Zugriff mit BigQuery-Sicherheit auf Spaltenebene beschränken

Auf dieser Seite wird gezeigt, wie Sie mit der BigQuery-Sicherheit auf Spaltenebene den Zugriff auf BigQuery-Daten auf Spaltenebene beschränken. Unter Einführung in die BigQuery-Sicherheit auf Spaltenebene finden Sie allgemeine Informationen dazu.

Für die Anleitungen auf dieser Seite wird sowohl BigQuery als auch Data Catalog verwendet.

Sie aktualisieren in dieser Anleitung das Tabellenschema, um ein Richtlinien-Tag für eine Spalte festzulegen. Mit der Cloud Console, dem bq-Befehlszeilentool und der BigQuery API können Sie ein Richtlinien-Tag für eine Spalte festlegen. Außerdem können Sie mit den folgenden Werkzeugen in ein und demselben Vorgang eine Tabelle erstellen, das Schema angeben und Richtlinien-Tags festlegen:

  • Den Befehlen bq mk und bq load des bq-Befehlszeilentools.
  • Der API-Methode tables.insert.
  • Die Seite Tabelle erstellen in der Cloud Console Wenn Sie die Cloud Console verwenden, müssen Sie Als Text bearbeiten auswählen, wenn Sie das Schema hinzufügen oder bearbeiten.

Vorbereitung

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
  2. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Die Abrechnung für das Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für Ihr Projekt aktiviert ist.

  4. Aktivieren Sie die Data Catalog API.

    Aktivieren Sie die API

  5. BigQuery ist in neuen Projekten automatisch aktiviert. Zum Aktivieren von BigQuery in einem vorhandenen Projekt wechseln Sie zu Aktivieren Sie die BigQuery API.

    Aktivieren Sie die API

    .

Rollen und Berechtigungen

Es gibt mehrere Rollen für Richtlinien-Tags für Nutzer und Dienstkonten. Auf dieser Seite werden die besprochenen Rollen Administrator von Data Catalog-Richtlinien-Tags und Detaillierter Lesezugriff für Data Catalog beschrieben.

  • Nutzer oder Dienstkonten, die Richtlinien-Tags verwalten, müssen die Data Catalog-Rolle Richtlinien-Tag-Administrator haben. Diese Rolle kann Taxonomien und Richtlinien-Tags verwalten und ACL-Richtlinien zuweisen oder entfernen.

  • Nutzer oder Dienstkonten, die Daten abfragen, die durch die Sicherheit auf Spaltenebene geschützt sind, müssen die Rolle Detaillierter Lesezugriff für Data Catalog haben.

Weitere Informationen zu allen richtlinienbezogenen Rollen finden Sie unter Mit Sicherheit auf Spaltenebene verwendete Rollen.

Rolle "Administrator von Richtlinien-Tags"

Die Rolle Administrator von Data Catalog-Richtlinien-Tags kann Datenrichtlinien-Tags erstellen und verwalten.

Zum Zuweisen der Rolle Administrator von Data Catalog-Richtlinien-Tags benötigen Sie die Berechtigung resourcemanager.projects.setIamPolicy für das Projekt, dem Sie die Rolle Administrator von Richtlinien-Tags zuweisen möchten. , um die Option zu aktivieren. Wenn Sie die Berechtigung resourcemanager.projects.setIamPolicy nicht haben, bitten Sie einen Inhaber des Projekts, Ihnen entweder die Berechtigung zu erteilen oder die folgenden Schritte für Sie auszuführen.

  1. Öffnen Sie in der Google Cloud Console die IAM-Seite.

    Zur Seite "IAM"

  2. Wenn sich die E-Mail-Adresse des Nutzers, der die Rolle erhalten soll, in der Liste befindet, wählen Sie die E-Mail-Adresse aus und klicken auf das Stiftsymbol zum Bearbeiten. Wenn die E-Mail-Adresse des Nutzers nicht in der Liste enthalten ist, fügen Sie den Nutzer zu Ihrem Projekt hinzu, bevor Sie mit dem nächsten Schritt fortfahren.

