Controla el acceso a los conjuntos de datos

En este documento se describe cómo controlar el acceso a los conjuntos de datos en BigQuery.

También puedes hacer lo siguiente:

Controla el acceso a nivel de la tabla y la vista.
Controla el acceso en un nivel superior en la jerarquía de recursos de IAM.

Descripción general

Los permisos a nivel de conjunto de datos determinan los usuarios, grupos y cuentas de servicio a los que se les permite acceder a las tablas, vistas y datos de tabla de un conjunto de datos específico. Por ejemplo, si otorgas la función bigquery.dataOwner de Identity and Access Management (IAM) a un usuario en un conjunto de datos específico, ese usuario puede crear, actualizar y borrar tablas y vistas en el conjunto de datos.

Puedes aplicar controles de acceso durante la creación del conjunto de datos con una llamada al método de la API datasets.insert.

No se pueden aplicar controles de acceso durante la creación del conjunto de datos en Google Cloud Console, la herramienta de línea de comandos de bq o las declaraciones del lenguaje de definición de datos (DDL).

Puedes aplicar los controles de acceso a un conjunto de datos después de crearlo de las siguientes maneras:

Usa Cloud Console.
Usa las declaraciones DCL GRANT y REVOKE.
Usa el comando bq update en la herramienta de línea de comandos de bq.
Mediante una llamada al método de la API datasets.patch
Usa bibliotecas cliente.

Antes de comenzar

Otorga funciones de IAM que otorguen a los usuarios los permisos necesarios para realizar cada tarea en este documento.

Permisos necesarios

Para controlar el acceso a un conjunto de datos, necesitas los siguientes permisos de IAM:

bigquery.datasets.update
bigquery.datasets.get
bigquery.datasets.getIamPolicy (te permite controlar el acceso a un conjunto de datos mediante Cloud Console)
bigquery.datasets.setIamPolicy (te permite controlar el acceso a un conjunto de datos mediante Cloud Console)

La función predefinida de IAM roles/bigquery.dataOwner incluye los permisos que necesitas para controlar el acceso a un conjunto de datos.

Para obtener más información sobre las funciones y los permisos de IAM en BigQuery, consulta Funciones y permisos predefinidos.

Otorga acceso a un conjunto de datos

Para otorgar acceso a un conjunto de datos, sigue estos pasos:

Console

En el panel Explorador, expande tu proyecto y selecciona un conjunto de datos.
En el panel de detalles, haz clic en Compartir > Permisos.
Haz clic en Agregar principal.
En el campo Principales nuevos, ingresa la entidad que deseas agregar. Puedes agregar cualquiera de las siguientes entidades:
- Correo electrónico de Cuenta de Google: Otorga a una Cuenta de Google individual acceso al conjunto de datos.
- Grupo de Google: Otorga a todos los miembros de un Grupo de Google acceso al conjunto de datos.
- Dominio de Google Apps: Otorga a todos los usuarios y grupos de un dominio de Google acceso al conjunto de datos.
- Cuenta de servicio: Otorga acceso al conjunto de datos a una cuenta de servicio.
- Cualquiera: Ingresa allUsers para otorgar acceso al público general.
- Todas las Cuentas de Google: ingresa allAuthenticatedUsers para otorgar acceso a todas las cuentas de servicio y a todos los usuarios de Internet que se hayan autenticado con una Cuenta de Google. Por ejemplo, user@gmail.com.
En Selecciona una función, selecciona BigQuery y una función de IAM predefinida adecuada para los miembros nuevos. Para obtener más información sobre los permisos asignados a cada función de BigQuery predefinida, consulta la sección Funciones de la página de control de acceso.
Haga clic en Listo.

SQL

Usa la siguiente declaración GRANT para otorgar la función Visualizador de datos (roles/bigquery.dataViewer) al usuario joe@example.com en tu conjunto de datos.

     GRANT `roles/bigquery.dataViewer`
     ON SCHEMA DATASET
     TO "user:joe@example.com"

Reemplaza DATASET por el nombre del conjunto de datos en el que se encuentra el recurso.

