Questa pagina è stata tradotta dall'API Cloud Translation.

Tabelle e set di dati di tag

Questo documento descrive come utilizzare i tag per applicare in modo condizionale i criteri di Identity and Access Management (IAM) a tabelle e set di dati BigQuery.

Un tag è una coppia chiave-valore che puoi collegare direttamente a una tabella o a un set di dati oppure che una tabella o un set di dati può ereditare da altre risorse di Google Cloud. Puoi applicare i criteri in modo condizionale a seconda che una risorsa abbia un tag specifico. Ad esempio, puoi concedere in modo condizionale il ruolo Visualizzatore dati BigQuery a un'entità su qualsiasi set di dati con il tag environment:dev.

Per ulteriori informazioni sull'utilizzo dei tag nella gerarchia delle risorse Google Cloud, consulta Panoramica sui tag.

Per concedere contemporaneamente autorizzazioni a molte risorse BigQuery correlate, incluse quelle che non esistono ancora, valuta l'utilizzo delle condizioni IAM.

Prima di iniziare

Devi concedere ruoli IAM che concedono agli utenti le autorizzazioni necessarie per eseguire ogni attività in questo documento. Devi anche creare chiavi e valori tag da collegare alle risorse.

Autorizzazioni obbligatorie

Per utilizzare i tag in BigQuery, devi disporre delle seguenti autorizzazioni:

Per collegare un tag a un set di dati, sono necessarie l'autorizzazione IAM bigquery.datasets.createTagBinding sul set di dati e l'autorizzazione resourcemanager.tagValueBindings.create a livello di progetto sul valore tag che vuoi collegare.
Per collegare un tag a una tabella, devi disporre dell'autorizzazione IAM bigquery.tables.createTagBinding nella tabella e dell'autorizzazione resourcemanager.tagValueBindings.create a livello di progetto per il valore del tag che vuoi collegare.
Per rimuovere un tag da un set di dati, sono necessarie l'autorizzazione IAM bigquery.datasets.deleteTagBinding per il set di dati e l'autorizzazione resourcemanager.tagValueBindings.delete a livello di progetto per il valore del tag da eliminare.
Per rimuovere un tag da una tabella, devi disporre dell'autorizzazione IAM bigquery.tables.deleteTagBinding nella tabella e dell'autorizzazione resourcemanager.tagValueBindings.delete a livello di progetto per il valore del tag che vuoi eliminare.
Per elencare le chiavi tag associate a un'organizzazione o a un progetto principale nel riquadro Modifica dettagli di un set di dati o di una tabella, devi disporre dell'autorizzazione resourcemanager.tagKeys.list a livello principale della chiave tag e dell'autorizzazione resourcemanager.tagKeys.get per ogni chiave tag.
Per elencare i valori dei tag delle chiavi associate a un'organizzazione o a un progetto padre nel riquadro Modifica dettagli di un set di dati o di una tabella, devi disporre dell'autorizzazione resourcemanager.tagValues.list a livello principale del valore del tag e dell'autorizzazione resourcemanager.tagValues.get per ogni valore di tag.

Se utilizzi tag con l'API Cloud Resource Manager o gcloud, devi disporre anche delle seguenti autorizzazioni:

Per elencare i tag collegati a un set di dati con l'API Cloud Resource Manager o gcloud CLI, devi disporre dell'autorizzazione IAM bigquery.datasets.listTagBindings.
Per elencare i tag effettivi per un set di dati, devi disporre dell'autorizzazione IAM bigquery.datasets.listEffectiveTags.
Per elencare i tag collegati a una tabella con l'API Cloud Resource Manager o gcloud CLI, devi disporre dell'autorizzazione IAM bigquery.tables.listTagBindings.
Per elencare i tag effettivi per una tabella, devi disporre dell'autorizzazione IAM bigquery.tables.listEffectiveTags.

