Controlla l'accesso alle risorse con IAM
Questo documento descrive come visualizzare il criterio di accesso attuale di una risorsa, come concedere l'accesso a una risorsa e come revocare l'accesso a una risorsa.
Questo documento presuppone la conoscenza del sistema Identity and Access Management (IAM) in Google Cloud.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per modificare i criteri IAM per le risorse, chiedi all'amministratore di concederti il ruolo IAM Proprietario dati BigQuery (roles/bigquery.dataOwner
) per il progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questo ruolo predefinito contiene le autorizzazioni necessarie per modificare i criteri IAM per le risorse. Per visualizzare esattamente le autorizzazioni necessarie, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per modificare i criteri IAM per le risorse sono necessarie le seguenti autorizzazioni:
-
Per ottenere il criterio di accesso di un set di dati:
bigquery.datasets.get
-
Per impostare il criterio di accesso di un set di dati:
bigquery.datasets.update
-
Per ottenere il criterio di accesso di un set di dati (solo console Google Cloud):
bigquery.datasets.getIamPolicy
-
Per impostare il criterio di accesso di un set di dati (solo console):
bigquery.datasets.setIamPolicy
-
Per ottenere il criterio di una tabella o di una visualizzazione:
bigquery.tables.getIamPolicy
-
Per impostare il criterio di una tabella o di una vista:
bigquery.tables.setIamPolicy
-
(Facoltativo) Per creare lo strumento bq o job SQL BigQuery:
bigquery.jobs.create
Potresti anche riuscire a ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
Visualizza il criterio di accesso di una risorsa
Le sezioni seguenti descrivono come visualizzare i criteri di accesso di diverse risorse.
Visualizzare il criterio di accesso di un set di dati
Seleziona una delle seguenti opzioni:
Console
Vai alla pagina BigQuery.
Nel riquadro Explorer, espandi il progetto e seleziona un set di dati.
Fai clic su > Autorizzazioni.
CondivisioneI criteri di accesso al set di dati vengono visualizzati nel riquadro Autorizzazioni del set di dati.
bq
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per recuperare un criterio esistente e inviarlo in un file locale in JSON, utilizza il comando
bq show
in Cloud Shell:bq show \ --format=prettyjson \ PROJECT_ID:DATASET > PATH_TO_FILE
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto
- DATASET: il nome del set di dati
- PATH_TO_FILE: il percorso del file JSON sulla tua macchina locale
API
Per applicare i controlli di accesso quando viene creato il set di dati, chiama datasets.insert
con un dataset resource
definito.
Per aggiornare i controlli di accesso, chiama
datasets.patch
e utilizza la proprietà access
nella risorsa Dataset
.
Poiché il metodo datasets.update
sostituisce l'intero
risorsa del set di dati, datasets.patch
è il metodo preferito per aggiornare
i controlli dell'accesso.
Visualizzare il criterio di accesso di una tabella o una vista
Seleziona una delle seguenti opzioni:
Console
Vai alla pagina BigQuery.
Nel riquadro Explorer, espandi il progetto e seleziona una tabella o una visualizzazione.
Fai clic su
Condividi.I criteri di accesso per la tabella o la visualizzazione sono visualizzati nel riquadro Condividi.
bq
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per recuperare un criterio di accesso esistente e inviarlo in un file locale in JSON, utilizza il comando
bq get-iam-policy
in Cloud Shell:bq get-iam-policy \ --table=true \ PROJECT_ID:DATASET.RESOURCE > PATH_TO_FILE
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto
- DATASET: il nome del set di dati
- RESOURCE: il nome della tabella o della vista di cui vuoi visualizzare il criterio
- PATH_TO_FILE: il percorso del file JSON sulla tua macchina locale
API
Per recuperare il criterio attuale, chiama il
metodo tables.getIamPolicy
.
Concedere l'accesso a una risorsa
Le seguenti sezioni descrivono come concedere l'accesso a risorse diverse.
Concedi l'accesso a un set di dati
Seleziona una delle seguenti opzioni:
Console
Vai alla pagina BigQuery.