Para obtener más información sobre la declaración DCL GRANT, consulta Declaraciones del lenguaje de control de datos en SQL estándar.

bq

Escribe la información del conjunto de datos existente (incluidos los controles de acceso) en un archivo JSON mediante el comando show. Si el conjunto de datos está en un proyecto que no es tu proyecto predeterminado, agrega el ID del proyecto al nombre del conjunto de datos en el siguiente formato: project_id:dataset.
```
bq show \
--format=prettyjson \
project_id:dataset > path_to_file
```
Reemplaza lo siguiente:
- project_id es el ID del proyecto.
- dataset es el nombre del conjunto de datos.
- path_to_file es la ruta al archivo JSON en tu máquina local.
Ejemplos:

Ingresa el siguiente comando para escribir los controles de acceso de mydataset en un archivo JSON. mydataset está en tu proyecto predeterminado.
```
  bq show --format=prettyjson mydataset > /tmp/mydataset.json
```
Ingresa el siguiente comando para escribir los controles de acceso de mydataset en un archivo JSON. mydataset está en myotherproject.
```
  bq show --format=prettyjson \
  myotherproject:mydataset > /tmp/mydataset.json
```

Realiza los cambios a la sección "access" del archivo JSON. Puedes agregar cualquiera de las entradas specialGroup: projectOwners, projectWriters, projectReaders y allAuthenticatedUsers. También puedes agregar o modificar cualquiera de los siguientes elementos: userByEmail, groupByEmail y domain.

Por ejemplo, la sección de acceso del archivo JSON de un conjunto de datos se vería de la siguiente manera:

{
 "access": [
  {
   "role": "READER",
   "specialGroup": "projectReaders"
  },
  {
   "role": "WRITER",
   "specialGroup": "projectWriters"
  },
  {
   "role": "OWNER",
   "specialGroup": "projectOwners"
  },
  {
   "role": "READER",
   "specialGroup": "allAuthenticatedUsers"
  },
  {
   "role": "READER",
   "domain": "domain_name"
  },
  {
   "role": "WRITER",
   "userByEmail": "user_email"
  },
  {
   "role": "WRITER",
   "userByEmail": "service_account_email"
  },
  {
   "role": "READER",
   "groupByEmail": "group_email"
  }
 ],
 ...
}

Cuando tus ediciones estén completas, usa el comando update con la marca --source para incluir el archivo JSON. Si el conjunto de datos está en un proyecto que no es tu proyecto predeterminado, agrega el ID del proyecto al nombre del conjunto de datos en el siguiente formato: project_id:dataset.
Precaución: Cuando aplicas el archivo JSON que contiene los controles de acceso, los controles de acceso existentes se reemplazan.
```
bq update \
--source path_to_file \
project_id:dataset
```
Reemplaza lo siguiente:
- path_to_file es la ruta al archivo JSON en tu máquina local.
- project_id es el ID del proyecto.
- dataset es el nombre del conjunto de datos.
Ejemplos:

Ingresa el siguiente comando a fin de actualizar los controles de acceso para mydataset. mydataset está en tu proyecto predeterminado.
```
    bq update --source /tmp/mydataset.json mydataset
```
Ingresa el siguiente comando a fin de actualizar los controles de acceso para mydataset. mydataset está en myotherproject.
```
    bq update --source /tmp/mydataset.json myotherproject:mydataset
```
Para verificar los cambios del control de acceso, ingresa otra vez el comando show sin escribir la información en un archivo.
```
bq show --format=prettyjson dataset
```
o
```
bq show --format=prettyjson project_id:dataset
```

API

Realiza una llamada a datasets.insert con un recurso de conjunto de datos definido para aplicar los controles de acceso cuando se cree el conjunto de datos. Realiza una llamada a datasets.patch y usa la propiedad access en el recurso Dataset para actualizar tus controles de acceso.

Debido a que el método datasets.update reemplaza todo el recurso de conjunto de datos, es preferible usar el método datasets.patch para actualizar los controles de acceso.

Go

Antes de probar este ejemplo, sigue las instrucciones de configuración para Go incluidas en la guía de inicio rápido de BigQuery sobre cómo usar bibliotecas cliente. Si deseas obtener más información, consulta la documentación de referencia de la API de Go de BigQuery.

