Controlla l'accesso con le condizioni IAM

Questo documento descrive come utilizzare le condizioni IAM per controllare l'accesso alle risorse BigQuery.

Le condizioni IAM consentono di concedere l'accesso alle risorse BigQuery solo se sono soddisfatte determinate condizioni. Ad esempio, puoi concedere l'accesso a una risorsa per una durata limitata o periodicamente per determinate ore della giornata. Le condizioni IAM sono supportate a livello di progetto, cartella e organizzazione e possono essere applicate a set di dati, tabelle, routine e modelli BigQuery.

Le condizioni IAM sono utili per concedere contemporaneamente autorizzazioni di Identity and Access Management (IAM) a molte risorse correlate, incluse quelle che non esistono ancora. Per concedere le autorizzazioni a gruppi di risorse BigQuery non correlati, puoi utilizzare i tag IAM.

Prima di iniziare

Abilita l'API IAM e concedi i ruoli IAM che concedono agli utenti le autorizzazioni necessarie per eseguire ogni attività in questo documento.

Abilita l'API IAM

Per abilitare l'API IAM, seleziona una delle seguenti opzioni:

gcloud services enable iam.googleapis.com

Autorizzazioni obbligatorie

Per ottenere l'autorizzazione necessaria per applicare le condizioni IAM alle risorse BigQuery, chiedi all'amministratore di concederti il ruolo IAM Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin). Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questo ruolo predefinito contiene l'autorizzazione resourcemanager.projects.setIamPolicy, necessaria per applicare le condizioni IAM alle risorse BigQuery.

Potresti riuscire a ottenere questa autorizzazione anche con i ruoli personalizzati o altri ruoli predefiniti.

Per ulteriori informazioni su ruoli e autorizzazioni IAM in BigQuery, consulta Introduzione a IAM.

Attributi della condizione

Puoi impostare le condizioni IAM sulle risorse BigQuery in base ai seguenti attributi:

• request.time: l'ora in cui l'utente tenta di accedere a una risorsa BigQuery. Per ulteriori dettagli ed esempi, consulta Attributo data/ora.
• resource.name: il percorso della risorsa BigQuery. Per il formato, consulta le tabelle in Formati degli attributi.
• resource.type: tipo di risorsa BigQuery. Per il formato, consulta le tabelle in Formati degli attributi.
• resource.service: il servizio Google Cloud utilizzato dalla risorsa BigQuery. Per il formato, consulta le tabelle in Formati degli attributi.
• resource.tags: i tag collegati alla risorsa BigQuery. I tag sono supportati solo sulle risorse delle tabelle e dei set di dati BigQuery. Per il formato, consulta le tabelle in Formati degli attributi e nella documentazione IAM.

Formati attributi

Quando crei le condizioni per i set di dati BigQuery, utilizza i seguenti formati:

Quando crei le condizioni per le tabelle BigQuery, utilizza i seguenti formati:

Quando crei le condizioni per le routine BigQuery, utilizza i seguenti formati:

Quando crei le condizioni per i modelli BigQuery, utilizza i seguenti formati:

Sostituisci quanto segue:

• PROJECT_ID: l'ID del progetto che contiene le risorse a cui concedi l'accesso
• DATASET_ID: l'ID del set di dati a cui concedi l'accesso
• TABLE_ID: l'ID della tabella a cui stai concedendo l'accesso
• ROUTINE_ID: l'ID della routine a cui stai concedendo l'accesso
• MODEL_ID: l'ID del modello a cui concedi l'accesso

Aggiungi condizioni a una risorsa

Per aggiungere una condizione a un set di dati, una tabella, una routine o un modello in BigQuery, consulta Consentire criteri con condizioni. Quando crei le condizioni, fai riferimento alle tabelle dei formati degli attributi.