  3. Klicken Sie auf der Seite Berechtigungen bearbeiten auf Weitere Rolle hinzufügen.

  4. Klicken Sie auf Data Catalog und anschließend auf Administator von Richtlinien-Tags.

  5. Klicken Sie auf Speichern.

Weitere Informationen zu dieser Rolle finden Sie unter Mit Sicherheit auf Spaltenebene verwendete Rollen.

Rolle "Detaillierter Lesezugriff"

Nutzer, die Zugriff auf Daten benötigen, die durch die Sicherheit auf Spaltenebene geschützt sind, benötigen die Rolle Detaillierter Lesezugriff für Data Catalog. Diese Rolle wird normalerweise im Rahmen der Festlegung eines Richtlinien-Tags für eine Spalte zugewiesen.

Damit Sie die folgenden Schritte ausführen können, benötigen Sie die Berechtigung resourcemanager.projects.setIamPolicy für das Projekt, dem Sie die Rolle Detaillierter Lesezugriff zuweisen möchten. Wenn Sie die Berechtigung resourcemanager.projects.setIamPolicy nicht haben, bitten Sie einen Inhaber des Projekts, Ihnen entweder die Berechtigung zu erteilen oder die folgenden Schritte für Sie auszuführen.

  1. Öffnen Sie in der Cloud Console die Seite "IAM".

    Seite "IAM" öffnen

  2. Wenn sich die E-Mail-Adresse des Nutzers, der die Rolle erhalten soll, in der Liste befindet, wählen Sie die E-Mail-Adresse aus und klicken auf das Stiftsymbol zum Bearbeiten. Wenn die E-Mail-Adresse des Nutzers nicht in der Liste enthalten ist, fügen Sie den Nutzer zu Ihrem Projekt hinzu, bevor Sie mit dem nächsten Schritt fortfahren.

  3. Klicken Sie auf der Seite Berechtigungen bearbeiten auf Weitere Rolle hinzufügen.

  4. Klicken Sie auf Data Catalog und anschließend auf Detaillierter Lesezugriff.

  5. Klicken Sie auf Speichern.

Weitere Informationen zu dieser Rolle finden Sie unter Mit Sicherheit auf Spaltenebene verwendete Rollen.

Taxonomie erstellen

Zum Erstellen einer Taxonomie und zum Hinzufügen von Richtlinien-Tags für Ihre Daten verwenden Sie Data Catalog.

Dem Nutzerkonto, mit dem die folgenden Schritte ausgeführt werden, muss die Data Catalog-Rolle "Richtlinien-Tag-Administrator" zugewiesen sein.

  1. Öffnen Sie in der Cloud Console die Data Catalog-Seite "Taxonomien".

    Zur Seite "Taxonomien"

  2. Klicken Sie auf Taxonomie erstellen.

  3. Auf der Seite Neue Taxonomie gehen Sie so vor:

    1. Geben Sie unter Taxonomiename den Namen der Taxonomie ein, die Sie erstellen möchten.
    2. Geben Sie unter Beschreibung eine Beschreibung ein.
    3. Ändern Sie bei Bedarf das unter Projekt aufgeführte Projekt.
    4. Ändern Sie bei Bedarf den unter Speicherort aufgeführten Speicherort.
    5. Geben Sie unter Richtlinien-Tags einen Namen und eine Beschreibung für das Richtlinien-Tag ein.
    6. Wenn Sie einem Richtlinien-Tag ein untergeordnetes Richtlinien-Tag hinzufügen möchten, klicken Sie auf Kinderrichtlinien-Tag hinzufügen.
    7. Wenn ein neues Richtlinien-Tag auf der gleichen Ebene wie ein vorhandenes Richtlinien-Tag hinzugefügt werden soll, klicken Sie auf das +-Symbol.

      In der folgenden Abbildung ist die Seite Neue Taxonomie für eine Beispieltaxonomie dargestellt:

      Seite "Taxonomie erstellen".

    8. Fügen Sie weitere Richtlinien-Tags und untergeordnete Richtlinien-Tags hinzu, wenn es für Ihre Taxonomie erforderlich ist.

    9. Wenn Sie alle Richtlinien-Tags für Ihre Hierarchie erstellt haben, klicken Sie auf Speichern.

Richtlinien-Tags aufrufen

So rufen Sie die Richtlinien-Tags auf, die Sie für eine Taxonomie erstellt haben:

  1. Öffnen Sie in der Cloud Console die Data Catalog-Seite "Taxonomien".