Ver en GitHub Comentarios

import (
	"context"
	"fmt"

	"cloud.google.com/go/bigquery"
)

// updateDatasetAccessControl demonstrates how the access control policy of a dataset
// can be amended by adding an additional entry corresponding to a specific user identity.
func updateDatasetAccessControl(projectID, datasetID string) error {
	// projectID := "my-project-id"
	// datasetID := "mydataset"
	ctx := context.Background()
	client, err := bigquery.NewClient(ctx, projectID)
	if err != nil {
		return fmt.Errorf("bigquery.NewClient: %v", err)
	}
	defer client.Close()

	ds := client.Dataset(datasetID)
	meta, err := ds.Metadata(ctx)
	if err != nil {
		return err
	}
	// Append a new access control entry to the existing access list.
	update := bigquery.DatasetMetadataToUpdate{
		Access: append(meta.Access, &bigquery.AccessEntry{
			Role:       bigquery.ReaderRole,
			EntityType: bigquery.UserEmailEntity,
			Entity:     "sample.bigquery.dev@gmail.com"},
		),
	}

	// Leverage the ETag for the update to assert there's been no modifications to the
	// dataset since the metadata was originally read.
	if _, err := ds.Update(ctx, update, meta.ETag); err != nil {
		return err
	}
	return nil
}

Java

Antes de probar este ejemplo, sigue las instrucciones de configuración para Java incluidas en la guía de inicio rápido de BigQuery sobre cómo usar bibliotecas cliente. Para obtener más información, consulta la documentación de referencia de la API de BigQuery para Java.

Ver en GitHub Comentarios

import com.google.cloud.bigquery.Acl;
import com.google.cloud.bigquery.Acl.Role;
import com.google.cloud.bigquery.Acl.User;
import com.google.cloud.bigquery.BigQuery;
import com.google.cloud.bigquery.BigQueryException;
import com.google.cloud.bigquery.BigQueryOptions;
import com.google.cloud.bigquery.Dataset;
import java.util.ArrayList;

public class UpdateDatasetAccess {

  public static void main(String[] args) {
    // TODO(developer): Replace these variables before running the sample.
    String datasetName = "MY_DATASET_NAME";
    // Create a new ACL granting the READER role to "sample.bigquery.dev@gmail.com"
    // For more information on the types of ACLs available see:
    // https://cloud.google.com/storage/docs/access-control/lists
    Acl newEntry = Acl.of(new User("sample.bigquery.dev@gmail.com"), Role.READER);

    updateDatasetAccess(datasetName, newEntry);
  }

  public static void updateDatasetAccess(String datasetName, Acl newEntry) {
    try {
      // Initialize client that will be used to send requests. This client only needs to be created
      // once, and can be reused for multiple requests.
      BigQuery bigquery = BigQueryOptions.getDefaultInstance().getService();

      Dataset dataset = bigquery.getDataset(datasetName);

      // Get a copy of the ACLs list from the dataset and append the new entry
      ArrayList<Acl> acls = new ArrayList<>(dataset.getAcl());
      acls.add(newEntry);

      bigquery.update(dataset.toBuilder().setAcl(acls).build());
      System.out.println("Dataset Access Control updated successfully");
    } catch (BigQueryException e) {
      System.out.println("Dataset Access control was not updated \n" + e.toString());
    }
  }
}

Python

Antes de probar esta muestra, sigue las instrucciones de configuración para Python incluidas en la guía de inicio rápido de BigQuery sobre cómo usar bibliotecas cliente. Si deseas obtener más información, consulta la documentación de referencia de la API de Python de BigQuery.

Establece la propiedad dataset.access_entries con los controles de acceso para un conjunto de datos. Luego, llama a la función client.update_dataset() para actualizar la propiedad.

Ver en GitHub Comentarios


# TODO(developer): Set dataset_id to the ID of the dataset to fetch.
dataset_id = "your-project.your_dataset"

# TODO(developer): Set entity_id to the ID of the email or group from whom
# you are adding access. Alternatively, to the JSON REST API representation
# of the entity, such as a view's table reference.
entity_id = "user-or-group-to-add@example.com"

from google.cloud.bigquery.enums import EntityTypes

# TODO(developer): Set entity_type to the type of entity you are granting access to.
# Common types include:
#
# * "userByEmail" -- A single user or service account. For example "fred@example.com"
# * "groupByEmail" -- A group of users. For example "example@googlegroups.com"
# * "view" -- An authorized view. For example
#       {"projectId": "p", "datasetId": "d", "tableId": "v"}
#
# For a complete reference, see the REST API reference documentation:
# https://cloud.google.com/bigquery/docs/reference/rest/v2/datasets#Dataset.FIELDS.access
entity_type = EntityTypes.GROUP_BY_EMAIL