Best practice per le condizioni

Quando crei condizioni in BigQuery, utilizza le seguenti best practice:

• Non utilizzare condizioni negative per resource.type, resource.name o resource.service, perché i tipi non supportati utilizzano la stringa vuota e corrispondono quasi tutte le condizioni negative. Per maggiori dettagli, consulta l'articolo Condizioni negative.
• Includi resource.type, resource.name e resource.service nella condizione, anche quando questo livello di specificità non è necessario. Questa procedura consente di mantenere le condizioni poiché le risorse nel flusso di lavoro cambiano, in modo che altre risorse non vengano incluse involontariamente in futuro.
• Quando concedi le autorizzazioni, includi l'insieme più ristretto possibile di autorizzazioni per assicurarti di non concedere involontariamente un accesso eccessivamente permissivo.
• Fai attenzione quando utilizzi la frase resource.name.startsWith nella condizione, poiché i percorsi delle tabelle BigQuery sono preceduti dal prefisso dell'ID progetto e dell'ID del set di dati padre. Condizioni non sufficientemente specifiche potrebbero concedere accessi eccessivamente permissivi. Tuttavia, la frase resource.name.startsWith è utile se vuoi dare agli utenti la possibilità di eseguire query con caratteri jolly. Ad esempio, la condizione resource.name.startsWith("projects/my_project/datasets/my_dataset/tables/table_prefix") consente agli utenti di eseguire la query SELECT * FROM my_dataset.table_prefix*.
• Non aggiungere condizioni per le risorse BigQuery diverse da set di dati, tabelle, routine e modelli.
• Verifica di concedere le autorizzazioni corrette per la risorsa corretta. Ad esempio, l'autorizzazione per elencare le risorse (bigquery.RESOURCE.list) deve essere concessa a livello padre, ma l'autorizzazione per eliminare risorse (bigquery.RESOURCE.delete) deve essere concessa a livello di risorsa. L'eliminazione del set di dati, in cui vengono eliminate anche tutte le risorse che contiene, richiede le autorizzazioni di eliminazione di tabelle, modelli e routine per il set di dati.
• Tieni presente che gli snapshot delle tabelle e gli spostamenti nel tempo non hanno alcun effetto sulle autorizzazioni.

Condizioni negative

Condizioni negative come resource.name != resource possono concedere inavvertitamente un accesso eccessivamente permissivo. Le risorse BigQuery non supportate hanno attributi delle risorse vuoti, il che significa che soddisfano tutte le condizioni negative. Anche le risorse nei servizi esterni a BigQuery potrebbero corrispondere a condizioni negative.

Inoltre, le condizioni negative creano problemi quando gli utenti eseguono query con caratteri jolly. Ad esempio, considera la condizione negativa resource.name != /projects/my_project/datasets/my_dataset/tables/secret. Sembra che questa condizione conceda l'accesso a tutte le risorse, tranne a una tabella denominata secret. Tuttavia, l'utente può comunque eseguire query sulla tabella utilizzando una query con caratteri jolly, come SELECT * from my_project.my_dataset.secre*;.

Inoltre, condizioni negative su tabelle, routine e modelli potrebbero concedere un accesso eccessivamente permissivo ai set di dati padre. Gli utenti potrebbero quindi essere in grado di eliminare queste risorse perché le autorizzazioni di eliminazione sono gestite a livello del set di dati.

Limitazioni

• Non puoi aggiungere concessioni di visualizzazione autorizzata, routine autorizzata o set di dati autorizzato con condizioni IAM.
• Quando un utente ha accesso condizionale a un set di dati o a una tabella, non può modificare le autorizzazioni per la risorsa tramite la console Google Cloud. Sono supportati solo lo strumento bq e l'API.
• Controllo dell'accesso a livello di riga e di colonna non è supportato direttamente tramite le condizioni IAM. Tuttavia, un utente con accesso condizionale può concedersi il ruolo Amministratore BigQuery (roles/bigquery.admin) nella tabella e quindi modificare i criteri di accesso a righe e colonne.
• L'applicazione delle modifiche ai criteri IAM può richiedere fino a cinque minuti.
• Gli utenti con accesso condizionale potrebbero non essere in grado di eseguire query su INFORMATION_SCHEMA viste.
• Gli utenti con solo accesso condizionale alla tabella non possono eseguire funzioni con caratteri jolly nelle tabelle.