Nel riquadro Explorer, espandi il progetto e seleziona un set di dati da condividere.
Fai clic su > Autorizzazioni.
CondivisioneFai clic su
Aggiungi entità.Nel campo Nuove entità, inserisci un'entità.
Nell'elenco Seleziona un ruolo, seleziona un ruolo predefinito o un ruolo personalizzato.
Fai clic su Salva.
Per tornare alle informazioni del set di dati, fai clic su Chiudi.
SQL
Per concedere alle entità l'accesso ai set di dati, utilizza
l'istruzione DCL GRANT
:
Nella console Google Cloud, vai alla pagina BigQuery.
Nell'editor query, inserisci la seguente istruzione:
GRANT `ROLE_LIST` ON SCHEMA RESOURCE_NAME TO "USER_LIST"
Sostituisci quanto segue:
ROLE_LIST
: un ruolo o un elenco di ruoli separati da virgole che vuoi concedereRESOURCE_NAME
: il nome della risorsa per la quale vuoi concedere l'autorizzazioneUSER_LIST
: un elenco separato da virgole di utenti a cui viene concesso il ruoloPer un elenco dei formati validi, consulta
user_list
.
Fai clic su
Esegui.
Per ulteriori informazioni su come eseguire le query, vedi Eseguire una query interattiva.
Nell'esempio seguente viene concesso il ruolo Visualizzatore dati per il set di dati myDataset
:
GRANT `roles/bigquery.dataViewer`
ON SCHEMA `myProject`.myDataset
TO "user:raha@example-pet-store.com", "user:sasha@example-pet-store.com"
bq
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per scrivere le informazioni esistenti del set di dati (inclusi i controlli dell'accesso) in un file JSON, utilizza il comando
bq show
:bq show \ --format=prettyjson \ PROJECT_ID:DATASET > PATH_TO_FILE
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto
- DATASET: il nome del set di dati
- PATH_TO_FILE: il percorso del file JSON sulla tua macchina locale
Apporta modifiche alla sezione
access
del file JSON. Puoi aggiungere a una qualsiasi dellespecialGroup
voci:projectOwners
,projectWriters
,projectReaders
eallAuthenticatedUsers
. Puoi anche aggiungere uno qualsiasi dei seguenti elementi:userByEmail
,groupByEmail
edomain
.Ad esempio, la sezione
access
del file JSON di un set di dati sarà simile alla seguente:{ "access": [ { "role": "READER", "specialGroup": "projectReaders" }, { "role": "WRITER", "specialGroup": "projectWriters" }, { "role": "OWNER", "specialGroup": "projectOwners" }, { "role": "READER", "specialGroup": "allAuthenticatedUsers" }, { "role": "READER", "domain": "domain_name" }, { "role": "WRITER", "userByEmail": "user_email" }, { "role": "READER", "groupByEmail": "group_email" } ], ... }
Una volta apportate le modifiche, usa il comando
bq update
e includi il file JSON utilizzando il flag--source
. Se il set di dati si trova in un progetto diverso da quello predefinito, aggiungi l'ID progetto al nome del set di dati nel seguente formato:PROJECT_ID:DATASET
.bq update \ --source PATH_TO_FILE \ PROJECT_ID:DATASET
Per verificare le modifiche controllo dell'accesso, utilizza nuovamente il comando
bq show
senza scrivere le informazioni in un file:bq show --format=prettyjson PROJECT_ID:DATASET
Terraform
Utilizza le risorse di google_bigquery_dataset_iam
per aggiornare l'accesso a un set di dati.
