Controla el acceso a los conjuntos de datos

En este documento, se describe cómo controlar el acceso a los conjuntos de datos en BigQuery.

También puedes configurar los permisos de BigQuery en un nivel superior en la jerarquía de recursos de Cloud IAM. Para obtener más información sobre la jerarquía de recursos de Cloud IAM, consulta cómo usar la jerarquía de recursos para el control de acceso en la documentación de Cloud IAM.

Descripción general

En la actualidad, no es posible otorgar permisos a tablas, vistas o filas. Puedes configurar controles de acceso a nivel de conjunto de datos y restringir el acceso a las columnas con la seguridad a nivel de columna de BigQuery. En este tema, se proporciona información sobre la configuración de los controles de acceso a nivel de conjunto de datos.

Los permisos a nivel de conjunto de datos determinan los usuarios, grupos y cuentas de servicio a los que se les permite acceder a las tablas, vistas y datos de tabla de un conjunto de datos específico. Por ejemplo, si otorgas la función bigquery.dataOwner de Cloud IAM a un usuario en un conjunto de datos específico, ese usuario puede crear, actualizar y borrar tablas y vistas en el conjunto de datos.

Puedes aplicar controles de acceso durante la creación del conjunto de datos con una llamada al método de la API datasets.insert.

Los controles de acceso no pueden aplicarse durante la creación del conjunto de datos en Cloud Console, la IU web clásica de BigQuery o la herramienta de línea de comandos.

Puedes aplicarlos a un conjunto de datos después de que se crea a partir de estos métodos:

  • Mediante Cloud Console o la IU web clásica de BigQuery
  • Mediante el comando bq update de la CLI
  • Con una llamada al método datasets.patch de la API
  • Mediante bibliotecas cliente

Permisos necesarios

Como mínimo, para asignar o actualizar los controles de acceso al conjunto de datos, debes tener los permisos bigquery.datasets.update y bigquery.datasets.get. Las siguientes funciones predefinidas de Cloud IAM incluyen los permisos bigquery.datasets.update y bigquery.datasets.get:

  • bigquery.dataOwner
  • bigquery.admin

Además, si un usuario tiene permisos bigquery.datasets.create, se le otorga el acceso bigquery.dataOwner cuando crea un conjunto de datos. El acceso bigquery.dataOwner brinda a los usuarios la capacidad de actualizar los conjuntos de datos que crean.

Para obtener más información sobre las funciones de Cloud IAM y los permisos en BigQuery, consulta Funciones y permisos predefinidos.

Controla el acceso a un conjunto de datos

Para asignar los controles de acceso a un conjunto de datos:

Console

  1. Selecciona un conjunto de datos de Recursos y, luego, haz clic en Share dataset (Compartir conjunto de datos) cerca del lado derecho de la ventana.

    Agrega personas a un conjunto de datos

  2. En el panel Compartir conjunto de datos, en la pestaña Permisos del conjunto de datos, ingresa la entidad que deseas agregar en el cuadro de texto Agregar miembros. Puedes agregar cualquiera de las siguientes entidades:

    • Correo electrónico de Cuenta de Google: otorga a una Cuenta de Google individual acceso al conjunto de datos.
    • Grupo de Google: otorga a todos los miembros de un grupo de Google acceso al conjunto de datos.
    • Dominio de Google Apps: otorga a todos los usuarios y grupos de un dominio de Google acceso al conjunto de datos.
    • Cuenta de servicio: Otorga a una cuenta de servicio acceso al conjunto de datos.
    • Cualquiera: ingresa “allUsers” para otorgar acceso al público general.
    • Todas las Cuentas de Google: ingresa “allAuthenticatedUsers” para otorgar acceso a cualquier usuario que haya accedido a una Cuenta de Google.

  3. En Selecciona una función, selecciona BigQuery y una función de IAM predefinida adecuada para los miembros nuevos. Para obtener más información sobre los permisos asignados a cada función de BigQuery predefinida, consulta la sección Funciones de la página de control de acceso.