    Zur Seite "Taxonomien"

  2. Klicken Sie auf die Taxonomie, deren Richtlinien-Tags Sie aufrufen möchten. Auf der Seite Taxonomien werden die Richtlinien-Tags für die jeweilige Taxonomie angezeigt.

    Richtlinien-Tags.

Berechtigungen für Richtlinien-Tags aufrufen

So rufen Sie die Berechtigung für ein Richtlinien-Tag auf:

  1. Öffnen Sie in der Cloud Console die Data Catalog-Seite "Taxonomien".

    Zur Seite "Taxonomien"

  2. Klicken Sie auf die Taxonomie mit den Richtlinien-Tags, denen Sie Berechtigungen zuweisen möchten.

  3. Klicken Sie auf die Richtlinien-Tags, denen Sie Berechtigungen zuweisen möchten.

    Ausgewähltes Richtlinien-Tag.

  4. Im rechten Bereich werden die Mitglieder und Berechtigungen für die ausgewählten Richtlinien-Tags angezeigt.

    Berechtigungen für Richtlinien-Tag.

Berechtigungen für Richtlinien-Tags aktualisieren

So aktualisieren Sie Berechtigungen für ein Richtlinien-Tag:

  1. Öffnen Sie in der Cloud Console die Data Catalog-Seite "Taxonomien".

    Zur Seite "Taxonomien"

  2. Klicken Sie auf die Taxonomie mit den Richtlinien-Tags, deren Berechtigungen Sie aktualisieren möchten.

  3. Klicken Sie auf die Richtlinien-Tags, deren Berechtigungen Sie aktualisieren möchten.

    Ausgewähltes Richtlinien-Tag.

  4. Im rechten Bereich werden die Mitglieder und Berechtigungen für die ausgewählten Richtlinien-Tags angezeigt. Fügen Sie der Rolle Richtlinien-Tag-Administrator Konten hinzu, mit denen Richtlinien-Tags erstellt und verwaltet werden. Der Rolle Detaillierter Lesezugriff fügen Sie Konten hinzu, die Zugriff auf die durch die Sicherheit auf Spaltenebene geschützten Daten haben sollen. In diesem Bereich können Sie auch Konten entfernen und andere Berechtigungen ändern.

  5. Klicken Sie abschließend auf Speichern.

Nach Richtlinien-Tags suchen

So suchen Sie in Data Catalog nach Richtlinien-Tags:

  1. Öffnen Sie die Data Catalog-Startseite und suchen Sie nach Datenassets über das Feld Suchen.

    Data Catalog-Startseite öffnen

Weitere Informationen zum Suchen von Assets wie Richtlinien-Tags in Data Catalog finden Sie unter In Datenassets suchen.

Ressourcennamen eines Richtlinien-Tags abrufen

Wenn Sie das Richtlinien-Tag auf eine Spalte anwenden möchen, benötigen Sie den Ressourcennamen eines Richtlinien-Tags.

So rufen Sie den Ressourcennamen eines Richtlinien-Tags ab:

  1. Rufen Sie die Richtlinien-Tags für die Taxonomie auf, die das entsprechende Richtlinien-Tag enthält.

  2. Ermitteln Sie das Richtlinien-Tag, dessen Ressourcennamen Sie kopieren möchten.

  3. Klicken Sie auf das Symbol Ressourcenname des Richtlinien-Tags kopieren.

    Ressourcennamen kopieren.

Richtlinien-Tag für eine Spalte festlegen

Das Nutzer- oder Dienstkonto, mit dem ein Richtlinien-Tag festgelegt werden soll, benötigt die Berechtigung datacatalog.taxonomies.get. Diese Berechtigung ist in den Rollen Richtlinien-Tag-Administrator und Projektbetrachter enthalten.

Console

Wenn Sie mithilfe der Cloud Console ein Schema ändern möchten, legen Sie das Richtlinien-Tag dann fest, wenn Sie das Schema bearbeiten.