Impostare il criterio di accesso per un set di dati
L'esempio seguente mostra come utilizzare la risorsa google_bigquery_dataset_iam_policy
per impostare il criterio IAM per il set di dati mydataset
. Sostituisce qualsiasi criterio esistente
già collegato al set di dati:
# This file sets the IAM policy for the dataset created by # https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_dataset/main.tf. # You must place it in the same local directory as that main.tf file, # and you must have already applied that main.tf file to create # the "default" dataset resource with a dataset_id of "mydataset". data "google_iam_policy" "iam_policy" { binding { role = "roles/bigquery.admin" members = [ "user:hao@altostrat.com", ] } binding { role = "roles/bigquery.dataOwner" members = [ "group:dba@altostrat.com", ] } binding { role = "roles/bigquery.dataEditor" members = [ "serviceAccount:bqcx-1234567891011-12a3@gcp-sa-bigquery-condel.iam.gserviceaccount.com", ] } } resource "google_bigquery_dataset_iam_policy" "dataset_iam_policy" { dataset_id = google_bigquery_dataset.default.dataset_id policy_data = data.google_iam_policy.iam_policy.policy_data }
Impostare l'appartenenza ai ruoli per un set di dati
L'esempio seguente mostra come utilizzare la risorsa google_bigquery_dataset_iam_binding
per impostare l'appartenenza in un determinato ruolo per il set di dati mydataset
. In questo modo si sostituisce qualsiasi appartenenza esistente al ruolo in questione.
Gli altri ruoli all'interno del criterio IAM per il set di dati vengono conservati:
# This file sets membership in an IAM role for the dataset created by # https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_dataset/main.tf. # You must place it in the same local directory as that main.tf file, # and you must have already applied that main.tf file to create # the "default" dataset resource with a dataset_id of "mydataset". resource "google_bigquery_dataset_iam_binding" "dataset_iam_binding" { dataset_id = google_bigquery_dataset.default.dataset_id role = "roles/bigquery.jobUser" members = [ "user:raha@altostrat.com", "group:analysts@altostrat.com" ] }
Impostare l'appartenenza ai ruoli per una singola entità
L'esempio seguente mostra come utilizzare la risorsa google_bigquery_dataset_iam_member
per aggiornare il criterio IAM per il set di dati mydataset
al fine di concedere un ruolo a un'entità. L'aggiornamento di questo criterio IAM non influisce sull'accesso per altre entità a cui è stato concesso quel ruolo per il set di dati.
# This file adds a member to an IAM role for the dataset created by # https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_dataset/main.tf. # You must place it in the same local directory as that main.tf file, # and you must have already applied that main.tf file to create # the "default" dataset resource with a dataset_id of "mydataset". resource "google_bigquery_dataset_iam_member" "dataset_iam_member" { dataset_id = google_bigquery_dataset.default.dataset_id role = "roles/bigquery.user" member = "user:yuri@altostrat.com" }
Per applicare la tua configurazione Terraform a un progetto Google Cloud, completa i passaggi nelle sezioni seguenti.
Prepara Cloud Shell
- Avvia Cloud Shell.
-
Imposta il progetto Google Cloud predefinito a cui vuoi applicare le configurazioni Terraform.
Devi eseguire questo comando una sola volta per progetto e puoi eseguirlo in qualsiasi directory.
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione Terraform.
Prepara la directory
Ogni file di configurazione Terraform deve avere la propria directory (chiamata anche modulo principale).
-
In Cloud Shell, crea una directory e un nuovo file al suo interno. Il nome del file deve avere l'estensione
.tf
, ad esempiomain.tf
. In questo tutorial, il file è denominatomain.tf
.mkdir DIRECTORY && cd DIRECTORY && touch main.tf
-
Se stai seguendo un tutorial, puoi copiare il codice campione in ogni sezione o passaggio.
Copia il codice campione nel nuovo oggetto
main.tf
.Facoltativamente, copia il codice da GitHub. Questa opzione è consigliata se lo snippet Terraform fa parte di una soluzione end-to-end.
- Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
- Salva le modifiche.
-
Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory.
terraform init
Facoltativamente, per utilizzare la versione più recente del provider Google, includi l'opzione
-upgrade
:terraform init -upgrade
Applica le modifiche
-
Esamina la configurazione e verifica che le risorse che Terraform creerà o aggiornerà soddisfino le tue aspettative:
terraform plan
Apporta le correzioni necessarie alla configurazione.