  4. Haz clic en Listo.

IU clásica

  1. Haz clic en la flecha desplegable a la derecha del conjunto de datos y elige Compartir conjunto de datos.

  2. En el cuadro de diálogo Compartir conjunto de datos, en Agregar personas, haz clic en el menú desplegable a la izquierda del campo y elige la opción adecuada. Cuando aplicas controles de acceso a un conjunto de datos mediante el uso de la IU web clásica, puedes otorgar acceso a los siguientes usuarios y grupos:

    • Usuario por correo electrónico: otorga a una Cuenta de Google individual acceso al conjunto de datos.
    • Grupo por correo electrónico: otorga a todos los miembros de un grupo de Google acceso al conjunto de datos.
    • Dominio: otorga a todos los usuarios y grupos en un dominio de Google acceso al conjunto de datos.
    • Todos los usuarios autenticados: otorga a todos los titulares de la Cuenta de Google acceso al conjunto de datos (hace que el conjunto de datos sea público).
    • Propietarios del proyecto: otorga a todos los propietarios del proyecto acceso al conjunto de datos.
    • Visualizadores del proyecto: otorga a todos los visualizadores del proyecto acceso al conjunto de datos.
    • Editores del proyecto: otorga a todos los editores del proyecto acceso al conjunto de datos.

    • Vista autorizada: otorga acceso de lectura al conjunto de datos.

  3. Escribe un valor en el cuadro de texto. Por ejemplo, si eliges Usuario por correo electrónico o Grupo por correo electrónico, escribe la dirección de correo electrónico del usuario o grupo.

  4. A la derecha del campo Add People (Agregar personas), haz clic en Puede ver y elige la función adecuada de la lista.

    Agrega personas a un conjunto de datos

  5. Haz clic en Agregar (Add) y, luego, en Guardar cambios.

CLI

  1. Escribe la información del conjunto de datos existente (incluidos los controles de acceso) en un archivo JSON con el comando show. Si el conjunto de datos está en un proyecto que no es tu proyecto predeterminado, agrega el ID del proyecto al nombre del conjunto de datos en el siguiente formato: project_id:dataset.

    bq show \
--format=prettyjson \
project_id:dataset > path_to_file

    Donde:

    • project_id es el ID del proyecto.
    • dataset es el nombre de tu conjunto de datos.
    • path_to_file es la ruta al archivo JSON en tu máquina local.

    Ejemplos:

    Ingresa el siguiente comando para escribir los controles de acceso de mydataset en un archivo JSON. mydataset está en tu proyecto predeterminado.

      bq show --format=prettyjson mydataset > /tmp/mydataset.json

    Ingresa el siguiente comando para escribir los controles de acceso de mydataset en un archivo JSON. mydataset está en myotherproject.

      bq show --format=prettyjson \
  myotherproject:mydataset > /tmp/mydataset.json

  2. Realiza los cambios a la sección "access" del archivo JSON. Puedes agregar o quitar cualquiera de las entradas specialGroup: projectOwners, projectWriters, projectReaders y allAuthenticatedUsers. También puedes agregar, quitar o modificar cualquiera de los siguientes elementos: userByEmail, groupByEmail y domain.

    Por ejemplo, la sección de acceso del archivo JSON de un conjunto de datos se vería de la siguiente manera:

    {
 "access": [
  {
   "role": "READER",
   "specialGroup": "projectReaders"
  },
  {
   "role": "WRITER",
   "specialGroup": "projectWriters"
  },
  {
   "role": "OWNER",
   "specialGroup": "projectOwners"
  },
  {
   "role": "READER",
   "specialGroup": "allAuthenticatedUsers"
  },
  {
   "role": "READER",
   "domain": "domain_name"
  },
  {
   "role": "WRITER",
   "userByEmail": "user_email"
  },
  {
   "role": "READER",
   "groupByEmail": "group_email"
  }
 ],
 ...
}

  3. Cuando tus ediciones estén completas, usa el comando update con la marca --source para incluir el archivo JSON. Si el conjunto de datos está en un proyecto que no es tu proyecto predeterminado, agrega el ID del proyecto al nombre del conjunto de datos en el siguiente formato: project_id:dataset.

    bq update \
--source path_to_file \
project_id:dataset

    Donde:

    • path_to_file es la ruta al archivo JSON en tu máquina local.
    • project_id es el ID del proyecto.
    • dataset es el nombre del conjunto de datos.

