BigQuery è un data warehouse di analisi su scala petabyte da utilizzare per eseguire query SQL su grandi quantità di dati quasi in tempo reale.
L'autorizzazione dell'accesso in visualizzazione a un set di dati è nota anche come creazione di una vista autorizzata in BigQuery. Una visualizzazione autorizzata ti consente di condividere i risultati delle query con utenti e gruppi specifici senza concedere loro l'accesso alle tabelle sottostanti. Puoi anche utilizzare la query SQL della vista per limitare le colonne (campi) su cui gli utenti possono eseguire query. In questo tutorial imparerai a creare una vista autorizzata.
Obiettivi
Questo tutorial ti mostra come completare le attività seguenti:
- Creare set di dati e applicarvi i controlli di accesso
- Assegnare i controlli dell'accesso al progetto
- Creare una vista autorizzata che limiti i dati su cui gli utenti possono eseguire query
Costi
BigQuery è un prodotto a pagamento e questo tutorial comporta l'utilizzo di BigQuery. BigQuery offre alcune risorse gratuitamente entro limiti specifici. Per ulteriori informazioni, consulta Operazioni gratuite e livello gratuito di BigQuery.
Prima di iniziare
Prima di iniziare questo tutorial, utilizza la console Google Cloud per creare o selezionare un progetto.
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
- BigQuery viene abilitato automaticamente nei nuovi progetti.
Per attivare BigQuery in un progetto preesistente, vai a
Attiva l'API BigQuery.
- (Facoltativo) Abilita la fatturazione per il progetto. Se non vuoi abilitare la fatturazione o fornire una carta di credito, i passaggi descritti in questo documento continueranno a funzionare. BigQuery fornisce una sandbox per eseguire i passaggi. Per maggiori informazioni, consulta Attivare la sandbox di BigQuery.
Crea un set di dati di origine
Per iniziare, crea un set di dati per archiviare i dati di origine. Per questo tutorial, compilerai una tabella nel set di dati di origine eseguendo una query sul set di dati pubblico GitHub. I dati nel set di dati di origine contengono informazioni che non vuoi che i tuoi analisti di dati visualizzino. Puoi limitare l'accesso ai dati utilizzando una vista autorizzata.
Per creare il set di dati di origine:
Console
Nella console Google Cloud, apri la pagina BigQuery.
Nel riquadro Explorer, seleziona il progetto in cui vuoi creare il set di dati.
Espandi l'opzione
Azioni e fai clic su Crea set di dati.In ID set di dati, inserisci
github_source_data
.Lascia invariate le altre impostazioni predefinite e fai clic su Crea set di dati.
SQL
Utilizza l'istruzione DDL CREATE SCHEMA
:
Nella console Google Cloud, vai alla pagina BigQuery.
Nell'Editor query, inserisci la seguente istruzione:
CREATE SCHEMA github_source_data;
Fai clic su
Esegui.
Per ulteriori informazioni su come eseguire le query, consulta Eseguire una query interattiva.
Java
Prima di provare questo esempio, segui le istruzioni di configurazione di Java disponibili nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per saperne di più, consulta la documentazione di riferimento dell'API BigQuery Java.
Per eseguire l'autenticazione in BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Python
Prima di provare questo esempio, segui le istruzioni di configurazione di Python disponibili nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per saperne di più, consulta la documentazione di riferimento dell'API BigQuery Python.
Per eseguire l'autenticazione in BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Dopo aver creato il set di dati di origine, devi completare una tabella al suo interno utilizzando una query SQL. Questa query recupera i dati dal set di dati pubblico GitHub.
Console
Nella console Google Cloud, apri la pagina BigQuery.
Copia e incolla la seguente query nel riquadro Editor.
SELECT commit, author, committer, repo_name FROM `bigquery-public-data.github_repos.commits` LIMIT 1000;
Fai clic su Altro e seleziona Impostazioni query.
Per Destinazione, seleziona Imposta una tabella di destinazione per i risultati delle query.