-
Applica la configurazione Terraform eseguendo questo comando e inserendo
yes
al prompt:terraform apply
Attendi finché in Terraform non viene visualizzato il messaggio "Applicazione completata!".
- Apri il progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nella UI per assicurarti che Terraform le abbia create o aggiornate.
API
Per applicare i controlli di accesso quando viene creato il set di dati, chiama il metodo datasets.insert
con una risorsa del set di dati definita.
Per aggiornare i controlli di accesso, chiama il metodo datasets.patch
e utilizza la proprietà access
nella risorsa Dataset
.
Poiché il metodo datasets.update
sostituisce l'intera risorsa del set di dati,
datasets.patch
è il metodo preferito per aggiornare i controlli dell'accesso.
Go
Prima di provare questo esempio, segui le istruzioni per la configurazione di Go nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per maggiori informazioni, consulta la documentazione di riferimento dell'API Go di BigQuery.
Per eseguire l'autenticazione su BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Java
Prima di provare questo esempio, segui le istruzioni per la configurazione di Java nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per maggiori informazioni, consulta la documentazione di riferimento dell'API Java di BigQuery.
Per eseguire l'autenticazione su BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Python
Prima di provare questo esempio, segui le istruzioni per la configurazione di Python nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per maggiori informazioni, consulta la documentazione di riferimento dell'API Python di BigQuery.
Per eseguire l'autenticazione su BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Imposta la proprietàdataset.access_entries
con i controlli di accesso per un set di dati. Quindi chiama la funzione client.update_dataset()
per aggiornare la proprietà.
Concedere l'accesso a una tabella o una visualizzazione
Seleziona una delle seguenti opzioni:
Console
Vai alla pagina BigQuery.
Nel riquadro Explorer, espandi il progetto e seleziona una tabella o una visualizzazione da condividere.
Fai clic su
Condividi.Fai clic su
Aggiungi entità.Nel campo Nuove entità, inserisci un'entità.
Nell'elenco Seleziona un ruolo, seleziona un ruolo predefinito o un ruolo personalizzato.
Fai clic su Salva.
Per tornare alla tabella o visualizzare i dettagli, fai clic su Chiudi.
SQL
Per concedere alle entità l'accesso alle tabelle o alle viste, utilizza
l'istruzione DCL GRANT
:
Nella console Google Cloud, vai alla pagina BigQuery.
Nell'editor query, inserisci la seguente istruzione:
GRANT `ROLE_LIST` ON RESOURCE_TYPE RESOURCE_NAME TO "USER_LIST"
Sostituisci quanto segue:
ROLE_LIST
: un ruolo o un elenco di ruoli separati da virgole che vuoi concedereRESOURCE_TYPE
: il tipo di risorsa a cui viene applicato il ruoloI valori supportati includono
TABLE
,VIEW
,MATERIALIZED VIEW
eEXTERNAL TABLE
.RESOURCE_NAME
: il nome della risorsa per la quale vuoi concedere l'autorizzazioneUSER_LIST
: un elenco separato da virgole di utenti a cui viene concesso il ruoloPer un elenco dei formati validi, consulta
user_list
.
Fai clic su
Esegui.
Per ulteriori informazioni su come eseguire le query, vedi Eseguire una query interattiva.