  1. Wählen Sie im Bildschirm Aktuelles Schema die gewünschte Spalte aus und klicken Sie auf Richtlinien-Tag hinzufügen.
  2. Wählen Sie im Bildschirm Richtlinien-Tag hinzufügen das Richtlinien-Tag aus, das Sie auf die Spalte anwenden möchten.
  3. Klicken Sie auf Auswählen. Ihr Bildschirm sollte nun in etwa so aussehen:

    Schema bearbeiten.

  4. Klicken Sie auf Speichern.

Alternativ können Sie beim Erstellen einer Tabelle oder beim Ändern eines Schemas mit der Cloud Console das Richtlinien-Tag festlegen, wenn Sie das Schema als Text bearbeiten.

  1. Klicken Sie dazu für Schema auf Als Text bearbeiten.
  2. Ändern Sie das Schema, um ein Richtlinien-Tag für eine Spalte festzulegen. Verwenden Sie für den Wert des Feldes names von policyTags den Ressourcennamen des Richtlinien-Tags.

    Als Text bearbeiten.

bq

  1. Rufen Sie das Schema ab und schreiben Sie es in eine lokale Datei.

    bq show --schema --format=prettyjson \
       project-id:dataset.table > schema.json
    

    Dabei gilt:

    • project-id ist die Projekt-ID.
    • dataset ist der Name des Datasets, das die zu aktualisierende Tabelle enthält.
    • table ist der Name der Tabelle, die Sie aktualisieren.
  2. Ändern Sie "schema.json" so, dass darin ein Richtlinien-Tag für eine Spalte festgelegt wird. Verwenden Sie für den Wert des Feldes names von policyTags den Ressourcennamen des Richtlinien-Tags.

    [
     ...
     {
       "name": "ssn",
       "type": "STRING",
       "mode": "REQUIRED",
       "policyTags": {
         "names": ["projects/project-id/locations/location/taxonomies/taxonomy-id/policyTags/policytag-id",]
       }
     },
     ...
    ]
    
  3. Aktualisieren Sie das Schema.

    bq update \
       project-id:dataset.table schema.json
    

API

Rufen Sie tables.patch auf und verwenden Sie dabei das Attribut schema, um in der Schemadefinition ein Richtlinien-Tag festzulegen. Das Beispielschema für die Befehlszeile zeigt, wie Sie ein Richtlinien-Tag angeben.

Da die Methode tables.update die gesamte Tabellenressource ersetzt, ist die Methode tables.patch zu bevorzugen.

Weitere Möglichkeiten zum Festlegen eines Richtlinien-Tags für eine Spalte

Sie können Richtlinien-Tags auch in folgenden Situationen festlegen:

  • Sie erstellen eine Tabelle mit bq mk. Dabei übergeben Sie ein Schema, das zum Erstellen der Tabelle verwendet werden soll.
  • Sie laden mit bq load Daten in eine Tabelle. Dabei übergeben Sie ein Schema, das zum Laden der Tabelle verwendet werden soll.

Allgemeine Informationen zu Schemas finden Sie unter Schema angeben.

Richtlinien-Tags in Schema aufrufen

Beim Prüfen des Tabellenschemas haben Sie auch die Möglichkeit, die auf eine Tabelle angewendeten Richtlinien-Tags zu prüfen. Sie können das Schema mit der Cloud Console, dem bq-Befehlszeilentool, der BigQuery API und den Clientbibliotheken aufrufen. Weitere Informationen zum Aufrufen des Schemas finden Sie unter Informationen zu Tabellen abrufen.

Mit Sicherheit auf Spaltenebene geschützte Daten abfragen

Wenn ein Nutzer Zugriff auf Datasets und die Data Catalog-Rolle "Detaillierter Lesezugriff" hat, sind die Spaltendaten für den Nutzer verfügbar. Der Nutzer führt dann wie gewohnt eine Abfrage aus.

Wenn ein Nutzer Zugriff auf Datasets hat, aber nicht die Data Catalog-Rolle "Detaillierter Lesezugriff", sind die Spaltendaten für den Nutzer nicht verfügbar. Wenn ein solcher Nutzer SELECT * ausführt, wird eine Fehlermeldung zurückgegeben, in der die Spalten aufgelistet sind, auf die er nicht zugreifen kann. Diesen Fehler können Sie so beheben:

  • Ändern Sie die Abfrage so, dass die Spalten ausgeschlossen sind, auf die der Nutzer nicht zugreifen kann. Wenn der Nutzer beispielsweise keinen Zugriff auf die Spalte ssn, aber Zugriff auf die übrigen Spalten hat, kann er folgende Abfrage ausführen:

    SELECT * EXCEPT (ssn) FROM ...
    