In Set di dati, inserisci
PROJECT_ID.github_source_data
. Sostituisci PROJECT_ID con l'ID progetto.In ID tabella, inserisci
github_contributors
.Fai clic su Salva.
Fai clic su Esegui.
Al completamento della query, fai clic su github_contributors, quindi su github_contributors per verificare che i dati siano stati scritti nella tabella.
Java
Prima di provare questo esempio, segui le istruzioni di configurazione di Java disponibili nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per saperne di più, consulta la documentazione di riferimento dell'API BigQuery Java.
Per eseguire l'autenticazione in BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Python
Prima di provare questo esempio, segui le istruzioni di configurazione di Python disponibili nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per saperne di più, consulta la documentazione di riferimento dell'API BigQuery Python.
Per eseguire l'autenticazione in BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Crea un set di dati in cui archiviare la visualizzazione
Dopo aver creato il set di dati di origine, crei un nuovo set di dati separato per archiviare la vista autorizzata che condividi con i tuoi analisti di dati. In un passaggio successivo, concederai alla visualizzazione autorizzata l'accesso ai dati nel set di dati di origine. Gli analisti di dati avranno quindi accesso alla vista autorizzata, ma non accesso diretto ai dati di origine.
Le viste autorizzate devono essere create in un set di dati diverso dai dati di origine. In questo modo, i proprietari dei dati possono concedere agli utenti l'accesso alla vista autorizzata senza concedere contemporaneamente l'accesso ai dati sottostanti. Il set di dati dei dati di origine e il set di dati della vista autorizzata devono trovarsi nella stessa località a livello di regione.
Per creare un set di dati in cui archiviare la vista:
Console
Nella console Google Cloud, apri la pagina BigQuery.
Nel riquadro Explorer, seleziona il progetto in cui vuoi creare il set di dati.
Espandi l'opzione
Azioni e fai clic su Crea set di dati.In ID set di dati, inserisci
shared_views
.Lascia invariate le altre impostazioni predefinite e fai clic su Crea set di dati.
SQL
Utilizza l'istruzione DDL CREATE SCHEMA
:
Nella console Google Cloud, vai alla pagina BigQuery.
Nell'Editor query, inserisci la seguente istruzione:
CREATE SCHEMA shared_views;
Fai clic su
Esegui.
Per ulteriori informazioni su come eseguire le query, consulta Eseguire una query interattiva.
Java
Prima di provare questo esempio, segui le istruzioni di configurazione di Java disponibili nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per saperne di più, consulta la documentazione di riferimento dell'API BigQuery Java.
Per eseguire l'autenticazione in BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Python
Prima di provare questo esempio, segui le istruzioni di configurazione di Python disponibili nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per saperne di più, consulta la documentazione di riferimento dell'API BigQuery Python.
Per eseguire l'autenticazione in BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Crea la vista nel nuovo set di dati
Nel nuovo set di dati, crei la vista che intendi autorizzare. Questa è la visualizzazione che condividi con i tuoi analisti di dati. Questa vista è creata utilizzando una query SQL che esclude le colonne che non devono essere visualizzate dagli analisti di dati.
Per questo tutorial, la visualizzazione condivisa esclude le informazioni sull'autore, tranne il nome, ed esclude le informazioni dell'autore, ad eccezione del nome dell'autore.
Per creare la vista nel nuovo set di dati:
Console
Nella console Google Cloud, apri la pagina BigQuery.
Copia e incolla la seguente query nel riquadro Editor. Sostituisci
PROJECT_ID
con l'ID progetto.SELECT commit, author.name AS author, committer.name AS committer, repo_name FROM `PROJECT_ID.github_source_data.github_contributors`;
Fai clic su Salva > Salva visualizzazione.
Nella finestra di dialogo Salva visualizzazione:
- Per Progetto, verifica che il progetto sia selezionato.
- In Set di dati, inserisci
shared_views
. - In Tabella, inserisci
github_analyst_view
. - Fai clic su Salva.
SQL
Utilizza l'istruzione DDL CREATE VIEW
:
Nella console Google Cloud, vai alla pagina BigQuery.