Nell'esempio seguente viene concesso il ruolo Visualizzatore dati per la tabella myTable
:
GRANT `roles/bigquery.dataViewer`
ON TABLE `myProject`.myDataset.myTable
TO "user:raha@example-pet-store.com", "user:sasha@example-pet-store.com"
bq
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per scrivere la tabella esistente o visualizzare informazioni (inclusi i controlli dell'accesso) in un file JSON, utilizza il comando
bq get-iam-policy
:bq get-iam-policy \ PROJECT_ID:DATASET.TABLE_OR_VIEW \ > PATH_TO_FILE
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto
- DATASET: il nome del set di dati che contiene la tabella o la vista da aggiornare
- TABLE_OR_VIEW: il nome della risorsa da aggiornare
- PATH_TO_FILE: il percorso del file JSON sulla tua macchina locale
Apporta modifiche alla sezione
bindings
del file JSON. Un'associazione collega una o più entità (members
) a un singolorole
. Le entità possono essere account utente, account di servizio, gruppi Google e domini. Ad esempio, la sezionebindings
del file JSON di una tabella o di una vista sarà simile alla seguente:{ "bindings": [ { "role": "roles/bigquery.dataViewer", "members": [ "user:mike@example.com", "group:admins@example.com", "domain:google.com", "serviceAccount:my-project-id@appspot.gserviceaccount.com" ] }, ], "etag": "BwWWja0YfJA=", "version": 1 }
Per aggiornare il criterio di accesso, usa il comando
bq set-iam-policy
:bq set-iam-policy PROJECT_ID:DATASET.TABLE_OR_VIEW PATH_TO_FILE
Per verificare le modifiche controllo dell'accesso, utilizza nuovamente il comando
bq get-iam-policy
senza scrivere le informazioni in un file:bq get-iam-policy --format=prettyjson \ PROJECT_ID:DATASET.TABLE_OR_VIEW
Terraform
Utilizza le risorse di google_bigquery_table_iam
per aggiornare l'accesso a una tabella.
Impostare il criterio di accesso per una tabella
L'esempio seguente mostra come utilizzare la risorsa google_bigquery_table_iam_policy
per impostare il criterio IAM per la tabella mytable
. Sostituisce qualsiasi criterio esistente
già collegato alla tabella:
# This file sets the IAM policy for the table created by # https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_table/main.tf. # You must place it in the same local directory as that main.tf file, # and you must have already applied that main.tf file to create # the "default" table resource with a table_id of "mytable". data "google_iam_policy" "iam_policy" { binding { role = "roles/bigquery.dataOwner" members = [ "user:raha@altostrat.com", ] } } resource "google_bigquery_table_iam_policy" "table_iam_policy" { dataset_id = google_bigquery_table.default.dataset_id table_id = google_bigquery_table.default.table_id policy_data = data.google_iam_policy.iam_policy.policy_data }
Impostare l'appartenenza ai ruoli per una tabella
L'esempio seguente mostra come utilizzare la risorsa google_bigquery_table_iam_binding
per impostare l'appartenenza in un determinato ruolo per la tabella mytable
. In questo modo si sostituisce qualsiasi appartenenza esistente al ruolo in questione.
Gli altri ruoli all'interno del criterio IAM
per la tabella vengono conservati.
# This file sets membership in an IAM role for the table created by # https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_table/main.tf. # You must place it in the same local directory as that main.tf file, # and you must have already applied that main.tf file to create # the "default" table resource with a table_id of "mytable". resource "google_bigquery_table_iam_binding" "table_iam_binding" { dataset_id = google_bigquery_table.default.dataset_id table_id = google_bigquery_table.default.table_id role = "roles/bigquery.dataOwner" members = [ "group:analysts@altostrat.com", ] }
Impostare l'appartenenza ai ruoli per una singola entità
L'esempio seguente mostra come utilizzare la risorsa google_bigquery_table_iam_member
per aggiornare il criterio IAM per la tabella mytable
al fine di concedere un ruolo a un'entità. L'aggiornamento di questo criterio IAM non influisce sull'accesso per altre entità a cui è stato concesso quel ruolo per il set di dati.
# This file adds a member to an IAM role for the table created by # https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_table/main.tf. # You must place it in the same local directory as that main.tf file, # and you must have already applied that main.tf file to create # the "default" table resource with a table_id of "mytable". resource "google_bigquery_table_iam_member" "table_iam_member" { dataset_id = google_bigquery_table.default.dataset_id table_id = google_bigquery_table.default.table_id role = "roles/bigquery.dataEditor" member = "serviceAccount:bqcx-1234567891011-12a3@gcp-sa-bigquery-condel.iam.gserviceaccount.com" }
Per applicare la tua configurazione Terraform a un progetto Google Cloud, completa i passaggi nelle sezioni seguenti.
Prepara Cloud Shell
- Avvia Cloud Shell.
