uno o più tag di criteri in una tassonomia, segui questi passaggi:
- Apri la pagina Tassonomie di tag di criterio nella nella console Google Cloud.
- Fai clic sul nome della tassonomia contenente i tag da eliminare.
- Fai clic su Modifica.
- Fai clic su accanto ai tag di criteri da eliminare.
- Fai clic su Salva.
- Fai clic su Conferma.
Per eliminare un'intera tassonomia, procedi nel seguente modo:
- Apri la pagina Tassonomie di tag di criterio nella nella console Google Cloud.
- Fai clic sul nome della tassonomia contenente i tag da eliminare.
- Fai clic su Elimina tassonomia dei tag di criteri.
- Digita il nome della tassonomia e fai clic su Elimina.
Query sui dati con controllo dell'accesso a livello di colonna
Se un utente ha accesso al set di dati e dispone di Data Catalog nel ruolo Lettore granulare, i dati della colonna sono disponibili per l'utente. L'utente esegue una query normalmente.
Se un utente ha accesso al set di dati, ma non dispone di Data Catalog
nel ruolo Lettore granulare, i dati della colonna non sono disponibili per l'utente. Se tale
un utente esegue SELECT *, riceve un errore in cui vengono elencate le colonne
a cui l'utente non può accedere. Per risolvere l'errore, puoi:
Modifica la query in modo da escludere le colonne alle quali l'utente non può accedere. Per ad esempio se l'utente non ha accesso alla colonna
ssn, ma ha l'accesso alle colonne rimanenti, l'utente può eseguire la seguente query:SELECT * EXCEPT (ssn) FROM ...
Nell'esempio precedente, la clausola
EXCEPTesclude la colonnassn.Chiedi a un amministratore di Data Catalog di aggiungere l'utente come Lettore granulare Data Catalog alla classe di dati pertinente. La viene fornito il nome completo del tag di criteri per il quale l'utente richiedono l'accesso.
Domande frequenti
La sicurezza a livello di colonna di BigQuery funziona per le viste?
Sì. Le visualizzazioni derivano da una tabella sottostante. Lo stesso controllo dell'accesso a livello di colonna nella tabella si applica quando alle colonne protette si accede tramite una vista.
In BigQuery esistono due tipi di viste: quelle logiche e viste autorizzate. Entrambi i tipi di viste derivano da una tabella di origine e entrambi sono coerenti con il controllo dell'accesso a livello di colonna della tabella.
Il controllo dell'accesso a livello di colonna funziona nelle colonne STRUCT o RECORD?
Sì. Puoi applicare tag di criteri solo ai campi foglia e solo a questi campi sono protetti.
Posso utilizzare sia SQL precedente che GoogleSQL?
Puoi usare GoogleSQL per eseguire query sulle tabelle protette a livello di colonna e controllo dell'accesso.
Se nella destinazione sono presenti tag di criteri, tutte le query SQL precedente vengono rifiutate tabelle.
Le query vengono registrate in Cloud Logging?
Il controllo dei tag di criteri viene registrato in Logging. Per ulteriori informazioni le informazioni, vedi Audit logging per dell'controllo dell'accesso a livello di colonna.
La copia di una tabella è interessata dal controllo dell'accesso a livello di colonna?
Sì. Non puoi copiare le colonne se non puoi accedervi.
Le seguenti operazioni verificano le autorizzazioni a livello di colonna.
SELECTquery con tabelle di destinazione- Job di copia della tabella
- Job di esportazione dati (ad esempio, in Cloud Storage)
Quando copio i dati in una nuova tabella, i tag di criteri vengono propagati automaticamente?
Nella maggior parte dei casi no. Se copi i risultati di una query in una nuova tabella, il nuovo non vengono assegnati automaticamente tag di criteri. Quindi la nuova tabella dispongono del controllo dell'accesso a livello di colonna. Lo stesso vale se esporti i dati in di archiviazione ideale in Cloud Storage.
Fanno eccezione i casi in cui utilizzi un job di copia di tabelle. Poiché i job di copia delle tabelle non applicano alcuna trasformazione dei dati, i tag di criteri vengono propagati automaticamente le tabelle di destinazione.
Il controllo dell'accesso a livello di colonna è compatibile con Virtual Private Cloud?
Sì, il controllo dell'accesso a livello di colonna e il VPC sono compatibili e complementari.
VPC sfrutta IAM per controllare l'accesso ai servizi, ad esempio BigQuery e Cloud Storage. Accesso a livello di colonna fornisce una sicurezza granulare delle singole colonne BigQuery.
Per applicare il VPC per i tag di criteri e i criteri dei dati per il controllo dell'accesso a livello di colonna e il mascheramento dinamico dei dati, devi limitare le seguenti API nel perimetro:
Risoluzione dei problemi
Non riesco a visualizzare i ruoli di Data Catalog
Se non riesci a visualizzare ruoli come Lettore granulare Data Catalog, è possibile che tu non abbia abilitato l'API Data Catalog in del progetto. Per scoprire come abilitare l'API Data Catalog, consulta Prima di iniziare. Dovrebbero essere visualizzati i ruoli di Data Catalog diversi minuti dopo l'abilitazione dell'API Data Catalog.
Non riesco a visualizzare la pagina Tassonomie
Devi disporre di autorizzazioni aggiuntive per visualizzare la pagina Tassonomie. Per Ad esempio, il ruolo Amministratore tag di criteri di Data Catalog ha accesso alla pagina Tassonomie.
Ho applicato i tag di criteri, ma sembra non funzionare
Se continui a ricevere risultati di query per un account che non dovrebbe avere è possibile che l'account stia ricevendo risultati memorizzati nella cache. In particolare, se in precedenza hai eseguito correttamente la query e poi hai applicato i tag di criteri, potrebbero recuperare risultati dalla cache dei risultati della query. Per impostazione predefinita, i risultati vengono memorizzati nella cache per 24 ore. Se disattiva la cache dei risultati. Per ulteriori dettagli sulla memorizzazione nella cache, consulta Impatto di controllo dell'accesso a livello di colonna.
In generale, la propagazione degli aggiornamenti IAM richiede circa 30 secondi. La propagazione delle modifiche nella gerarchia dei tag di criteri può richiedere fino a 30 minuti.
Non ho l'autorizzazione per leggere da una tabella con sicurezza a livello di colonna
Devi avere il ruolo Lettore granulare o il ruolo Lettore mascherato a diversi livelli, ad esempio organizzazione, cartella, progetto e tag di criteri. Il ruolo Lettore granulare concede l'accesso ai dati non elaborati, mentre il ruolo Lettore mascherato Concede l'accesso ai dati mascherati. Tu puoi utilizzare lo strumento per la risoluzione dei problemi IAM per controllare questa autorizzazione a livello di progetto.