Nell'Editor query, inserisci la seguente istruzione:
CREATE VIEW shared_views.github_analyst_view AS ( SELECT commit, author.name AS author, committer.name AS committer, repo_name FROM `PROJECT_ID.github_source_data.github_contributors` );
Sostituisci
PROJECT_ID
con l'ID progetto.Fai clic su
Esegui.
Per ulteriori informazioni su come eseguire le query, consulta Eseguire una query interattiva.
Java
Prima di provare questo esempio, segui le istruzioni di configurazione di Java disponibili nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per saperne di più, consulta la documentazione di riferimento dell'API BigQuery Java.
Per eseguire l'autenticazione in BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Python
Prima di provare questo esempio, segui le istruzioni di configurazione di Python disponibili nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per saperne di più, consulta la documentazione di riferimento dell'API BigQuery Python.
Per eseguire l'autenticazione in BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Assegna un ruolo IAM a livello di progetto agli analisti di dati
Per eseguire query sulla vista, gli analisti di dati devono disporre dell'autorizzazione per eseguire job di query. Il ruolo bigquery.user
include le autorizzazioni per eseguire job, inclusi job di query, all'interno del progetto. Se concedi a un utente o un gruppo il ruolo bigquery.user
a livello di progetto, l'utente potrà creare set di dati ed eseguire job di query sulle tabelle al loro interno. Il ruolo bigquery.user
non concede agli utenti l'autorizzazione per eseguire query sui dati, visualizzare i dati delle tabelle o visualizzare i dettagli dello schema delle tabelle per i set di dati non creati dall'utente.
L'assegnazione del ruolo bigquery.user
a livello di progetto agli analisti di dati non consente loro di visualizzare o eseguire query sui dati delle tabelle nel set di dati contenente le tabelle sottoposte a query dalla vista. Inoltre, il ruolo bigquery.user
non concede agli utenti
la possibilità di aggiornare le tue viste.
Alla maggior parte delle persone (data scientist, analisti di business intelligence, analisti di dati) in un'azienda dovrebbe essere assegnato il ruolo bigquery.user
a livello di progetto.
Quando aggiungi un gruppo a un ruolo IAM, l'indirizzo email e il dominio devono essere associati a un Account Google o Google Apps attivo.
Per assegnare il gruppo di analisti di dati al ruolo bigquery.user
a livello di progetto:
Console
Apri la pagina IAM nella console Google Cloud.
Assicurati che il progetto sia selezionato nel selettore di progetti nella barra superiore.
Fai clic su
Concedi l'accesso.Nella finestra di dialogo Concedi l'accesso a:
- Nella casella Nuove entità, inserisci il gruppo che contiene gli analisti di dati.
Ad esempio,
data_analysts@example.com
. - Nella casella Seleziona un ruolo, cerca il ruolo Utente BigQuery e selezionalo.
- Fai clic su Salva.
- Nella casella Nuove entità, inserisci il gruppo che contiene gli analisti di dati.
Ad esempio,
Assegna i controlli di accesso al set di dati contenente la vista
Per consentire agli analisti di dati di eseguire query sulla vista, deve essere concesso il ruolo bigquery.dataViewer
nel set di dati contenente la vista. Il ruolo bigquery.user
fornisce agli analisti di dati le autorizzazioni necessarie per creare job di query. Tuttavia, non possono eseguire correttamente query sulla vista a meno che non abbiano anche bigquery.dataViewer
accesso al set di dati che la contiene.
Per concedere ai tuoi analisti di dati bigquery.dataViewer
l'accesso al set di dati:
Console
Nella console Google Cloud, apri la pagina BigQuery.
Nel riquadro Explorer, seleziona il set di dati
shared_views
.Fai clic su > Autorizzazioni.
CondivisioneNel riquadro Autorizzazioni per il set di dati, fai clic su Aggiungi entità.
Nella casella Nuove entità, inserisci il gruppo che contiene gli analisti di dati (ad esempio
data_analysts@example.com
).Fai clic su Seleziona un ruolo e scegli BigQuery > Visualizzatore dati BigQuery.