-
Imposta il progetto Google Cloud predefinito a cui vuoi applicare le configurazioni Terraform.
Devi eseguire questo comando una sola volta per progetto e puoi eseguirlo in qualsiasi directory.
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione Terraform.
Prepara la directory
Ogni file di configurazione Terraform deve avere la propria directory (chiamata anche modulo principale).
-
In Cloud Shell, crea una directory e un nuovo file al suo interno. Il nome del file deve avere l'estensione
.tf
, ad esempiomain.tf
. In questo tutorial, il file è denominatomain.tf
.mkdir DIRECTORY && cd DIRECTORY && touch main.tf
-
Se stai seguendo un tutorial, puoi copiare il codice campione in ogni sezione o passaggio.
Copia il codice campione nel nuovo oggetto
main.tf
.Facoltativamente, copia il codice da GitHub. Questa opzione è consigliata se lo snippet Terraform fa parte di una soluzione end-to-end.
- Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
- Salva le modifiche.
-
Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory.
terraform init
Facoltativamente, per utilizzare la versione più recente del provider Google, includi l'opzione
-upgrade
:terraform init -upgrade
Applica le modifiche
-
Esamina la configurazione e verifica che le risorse che Terraform creerà o aggiornerà soddisfino le tue aspettative:
terraform plan
Apporta le correzioni necessarie alla configurazione.
-
Applica la configurazione Terraform eseguendo questo comando e inserendo
yes
al prompt:terraform apply
Attendi finché in Terraform non viene visualizzato il messaggio "Applicazione completata!".
- Apri il progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nella UI per assicurarti che Terraform le abbia create o aggiornate.
API
- Per recuperare il criterio attuale, chiama il
metodo
tables.getIamPolicy
. Modifica il criterio per aggiungere membri e/o associazioni. Per il formato richiesto per il criterio, consulta l'argomento di riferimento Criteri.
Java
Prima di provare questo esempio, segui le istruzioni per la configurazione di Java nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per maggiori informazioni, consulta la documentazione di riferimento dell'API Java di BigQuery.
Per eseguire l'autenticazione su BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Python
Prima di provare questo esempio, segui le istruzioni per la configurazione di Python nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per maggiori informazioni, consulta la documentazione di riferimento dell'API Python di BigQuery.
Per eseguire l'autenticazione su BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Revocare l'accesso a una risorsa
Le sezioni seguenti descrivono come revocare l'accesso a risorse diverse.
Revocare l'accesso a un set di dati
Seleziona una delle seguenti opzioni:
Console
Vai alla pagina BigQuery.
Nel riquadro Spazio di esplorazione, espandi il progetto e seleziona un set di dati.
Nel riquadro dei dettagli, fai clic su Condivisione > Autorizzazioni.
Nella finestra di dialogo Autorizzazioni set di dati, espandi l'entità di cui vuoi revocare l'accesso.
Fai clic su
Rimuovi entità.Nella finestra di dialogo Rimuovere il ruolo dall'entità?, fai clic su Rimuovi.
Per tornare ai dettagli del set di dati, fai clic su Chiudi.
SQL
Per rimuovere l'accesso ai set di dati dalle entità, utilizza
l'istruzione DCL REVOKE
:
Nella console Google Cloud, vai alla pagina BigQuery.
Nell'editor query, inserisci la seguente istruzione:
REVOKE `ROLE_LIST` ON SCHEMA RESOURCE_NAME FROM "USER_LIST"
Sostituisci quanto segue:
ROLE_LIST
: un ruolo o un elenco di ruoli separati da virgole che vuoi revocareRESOURCE_NAME
: il nome della risorsa per cui vuoi revocare l'autorizzazioneUSER_LIST
: un elenco separato da virgole di utenti a cui verrà revocato il ruoloPer un elenco dei formati validi, consulta
user_list
.
Fai clic su
Esegui.
Per ulteriori informazioni su come eseguire le query, vedi Eseguire una query interattiva.