Entrambi i seguenti ruoli IAM predefiniti includono tutte le autorizzazioni BigQuery necessarie:

Proprietario dati BigQuery (roles/bigquery.dataOwner)
Amministratore BigQuery (roles/bigquery.admin)

Le autorizzazioni Resource Manager sono incluse nel ruolo Utente tag (roles/resourcemanager.tagUser).

Puoi anche utilizzare i tag per negare l'accesso in modo condizionale con i criteri IAM alle tabelle e ai set di dati BigQuery (anteprima). Per maggiori informazioni, consulta la pagina Criteri di negazione.

Creare chiavi e valori dei tag

Prima di poter collegare un tag, devi crearne uno e configurarne il valore. Per creare chiavi tag e valori dei tag, consulta le sezioni Creazione di un tag e Aggiunta di valori dei tag.

Collega tag a un set di dati

Puoi creare un nuovo set di dati BigQuery quando colleghi un tag oppure associare un tag a un set di dati esistente. Puoi collegare un solo valore tag a un set di dati per ogni chiave tag specificata. Puoi collegare un massimo di 50 tag a un set di dati.

Console

Per i nuovi set di dati:

Nella console Google Cloud, vai alla pagina BigQuery.

Vai a BigQuery
Nel riquadro Explorer, seleziona il progetto in cui vuoi creare il set di dati.
Fai clic su more_vert Visualizza azioni > Crea set di dati.
In Tag, fai clic su Seleziona ambito.
Seleziona l'ambito in cui esistono i tag.
Seleziona e aggiungi i tag da aggiungere al set di dati.
Fai clic su Crea set di dati.

Per i set di dati esistenti:

Nella console Google Cloud, vai alla pagina BigQuery.

Vai a BigQuery
Nel riquadro Explorer, espandi il progetto e seleziona un set di dati.
Nella sezione Informazioni sul set di dati, fai clic su Modifica dettagli.
Nella sezione Tag, seleziona i tag da aggiungere al set di dati.
Fai clic su Salva.

bq

Per i nuovi set di dati, utilizza il comando bq mk --dataset con il flag --add_tags:

bq mk --dataset \
    --add_tags=TAG[,...] \
    PROJECT_ID:DATASET_ID

Per i set di dati esistenti, utilizza il comando bq update con il flag --add_tags:

bq update \
    --add_tags=TAG[,...] \
    PROJECT_ID:DATASET_ID

Sostituisci quanto segue:

TAG: il tag che stai collegando alla nuova tabella. Più tag sono separati da virgole. Ad esempio, 556741164180/env:prod,myProject/department:sales. Ogni tag deve avere il nome della chiave con spazio dei nomi e il nome breve del valore.
PROJECT_ID: l'ID del progetto in cui stai creando un set di dati o in cui si trova un set di dati esistente.
DATASET_ID: l'ID del nuovo set di dati che stai creando o l'ID di un set di dati esistente.

gcloud

Per collegare un tag a un set di dati utilizzando la riga di comando, crea una risorsa di associazione di tag utilizzando il comando gcloud resource-manager tags bindings create:

gcloud resource-manager tags bindings create \
    --tag-value=TAGVALUE_NAME \
    --parent=RESOURCE_ID \
    --location=LOCATION

Sostituisci quanto segue:

TAGVALUE_NAME: l'ID permanente o il nome con spazio dei nomi del valore tag da collegare, ad esempio tagValues/4567890123 o 1234567/my_tag_key/my_tag_value.
RESOURCE_ID: l'ID completo del set di dati, incluso il nome di dominio dell'API (//bigquery.googleapis.com/) per identificare il tipo di risorsa. Ad esempio, //bigquery.googleapis.com/projects/my_project/datasets/my_dataset.
LOCATION: la località del set di dati.

API

Per i nuovi set di dati, chiama il metodo datasets.insert e aggiungi i tuoi tag al campo resource_tags.