Fai clic su Salva.
Fai clic su Chiudi.
Java
Prima di provare questo esempio, segui le istruzioni di configurazione di Java disponibili nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per saperne di più, consulta la documentazione di riferimento dell'API BigQuery Java.
Per eseguire l'autenticazione in BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Python
Prima di provare questo esempio, segui le istruzioni di configurazione di Python disponibili nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per saperne di più, consulta la documentazione di riferimento dell'API BigQuery Python.
Per eseguire l'autenticazione in BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Autorizza la visualizzazione ad accedere al set di dati di origine
Dopo aver creato i controlli di accesso per il set di dati contenente la vista, aggiungila come vista autorizzata nel set di dati di origine. Questa autorizzazione consente alla visualizzazione, ma non al gruppo di analisti di dati, di accedere ai dati di origine.
Per autorizzare la vista ad accedere ai dati di origine:
Console
Nella console Google Cloud, apri la pagina BigQuery.
Nel riquadro Explorer, seleziona il set di dati
github_source_data
.Fai clic su
Condivisione e poi seleziona Autorizza visualizzazioni.Nel riquadro Visualizzazioni autorizzate che si apre, inserisci la visualizzazione
github_analyst_view
nel campo Visualizzazioni autorizzate.Fai clic su Aggiungi autorizzazione.
La vista github_analyst_view
è ora autorizzata ad accedere ai dati nel set di dati di origine.
Java
Prima di provare questo esempio, segui le istruzioni di configurazione di Java disponibili nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per saperne di più, consulta la documentazione di riferimento dell'API BigQuery Java.
Per eseguire l'autenticazione in BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Python
Prima di provare questo esempio, segui le istruzioni di configurazione di Python disponibili nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per saperne di più, consulta la documentazione di riferimento dell'API BigQuery Python.
Per eseguire l'autenticazione in BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Verificare la configurazione
Al termine della configurazione, un membro del gruppo di analisti di dati (ad esempio, data_analysts
) può verificarne la configurazione eseguendo una query sulla vista.
Per verificare la configurazione:
SQL
Chiedi a un membro del tuo gruppo di analisti di dati di:
Nella console Google Cloud, vai alla pagina BigQuery.
Nell'Editor query, inserisci la seguente istruzione:
SELECT * FROM `PROJECT_ID.shared_views.github_analyst_view`;
Sostituisci
PROJECT_ID
con l'ID progetto.Fai clic su
Esegui.
Per ulteriori informazioni su come eseguire le query, consulta Eseguire una query interattiva.
Codice sorgente completo
Ecco il codice sorgente completo del tutorial come riferimento.
Java
Prima di provare questo esempio, segui le istruzioni di configurazione di Java disponibili nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per saperne di più, consulta la documentazione di riferimento dell'API BigQuery Java.
Per eseguire l'autenticazione in BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Python
Prima di provare questo esempio, segui le istruzioni di configurazione di Python disponibili nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per saperne di più, consulta la documentazione di riferimento dell'API BigQuery Python.
Per eseguire l'autenticazione in BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Esegui la pulizia
Per evitare che al tuo Account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.
- Nella console Google Cloud, vai alla pagina Gestisci risorse.
- Nell'elenco dei progetti, seleziona il progetto che vuoi eliminare, quindi fai clic su Elimina.
- Nella finestra di dialogo, digita l'ID del progetto e fai clic su Chiudi per eliminare il progetto.
Passaggi successivi
- Per saperne di più sui controlli dell'accesso in BigQuery, leggi Autorizzazioni e ruoli predefiniti.
- Per saperne di più sulle viste BigQuery, consulta Introduzione alle viste.
- Per saperne di più sulle viste autorizzate, consulta Creazione di una vista autorizzata.
- Per conoscere i concetti di base di IAM, consulta la panoramica IAM.
- Per scoprire come gestire il controllo dell'accesso#39;accesso, consulta Gestione dei criteri.