    Im obigen Beispiel wird mit der Klausel EXCEPT die Spalte ssn ausgeschlossen.

  • Bitten Sie einen Data Catalog-Administrator, den Nutzer zusammen mit der Data Catalog-Rolle "Detaillierter Lesezugriff" der entsprechenden Datenklasse hinzuzufügen. Die Fehlermeldung enthält den vollständigen Namen des Richtlinien-Tags, für das der Nutzer Zugriffsrechte benötigt.

Richtlinien-Tag entfernen

Zum Entfernen eines Richtlinien-Tags von einer Spalte müssen Sie das Tabellenschema ändern. Um ein Richtlinien-Tag von einer Spalte zu entfernen, können Sie die Cloud Console, das bq-Befehlszeilentool und die BigQuery API-Methode verwenden.

Console

Klicken Sie auf der Seite Aktuelles Schema unter Richtlinien-Tags auf X.

Richtlinien-Tag entfernen.

bq

  1. Rufen Sie das Schema ab und speichern Sie es in einer lokalen Datei.

    bq show --schema --format=prettyjson \
       project-id:dataset.table > schema.json
    

    Dabei gilt:

    • project-id ist die Projekt-ID.
    • dataset ist der Name des Datasets, das die zu aktualisierende Tabelle enthält.
    • table ist der Name der Tabelle, die Sie aktualisieren.
  2. Ändern Sie "schema.json", um ein Richtlinien-Tag von einer Spalte zu entfernen.

    [
     ...
     {
       "name": "ssn",
       "type": "STRING",
       "mode": "REQUIRED",
       "policyTags": {
         "names": []
       }
     },
     ...
    ]
    
  3. Aktualisieren Sie das Schema.

    bq update \
       project-id:dataset.table schema.json
    

API

Rufen Sie tables.patch auf und verwenden Sie das Attribut schema, um in der Schemadefinition ein Richtlinien-Tag zu entfernen. Das Beispielschema für die Befehlszeile zeigt, wie Sie ein Richtlinien-Tag entfernen.

Da die Methode tables.update die gesamte Tabellenressource ersetzt, ist die Methode tables.patch zu bevorzugen.

Zugriffssteuerung erzwingen

So erzwingen Sie die Zugriffssteuerung:

  1. Öffnen Sie in der Cloud Console die Data Catalog-Seite "Taxonomien".

    Zur Seite "Taxonomien"

  2. Klicken Sie auf die Taxonomie, für die Sie die Sicherheit auf Spaltenebene erzwingen möchten.

  3. Wenn die Option Zugriffssteuerung erzwingen noch nicht aktiviert ist, klicken Sie auf Zugriffssteuerung erzwingen.

Zugriffssteuerung deaktivieren

  1. Öffnen Sie in der Cloud Console die Data Catalog-Seite "Taxonomien".

    Zur Seite "Taxonomien"

  2. Klicken Sie auf die Taxonomie, für die Sie die Sicherheit auf Spaltenebene deaktivieren möchten.

  3. Wenn die Option Zugriffssteuerung erzwingen aktiviert ist, klicken Sie auf Zugriffssteuerung erzwingen, um sie zu deaktivieren.

FAQ

Funktioniert die BigQuery-Sicherheit auf Spaltenebene auch für Ansichten?

Ja. Ansichten werden aus einer zugrunde liegenden Tabelle abgeleitet. Wenn auf geschützte Spalten über eine Ansicht zugegriffen wird, gilt dafür dieselbe Sicherheit auf Spaltenebene, die für die Tabelle gilt.

Beachten Sie, dass es in BigQuery zwei Arten von Ansichten gibt: logische und autorisierte Ansichten. Bei beiden Typen wird die Ansicht aus einer Quelltabelle abgeleitet und bei beiden gilt auch die Sicherheit der Tabelle auf Spaltenebene.

Funktioniert die Sicherheit auf Spaltenebene auch bei STRUCT- oder RECORD-Spalten?