Per i set di dati esistenti, chiama prima il metodo datasets.get per ottenere la risorsa dataset, incluso il campo resource_tags. Aggiungi i tuoi tag al campo resource_tags e ritrasmetti la risorsa del set di dati aggiornata utilizzando il metodo datasets.update.

Elenca i tag collegati a un set di dati

I passaggi seguenti forniscono un elenco di associazioni di tag collegate direttamente a un set di dati. Non restituiscono tag ereditati dalle risorse principali.

Console

Nella console Google Cloud, vai alla pagina BigQuery.

Vai a BigQuery
Nel riquadro Explorer, espandi il progetto e seleziona un set di dati.

I tag vengono visualizzati nella sezione Informazioni sul set di dati.

bq

Per elencare i tag collegati a un set di dati, utilizza il comando bq show.

bq show PROJECT_ID:DATASET_ID

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto contenente il set di dati.
DATASET_ID: l'ID del set di dati per il quale vuoi elencare i tag.

gcloud

Per ottenere un elenco di associazioni di tag collegate a una risorsa, utilizza il comando gcloud resource-manager tags bindings list:

gcloud resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Sostituisci quanto segue:

RESOURCE_ID: l'ID completo del set di dati, incluso il nome di dominio dell'API (//bigquery.googleapis.com/) per identificare il tipo di risorsa. Ad esempio, //bigquery.googleapis.com/projects/my_project/datasets/my_dataset.
LOCATION: la località del set di dati.

L'output è simile al seguente:

name: tagBindings/%2F%2Fbigquery.googleapis.com%2Fprojects%2Fmy_project%2Fdatasets%2Fmy_dataset/tagValues/4567890123
parent: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset
tagValue: tagValues/4567890123

API

Chiama il metodo datasets.get per ottenere la risorsa del set di dati. La risorsa set di dati include tag collegati al set di dati nel campo resource_tags.

Viste

Utilizza la vista INFORMATION_SCHEMA.SCHEMATA_OPTIONS.

Ad esempio, la seguente query mostra tutti i tag associati a tutti i set di dati in una regione. Questa query restituisce una tabella con colonne tra cui schema_name (nomi del set di dati), option_name (sempre 'tags'), object_type (sempre ARRAY<STRUCT<STRING, STRING>>) e option_value, che contiene array di oggetti STRUCT che rappresentano i tag associati a ciascun set di dati. Per i set di dati senza tag assegnati, la colonna option_value restituisce un array vuoto.

SELECT * from region-REGION.INFORMATION_SCHEMA.SCHEMATA_OPTIONS
WHERE option_name='tags'

Sostituisci quanto segue:

REGION: la regione in cui si trovano i tuoi set di dati.

Scollega i tag da un set di dati

Puoi scollegare un tag da una risorsa eliminando la risorsa di associazione di tag. Se devi eliminare un tag, devi prima scollegarlo.

Console

Nella console Google Cloud, vai alla pagina BigQuery.

Vai a BigQuery
Nel riquadro Explorer, espandi il progetto e seleziona un set di dati.
Nella sezione Informazioni sul set di dati, fai clic su Modifica dettagli.
Nella sezione Tag, fai clic su Elimina elemento accanto al tag da eliminare.
Fai clic su Salva.

bq

Utilizza il comando bq update con il flag --remove_tags:

bq update \
    --remove_tags=REMOVED_TAG[,...] \
    PROJECT_ID:DATASET_ID

Sostituisci quanto segue:

REMOVED_TAG: il tag che stai rimuovendo dalla tabella. Accetta solo chiavi senza coppie di valori e più chiavi sono separate da virgole.
PROJECT_ID: l'ID del progetto che contiene il tuo set di dati.
DATASET_ID: l'ID del set di dati da cui scollegare i tag.