# TODO(developer): Set role to a one of the "Basic roles for datasets"
# described here:
# https://cloud.google.com/bigquery/docs/access-control-basic-roles#dataset-basic-roles
role = "READER"

from google.cloud import bigquery

# Construct a BigQuery client object.
client = bigquery.Client()

dataset = client.get_dataset(dataset_id)  # Make an API request.

entries = list(dataset.access_entries)
entries.append(
    bigquery.AccessEntry(
        role=role,
        entity_type=entity_type,
        entity_id=entity_id,
    )
)
dataset.access_entries = entries

dataset = client.update_dataset(dataset, ["access_entries"])  # Make an API request.

full_dataset_id = "{}.{}".format(dataset.project, dataset.dataset_id)
print(
    "Updated dataset '{}' with modified user permissions.".format(full_dataset_id)
)

Revoca el acceso a un conjunto de datos

Para revocar el acceso a un conjunto de datos, haz lo siguiente:

Console

En el panel Explorador, expande tu proyecto y selecciona un conjunto de datos.
En el panel de detalles, haz clic en Compartir > Permisos.
En el cuadro de diálogo Permisos del conjunto de datos, expande el rol cuya membresía deseas cambiar.
En la cuenta de usuario que deseas quitar, haz clic en Borrar.
En el cuadro de diálogo ¿Quitar miembro?, haz clic en Quitar.
Haga clic en Listo.

SQL

Usa la siguiente declaración REVOKE para quitar la función de Visualizador de datos (roles/bigquery.dataViewer) del usuario joe@example.com en tu conjunto de datos.

  REVOKE `roles/bigquery.dataViewer`
  ON SCHEMA DATASET
  FROM "user:joe@example.com"

Reemplaza DATASET por el nombre del conjunto de datos en el que se encuentra el recurso.

Para obtener más información sobre la declaración DCL REVOKE, consulta Declaraciones del lenguaje de control de datos en SQL estándar.

bq

Escribe la información del conjunto de datos existente (incluidos los controles de acceso) en un archivo JSON mediante el comando show. Si el conjunto de datos está en un proyecto que no es tu proyecto predeterminado, agrega el ID del proyecto al nombre del conjunto de datos en el siguiente formato: project_id:dataset.
```
bq show \
--format=prettyjson \
project_id:dataset > path_to_file
```
Reemplaza lo siguiente:
- project_id es el ID del proyecto.
- dataset es el nombre del conjunto de datos.
- path_to_file es la ruta al archivo JSON en tu máquina local.
Ejemplos:

Ingresa el siguiente comando para escribir los controles de acceso de mydataset en un archivo JSON. mydataset está en tu proyecto predeterminado.
```
  bq show --format=prettyjson mydataset > /tmp/mydataset.json
```
Ingresa el siguiente comando para escribir los controles de acceso de mydataset en un archivo JSON. mydataset está en myotherproject.
```
  bq show --format=prettyjson \
  myotherproject:mydataset > /tmp/mydataset.json
```

Realiza los cambios a la sección "access" del archivo JSON. Puedes quitar cualquiera de las entradas de specialGroup: projectOwners, projectWriters, projectReaders y allAuthenticatedUsers. También puedes quitar cualquiera de los siguientes elementos: userByEmail, groupByEmail y domain.

Por ejemplo, la sección de acceso del archivo JSON de un conjunto de datos se vería de la siguiente manera:

{
 "access": [
  {
   "role": "READER",
   "specialGroup": "projectReaders"
  },
  {
   "role": "WRITER",
   "specialGroup": "projectWriters"
  },
  {
   "role": "OWNER",
   "specialGroup": "projectOwners"
  },
  {
   "role": "READER",
   "specialGroup": "allAuthenticatedUsers"
  },
  {
   "role": "READER",
   "domain": "domain_name"
  },
  {
   "role": "WRITER",
   "userByEmail": "user_email"
  },
  {
   "role": "READER",
   "groupByEmail": "group_email"
  }
 ],
 ...
}