L'esempio seguente revoca il ruolo Amministratore per il set di dati
myDataset
:
REVOKE `roles/bigquery.admin`
ON SCHEMA `myProject`.myDataset
FROM "group:example-team@example-pet-store.com", "serviceAccount:user@test-project.iam.gserviceaccount.com"
bq
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per scrivere le informazioni esistenti del set di dati (inclusi i controlli dell'accesso) in un file JSON, utilizza il comando
bq show
:bq show \ --format=prettyjson \ PROJECT_ID:DATASET > PATH_TO_FILE
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto
- DATASET: il nome del set di dati
- PATH_TO_FILE: il percorso del file JSON sulla macchina locale
Apporta modifiche alla sezione
access
del file JSON. Puoi rimuovere una qualsiasi dellespecialGroup
voci:projectOwners
,projectWriters
,projectReaders
eallAuthenticatedUsers
. Puoi anche rimuovere uno qualsiasi dei seguenti elementi:userByEmail
,groupByEmail
edomain
.Ad esempio, la sezione
access
del file JSON di un set di dati sarà simile alla seguente:{ "access": [ { "role": "READER", "specialGroup": "projectReaders" }, { "role": "WRITER", "specialGroup": "projectWriters" }, { "role": "OWNER", "specialGroup": "projectOwners" }, { "role": "READER", "specialGroup": "allAuthenticatedUsers" }, { "role": "READER", "domain": "domain_name" }, { "role": "WRITER", "userByEmail": "user_email" }, { "role": "READER", "groupByEmail": "group_email" } ], ... }
Una volta apportate le modifiche, usa il comando
bq update
e includi il file JSON utilizzando il flag--source
. Se il set di dati si trova in un progetto diverso da quello predefinito, aggiungi l'ID progetto al nome del set di dati nel seguente formato:PROJECT_ID:DATASET
.bq update \ --source PATH_TO_FILE \ PROJECT_ID:DATASET
Per verificare le modifiche controllo dell'accesso, utilizza nuovamente il comando
show
senza scrivere le informazioni in un file:bq show --format=prettyjson PROJECT_ID:DATASET
API
Chiama datasets.patch
e
utilizza la proprietà access
nella risorsa Dataset
per aggiornare i controlli di accesso.
Poiché il metodo datasets.update
sostituisce l'intera risorsa del set di dati,
datasets.patch
è il metodo preferito per aggiornare i controlli dell'accesso.
Go
Prima di provare questo esempio, segui le istruzioni per la configurazione di Go nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per maggiori informazioni, consulta la documentazione di riferimento dell'API Go di BigQuery.
Per eseguire l'autenticazione su BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Python
Prima di provare questo esempio, segui le istruzioni per la configurazione di Python nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per maggiori informazioni, consulta la documentazione di riferimento dell'API Python di BigQuery.
Per eseguire l'autenticazione su BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Imposta la proprietàdataset.access_entries
con i controlli di accesso per un set di dati. Quindi chiama la funzione client.update_dataset()
per aggiornare la proprietà.
Revocare l'accesso a una tabella o una visualizzazione
Seleziona una delle seguenti opzioni:
Console
Vai alla pagina BigQuery.
Nel riquadro Explorer, espandi il progetto e seleziona una tabella o una visualizzazione.
Nel riquadro dei dettagli, fai clic su Condividi.
Nella finestra di dialogo Condividi, espandi l'entità di cui vuoi revocare l'accesso.
Fai clic su
Elimina.Nella finestra di dialogo Rimuovere il ruolo dall'entità?, fai clic su Rimuovi.
Per tornare alla tabella o visualizzare i dettagli, fai clic su Chiudi.
SQL
Per rimuovere dalle entità l'accesso alle tabelle o alle visualizzazioni, utilizza l'istruzione DCL REVOKE
:
Nella console Google Cloud, vai alla pagina BigQuery.