In alternativa, se vuoi rimuovere tutti i tag da un set di dati, utilizza il comando bq update con il flag --clear_all_tags:

bq update \
    --clear_all_tags
    PROJECT_ID:DATASET_ID

gcloud

Per scollegare un tag da un set di dati utilizzando la riga di comando, elimina l'associazione di tag utilizzando il comando gcloud resource-manager tags bindings delete:

gcloud resource-manager tags bindings delete \
    --tag-value=TAGVALUE_NAME \
    --parent=RESOURCE_ID \
    --location=LOCATION

Sostituisci quanto segue:

TAGVALUE_NAME: l'ID permanente o il nome con spaziatura dei nomi del valore del tag da scollegare, ad esempio tagValues/4567890123 o 1234567/my_tag_key/my_tag_value.
RESOURCE_ID: l'ID completo del set di dati, incluso il nome di dominio dell'API (//bigquery.googleapis.com/) per identificare il tipo di risorsa. Ad esempio, //bigquery.googleapis.com/projects/my_project/datasets/my_dataset.
LOCATION: la località del set di dati.

API

Chiama il metodo datasets.get per ottenere la risorsa del set di dati, incluso il campo resource_tags. Rimuovi i tag dal campo resource_tags e ritrasmetti la risorsa del set di dati aggiornata utilizzando il metodo datasets.update.

Associa i tag quando crei una nuova tabella

Dopo aver creato un tag, puoi collegarlo a una nuova tabella. Puoi collegare un solo valore tag a un set di dati per ogni chiave tag specificata. Puoi collegare un massimo di 50 tag a una tabella.

Console

Nella console Google Cloud, vai alla pagina BigQuery.

Vai a BigQuery
Nel riquadro Explorer, espandi il progetto e seleziona un set di dati.
Nella sezione Informazioni sul set di dati, fai clic su Crea tabella.
Inserisci le informazioni per la nuova tabella. Per maggiori dettagli, vedi Creare e utilizzare le tabelle.
Nella sezione Tag, seleziona i tag da aggiungere alla nuova tabella.
Fai clic su Crea tabella.

bq

Utilizza il comando bq mk --table con il flag --add_tags:

bq mk --table \
    --schema=SCHEMA \
    --add_tags=TAG[,...] \
    PROJECT_ID:DATASET_ID.TABLE_ID

Sostituisci quanto segue:

SCHEMA: la definizione dello schema incorporato.
TAG: il tag che stai collegando alla nuova tabella. Più tag sono separati da virgole. Ad esempio, 556741164180/env:prod,myProject/department:sales. Ogni tag deve avere il nome della chiave con spaziatura dei nomi e il nome breve del valore.
PROJECT_ID: l'ID del progetto in cui stai creando una tabella.
DATASET_ID: l'ID del set di dati in cui stai creando una tabella.
TABLE_ID: l'ID della nuova tabella che stai creando.

API

Chiama il metodo tables.insert con una risorsa di tabella definita. Includi i tag nel campo resource_tags.

Associa tag a una tabella esistente

Dopo aver creato un tag, puoi collegarlo a una tabella esistente. Puoi associare un solo valore tag a una tabella per ogni chiave tag specificata.

Console

Nella console Google Cloud, vai alla pagina BigQuery.

Vai a BigQuery
Nel riquadro Explorer, espandi il progetto e il set di dati, quindi seleziona una tabella.
Nella scheda Dettagli, fai clic su Modifica dettagli.
Nella sezione Tag, seleziona i tag da aggiungere alla tabella.
Fai clic su Salva.

bq

Utilizza il comando bq update con il flag --add_tags:

bq update \
    --add_tags=TAG[,...] \
    PROJECT_ID:DATASET_ID.TABLE_ID

Sostituisci quanto segue:

TAG: il tag che stai collegando alla tabella. Più tag sono separati da virgole. Ad esempio, 556741164180/env:prod,myProject/department:sales. Ogni tag deve avere il nome della chiave con spaziatura dei nomi e il nome breve del valore.
PROJECT_ID: l'ID del progetto che contiene la tabella.
DATASET_ID: l'ID del set di dati che contiene la tabella.
TABLE_ID: l'ID della tabella che stai aggiornando.