Esempi

Di seguito sono riportati alcuni esempi di casi d'uso per le condizioni IAM in BigQuery.

Concedi l'accesso in lettura a una tabella specifica

Questo esempio concede a cloudysanfrancisco@gmail.com il ruolo Visualizzatore dati BigQuery per la tabella table_1 nel set di dati dataset_1. Con questo ruolo, l'utente può eseguire query alla tabella e accedervi tramite lo strumento bq. L'utente non può visualizzare la tabella nella console Google Cloud perché non ha l'autorizzazione bigquery.tables.list per il set di dati.

{
  "members": [cloudysanfrancisco@gmail.com],
  "role": roles/bigquery.dataViewer,
  "condition": {
    "title": "Table dataset_1.table_1",
    "description": "Allowed to read table with name table_1 in dataset_1 dataset",
    "expression":
resource.name == projects/project_1/datasets/dataset_1/tables/table_1
&& resource.type == bigquery.googleapis.com/Table
  }
}

Concedi l'accesso all'elenco di dati per un set di dati specifico

Questo esempio concede a cloudysanfrancisco@gmail.com il ruolo Visualizzatore metadati BigQuery per il set di dati dataset_2. Con questo ruolo, l'utente può elencare tutte le risorse nel set di dati, ma non può eseguire alcuna query su queste risorse.

{
  "members": [cloudysanfrancisco@gmail.com],
  "role": roles/bigquery.metadataViewer,
  "condition": {
    "title": "Dataset dataset_2",
    "description": "Allowed to list resources in dataset_2 dataset",
    "expression":
resource.name == projects/project_2/datasets/dataset_2
&& resource.type == bigquery.googleapis.com/Dataset
  }
}

Concedi l'accesso come proprietario a tutte le tabelle in tutti i set di dati con un prefisso specifico

In questo esempio viene concesso a cloudysanfrancisco@gmail.com il ruolo Proprietario dati BigQuery per tutte le tabelle in tutti i set di dati che iniziano con il prefisso public_:

{
  "members": [cloudysanfrancisco@gmail.com],
  "role": roles/bigquery.dataOwner,
  "condition": {
    "title": "Tables public_",
    "description": "Allowed owner access to tables in datasets with public_ prefix",
    "expression":
resource.name.startsWith("projects/project_3/datasets/public_")
&& resource.type == bigquery.googleapis.com/Table
  }
}

Concedi al proprietario l'accesso a tutte le tabelle, i modelli e le routine in tutti i set di dati che hanno un prefisso specifico

In questo esempio viene concesso a cloudysanfrancisco@gmail.com il ruolo Proprietario dati BigQuery per tutte le tabelle, i modelli e le routine in tutti i set di dati che iniziano con il prefisso general_:

{
  "members": [cloudysanfrancisco@gmail.com],
  "role": roles/bigquery.dataOwner,
  "condition": {
    "title": "Tables general_",
    "description": "Allowed owner access to tables in datasets with general_ prefix",
    "expression":
resource.name.startsWith("projects/project_4/datasets/general_")
&& resource.type == bigquery.googleapis.com/Table
  }
},
{
  "members": [cloudysanfrancisco@gmail.com],
  "role": roles/bigquery.dataOwner,
  "condition": {
    "title": "Models general_",
    "description": "Allowed owner access to models in datasets with general_ prefix",
    "expression":
resource.name.startsWith("projects/project_4/datasets/general_")
&& resource.type == bigquery.googleapis.com/Model
  }
},
{
  "members": [cloudysanfrancisco@gmail.com],
  "role": roles/bigquery.dataOwner,
  "condition": {
    "title": "Routines general_",
    "description": "Allowed owner access to routines in datasets with general_ prefix",
    "expression":
resource.name.startsWith("projects/project_4/datasets/general_")
&& resource.type == bigquery.googleapis.com/Routine
  }
}

Passaggi successivi

• Scopri di più sulla configurazione dell'accesso temporaneo utilizzando le condizioni IAM.
• Scopri di più sulla configurazione dell'accesso basato sulle risorse utilizzando le condizioni IAM.