Ja. Sie können allerdings Richtlinien-Tags nur auf die Blattfelder anwenden. Nur diese Felder sind geschützt.

Kann ich sowohl Legacy-SQL als auch Standard-SQL verwenden?

Sie können mit Standard-SQL Tabellen abfragen, die durch Sicherheit auf Spaltenebene geschützt sind.

Alle Legacy-SQL-Abfragen werden abgelehnt, wenn die Zieltabellen Richtlinien-Tags enthalten.

Werden Abfragen in Logs von Cloud Logging erfasst?

Die IAM-Prüfung von Richtlinien-Tags wird in Logging protokolliert. Weitere Informationen zur Sicherheit auf Spaltenebene finden Sie unter Audit-Logging.

Wirkt sich die Sicherheit auf Spaltenebene auf das Kopieren einer Tabelle aus?

Ja. Sie können keine Spalten kopieren, auf die Sie keinen Zugriff haben.

Bei folgenden Vorgängen wird geprüft, ob die erforderlichen Berechtigungen auf Spaltenebene vorliegen:

Werden die Richtlinien-Tags automatisch übertragen, wenn ich Daten in eine neue Tabelle kopiere?

In den meisten Fällen nicht. Wenn Sie die Ergebnisse einer Abfrage in eine neue Tabelle kopieren, werden der neuen Tabelle nicht automatisch Richtlinien-Tags zugewiesen. Für die neue Tabelle gilt also keine Sicherheit auf Spaltenebene. Das ist auch der Fall, wenn Sie Daten nach Cloud Storage exportieren.

Davon ausgenommen sind Tabellenkopierjobs. Da es bei Tabellenkopierjobs zu keiner Datentransformation kommt, werden die Richtlinien-Tags automatisch für die Zieltabellen übernommen.

Ist die Sicherheit auf Spaltenebene mit Virtual Private Cloud kompatibel?

Ja. Die Sicherheit auf Spaltenebene und VPC sind miteinander kompatibel und ergänzen sich.

VPC verwendet IAM, um den Zugriff auf Dienste wie BigQuery und Cloud Storage zu steuern. Die Sicherheit auf Spaltenebene bietet darüber hinaus eine detaillierte Sicherheitseinstellung für einzelne Spalten in BigQuery.

Fehlerbehebung

Es werden keine Data Catalog-Rollen angezeigt.

Wenn keine Data Catalog-Rollen wie "Detaillierter Lesezugriff" angezeigt werden, kann es sein, dass Sie die Data Catalog API nicht in Ihrem Projekt aktiviert haben. Unter Vorbereitung ist angegeben, wie Sie die Data Catalog API aktivieren. Die Data Catalog-Rollen müssten einige Minuten nach dem Aktivieren der Data Catalog API angezeigt werden.

Ich kann die Seite für die Taxonomien nicht aufrufen.

Zum Aufrufen der Seite Taxonomien benötigen Sie zusätzliche Berechtigungen. Beispielsweise ermöglicht die Data Catalog-Rolle Richtlinien-Tag-Administrator den Zugriff auf die Seite Taxonomien.

Ich habe Richtlinien-Tags erzwungen, aber es scheint nicht zu funktionieren.

Wenn Sie weiterhin Abfrageergebnisse für ein Konto erhalten, das keinen Zugriff mehr haben sollte, sind das möglicherweise Ergebnisse aus dem Cache. Insbesondere wenn Sie die Abfrage zuvor erfolgreich ausgeführt und dann Richtlinien-Tags erzwungen haben, erhalten Sie möglicherweise Ergebnisse aus dem Cache mit Abfrageergebnissen. Abfrageergebnisse werden standardmäßig 24 Stunden lang im Cache gespeichert. Die Abfrage sollte sofort fehlschlagen, wenn Sie den Ergebnis-Cache deaktivieren. Weitere Informationen zum Caching finden Sie unter Auswirkungen der Sicherheit auf Spaltenebene.

Im Allgemeinen dauert es etwa 30 Sekunden, bis Aktualisierungen für IAM ausgeführt werden. Änderungen an der Richtlinien-Tag-Hierarchie müssten nach maximal 30 Minuten wirksam werden.