Cuando tus ediciones estén completas, usa el comando update con la marca --source para incluir el archivo JSON. Si el conjunto de datos está en un proyecto que no es tu proyecto predeterminado, agrega el ID del proyecto al nombre del conjunto de datos en el siguiente formato: project_id:dataset.
Precaución: Cuando aplicas el archivo JSON que contiene los controles de acceso, los controles de acceso existentes se reemplazan.
```
bq update \
--source path_to_file \
project_id:dataset
```
Reemplaza lo siguiente:
- path_to_file es la ruta al archivo JSON en tu máquina local.
- project_id es el ID del proyecto.
- dataset es el nombre del conjunto de datos.
Ejemplos:

Ingresa el siguiente comando a fin de actualizar los controles de acceso para mydataset. mydataset está en tu proyecto predeterminado.
```
    bq update --source /tmp/mydataset.json mydataset
```
Ingresa el siguiente comando a fin de actualizar los controles de acceso para mydataset. mydataset está en myotherproject.
```
    bq update --source /tmp/mydataset.json myotherproject:mydataset
```
Para verificar los cambios del control de acceso, ingresa otra vez el comando show sin escribir la información en un archivo.
```
bq show --format=prettyjson dataset
```
o
```
bq show --format=prettyjson project_id:dataset
```

API

Realiza una llamada a datasets.patch y usa la propiedad access en el recurso Dataset para actualizar tus controles de acceso.

Debido a que el método datasets.update reemplaza todo el recurso de conjunto de datos, es preferible usar el método datasets.patch para actualizar los controles de acceso.

Go

Ver en GitHub Comentarios

import (
	"context"
	"fmt"

	"cloud.google.com/go/bigquery"
)

// revokeDatasetAccess updates the access control on a dataset to remove all
// access entries that reference a specific entity.
func revokeDatasetAccess(projectID, datasetID, entity string) error {
	// projectID := "my-project-id"
	// datasetID := "mydataset"
	// entity := "user@mydomain.com"
	ctx := context.Background()
	client, err := bigquery.NewClient(ctx, projectID)
	if err != nil {
		return fmt.Errorf("bigquery.NewClient: %v", err)
	}
	defer client.Close()

	ds := client.Dataset(datasetID)
	meta, err := ds.Metadata(ctx)
	if err != nil {
		return err
	}

	var newAccessList []*bigquery.AccessEntry
	for _, entry := range meta.Access {
		if entry.Entity != entity {
			newAccessList = append(newAccessList, entry)
		}
	}

	// Only proceed with update if something in the access list was removed.
	// Additionally, we use the ETag from the initial metadata to ensure no
	// other changes were made to the access list in the interim.
	if len(newAccessList) < len(meta.Access) {

		update := bigquery.DatasetMetadataToUpdate{
			Access: newAccessList,
		}
		if _, err := ds.Update(ctx, update, meta.ETag); err != nil {
			return err
		}
	}
	return nil
}

Python

Establece la propiedad dataset.access_entries con los controles de acceso para un conjunto de datos. Luego, llama a la función client.update_dataset() para actualizar la propiedad.

Ver en GitHub Comentarios


# TODO(developer): Set dataset_id to the ID of the dataset to fetch.
dataset_id = "your-project.your_dataset"

# TODO(developer): Set entity_id to the ID of the email or group from whom you are revoking access.
entity_id = "user-or-group-to-remove@example.com"

from google.cloud import bigquery

# Construct a BigQuery client object.
client = bigquery.Client()

dataset = client.get_dataset(dataset_id)  # Make an API request.

entries = list(dataset.access_entries)
dataset.access_entries = [
    entry for entry in entries if entry.entity_id != entity_id
]

dataset = client.update_dataset(
    dataset,
    # Update just the `access_entries` property of the dataset.
    ["access_entries"],
)  # Make an API request.

full_dataset_id = f"{dataset.project}.{dataset.dataset_id}"
print(f"Revoked dataset access for '{entity_id}' to ' dataset '{full_dataset_id}.'")

Próximos pasos

Para obtener más información sobre la creación de conjuntos de datos, consulta Crea conjuntos de datos.
Para obtener más información sobre la creación de listas de conjuntos de datos en un proyecto, consulta Haz una lista de los conjuntos de datos.
Para obtener más información sobre los metadatos en conjuntos de datos, consulta Obtén información sobre los conjuntos de datos.
Para obtener más información sobre el cambio de las propiedades de un conjunto de datos, consulta Cómo actualizar las propiedades de los conjunto de datos.
Para obtener más información sobre cómo crear y administrar etiquetas, consulta cómo crear y administrar etiquetas.