Nell'editor query, inserisci la seguente istruzione:
REVOKE `ROLE_LIST` ON RESOURCE_TYPE RESOURCE_NAME FROM "USER_LIST"
Sostituisci quanto segue:
ROLE_LIST
: un ruolo o un elenco di ruoli separati da virgole che vuoi revocareRESOURCE_TYPE
: il tipo di risorsa da cui è stato revocato il ruoloI valori supportati includono
TABLE
,VIEW
,MATERIALIZED VIEW
eEXTERNAL TABLE
.RESOURCE_NAME
: il nome della risorsa per cui vuoi revocare l'autorizzazioneUSER_LIST
: un elenco separato da virgole di utenti a cui verrà revocato il ruoloPer un elenco dei formati validi, consulta
user_list
.
Fai clic su
Esegui.
Per ulteriori informazioni su come eseguire le query, vedi Eseguire una query interattiva.
L'esempio seguente revoca il ruolo Amministratore nella tabella
myTable
:
REVOKE `roles/bigquery.admin`
ON TABLE `myProject`.myDataset.myTable
FROM "group:example-team@example-pet-store.com", "serviceAccount:user@test-project.iam.gserviceaccount.com"
bq
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per scrivere la tabella esistente o visualizzare informazioni (inclusi i controlli dell'accesso) in un file JSON, utilizza il comando
bq get-iam-policy
:bq get-iam-policy \ PROJECT_ID:DATASET.TABLE_OR_VIEW \ > PATH_TO_FILE
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto
- DATASET: il nome del set di dati che contiene la tabella o la vista da aggiornare
- TABLE_OR_VIEW: il nome della risorsa da aggiornare
PATH_TO_FILE: il percorso del file JSON sulla tua macchina locale
Apporta modifiche alla sezione
access
del file JSON. Puoi rimuovere una qualsiasi dellespecialGroup
voci:projectOwners
,projectWriters
,projectReaders
eallAuthenticatedUsers
. Puoi anche rimuovere uno qualsiasi dei seguenti elementi:userByEmail
,groupByEmail
edomain
. Ad esempio, la sezioneaccess
del file JSON di una tabella o di una vista sarebbe simile alla seguente:{ "access": [ { "role": "READER", "specialGroup": "projectReaders" }, { "role": "WRITER", "specialGroup": "projectWriters" }, { "role": "OWNER", "specialGroup": "projectOwners" }, { "role": "READER", "specialGroup": "allAuthenticatedUsers" }, { "role": "READER", "domain": "domain_name" }, { "role": "WRITER", "userByEmail": "user_email" }, { "role": "READER", "groupByEmail": "group_email" } ], ... }
Per aggiornare il criterio di accesso, usa il comando
bq set-iam-policy
:bq set-iam-policy PROJECT_ID:DATASET.TABLE_OR_VIEW PATH_TO_FILE
Per verificare le modifiche controllo dell'accesso, utilizza nuovamente il comando
get-iam-policy
senza scrivere le informazioni in un file:bq get-iam-policy --format=prettyjson \ PROJECT_ID:DATASET.TABLE_OR_VIEW
API
- Per recuperare il criterio attuale, chiama il
metodo
tables.getIamPolicy
. Modifica il criterio per rimuovere i membri e/o le associazioni. Per il formato richiesto per il criterio, consulta l'argomento di riferimento Criteri.
Chiama
tables.setIamPolicy
per scrivere il criterio aggiornato. Nota: non sono consentite associazioni vuote senza membri e generano un errore.
Java
Prima di provare questo esempio, segui le istruzioni per la configurazione di Java nella guida rapida di BigQuery sull'utilizzo delle librerie client. Per maggiori informazioni, consulta la documentazione di riferimento dell'API Java di BigQuery.
Per eseguire l'autenticazione su BigQuery, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per le librerie client.
Nega l'accesso a una risorsa
I criteri di negazione IAM consentono di impostare barriere di protezione per l'accesso alle risorse BigQuery. Puoi definire regole di negazione che impediscono alle entità selezionate di utilizzare determinate autorizzazioni, indipendentemente dai ruoli loro concessi.
Per informazioni su come creare, aggiornare ed eliminare i criteri di negazione, vedi Negare l'accesso alle risorse.