    Ejemplos:

    Ingresa el siguiente comando a fin de actualizar los controles de acceso para mydataset. mydataset está en tu proyecto predeterminado.

        bq update --source /tmp/mydataset.json mydataset

    Ingresa el siguiente comando a fin de actualizar los controles de acceso para mydataset. mydataset está en myotherproject.

        bq update --source /tmp/mydataset.json myotherproject:mydataset

  4. Para verificar los cambios del control de acceso, ingresa otra vez el comando show sin escribir la información en un archivo.

    bq show --format=prettyjson dataset

    o

    bq show --format=prettyjson project_id:dataset

API

Realiza una llamada a datasets.insert con un recurso de conjunto de datos definido para aplicar los controles de acceso cuando se cree el conjunto de datos. Realiza una llamada a datasets.patch y usa la propiedad access en el recurso del conjunto de datos para actualizar tus controles de acceso.

Debido a que el método datasets.update reemplaza todo el recurso de conjunto de datos, es preferible usar el método datasets.patch para actualizar los controles de acceso.

Go

Antes de probar este ejemplo, sigue las instrucciones de configuración para Go que se encuentran en la guía de inicio rápido de BigQuery sobre cómo usar bibliotecas cliente. Si deseas obtener más información, consulta la documentación de referencia de la API de BigQuery para Go.

Establece la propiedad dataset.access_entries con los controles de acceso para un conjunto de datos. Luego, llama a la función client.update_dataset() para actualizar la propiedad.

import (
	"context"
	"fmt"

	"cloud.google.com/go/bigquery"
)

// updateDatasetAccessControl demonstrates how the access control policy of a dataset
// can be amended by adding an additional entry corresponding to a specific user identity.
func updateDatasetAccessControl(projectID, datasetID string) error {
	// projectID := "my-project-id"
	// datasetID := "mydataset"
	ctx := context.Background()
	client, err := bigquery.NewClient(ctx, projectID)
	if err != nil {
		return fmt.Errorf("bigquery.NewClient: %v", err)
	}
	defer client.Close()

	ds := client.Dataset(datasetID)
	meta, err := ds.Metadata(ctx)
	if err != nil {
		return err
	}
	// Append a new access control entry to the existing access list.
	update := bigquery.DatasetMetadataToUpdate{
		Access: append(meta.Access, &bigquery.AccessEntry{
			Role:       bigquery.ReaderRole,
			EntityType: bigquery.UserEmailEntity,
			Entity:     "sample.bigquery.dev@gmail.com"},
		),
	}

	// Leverage the ETag for the update to assert there's been no modifications to the
	// dataset since the metadata was originally read.
	if _, err := ds.Update(ctx, update, meta.ETag); err != nil {
		return err
	}
	return nil
}

Python

Antes de probar esta muestra, sigue las instrucciones de configuración para Python incluidas en la guía de inicio rápido de BigQuery sobre cómo usar bibliotecas cliente. Si deseas obtener más información, consulta la documentación de referencia de la API de BigQuery para Python.

Establece la propiedad dataset.access_entries con los controles de acceso para un conjunto de datos. Luego, llama a la función client.update_dataset() para actualizar la propiedad. 
from google.cloud import bigquery

# Construct a BigQuery client object.
client = bigquery.Client()

# TODO(developer): Set dataset_id to the ID of the dataset to fetch.
# dataset_id = 'your-project.your_dataset'

dataset = client.get_dataset(dataset_id)  # Make an API request.

entry = bigquery.AccessEntry(
    role="READER",
    entity_type="userByEmail",
    entity_id="sample.bigquery.dev@gmail.com",
)

entries = list(dataset.access_entries)
entries.append(entry)
dataset.access_entries = entries

dataset = client.update_dataset(dataset, ["access_entries"])  # Make an API request.

full_dataset_id = "{}.{}".format(dataset.project, dataset.dataset_id)
print(
    "Updated dataset '{}' with modified user permissions.".format(full_dataset_id)
)

Próximos pasos