gcloud

Per collegare un tag a una tabella utilizzando la riga di comando, crea una risorsa di associazione di tag utilizzando il comando gcloud resource-manager tags bindings create:

gcloud resource-manager tags bindings create \
    --tag-value=TAGVALUE_NAME \
    --parent=RESOURCE_ID \
    --location=LOCATION

Sostituisci quanto segue:

TAGVALUE_NAME: l'ID permanente o il nome con spazio dei nomi del valore tag da collegare, ad esempio tagValues/4567890123 o 1234567/my_tag_key/my_tag_value.
RESOURCE_ID: l'ID completo della tabella, incluso il nome di dominio dell'API (//bigquery.googleapis.com/) per identificare il tipo di risorsa. Ad esempio, //bigquery.googleapis.com/projects/my_project/datasets/my_dataset/my_table
LOCATION: la posizione della tabella.

API

Chiama il metodo tables.update con una risorsa di tabella definita. Includi i tag nel campo resource_tags.

Elenca i tag collegati a una tabella

Puoi elencare i tag collegati direttamente a una tabella. Questo processo non elenca i tag ereditati dalle risorse padre.

Console

Nella console Google Cloud, vai alla pagina BigQuery.

Vai a BigQuery
Nel riquadro Explorer, espandi il progetto e il set di dati, quindi seleziona una tabella.

I tag sono visibili nella scheda Dettagli.

bq

Usa il comando bq show e cerca la colonna tags. Se la tabella non contiene tag, la colonna tags non viene visualizzata.

bq show \
    PROJECT_ID:DATASET_ID.TABLE_ID

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto che contiene la tabella.
DATASET_ID: l'ID del set di dati che contiene la tabella.
TABLE_ID: l'ID della tabella.

gcloud

Per ottenere un elenco di associazioni di tag collegate a una risorsa, utilizza il comando gcloud resource-manager tags bindings list:

gcloud resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Sostituisci quanto segue:

RESOURCE_ID: l'ID completo della tabella, incluso il nome di dominio dell'API (//bigquery.googleapis.com/) per identificare il tipo di risorsa. Ad esempio, //bigquery.googleapis.com/projects/my_project/datasets/my_dataset/my_table.
LOCATION: la località del set di dati.

L'output è simile al seguente:

name: tagBindings/%2F%2Fbigquery.googleapis.com%2Fprojects%2Fmy_project%2Fdatasets%2Fmy_dataset/tagValues/4567890123
parent: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset
tagValue: tagValues/4567890123

API

Chiama il metodo tables.get con una risorsa di tabella definita e cerca il campo resource_tags.

Viste

Utilizza la vista INFORMATION_SCHEMA.TABLE_OPTIONS.

Ad esempio, la seguente query mostra tutti i tag associati a tutte le tabelle in un set di dati. Questa query restituisce una tabella con colonne che includono schema_name (il nome del set di dati), option_name (sempre 'tags'), object_type (sempre ARRAY<STRUCT<STRING, STRING>>) e option_value, che contiene array di STRUCT oggetti che rappresentano i tag associati a ciascun set di dati. Per le tabelle senza tag assegnati, la colonna option_value restituisce un array vuoto.

SELECT * from DATASET_ID.INFORMATION_SCHEMA.TABLE_OPTIONS
WHERE option_name='tags'

Sostituisci DATASET_ID con l'ID del set di dati che contiene la tabella.

Scollegare i tag da una tabella

Per rimuovere un'associazione di tag da una tabella, elimina l'associazione di tag. Se devi eliminare un tag, devi prima scollegarlo.

Console

Nella console Google Cloud, vai alla pagina BigQuery.

Vai a BigQuery
Nel riquadro Explorer, espandi il progetto e il set di dati, quindi seleziona una tabella.
Nella scheda Dettagli, fai clic su Modifica dettagli.
Nella sezione Tag, rimuovi i tag che desideri scollegare dalla tabella.
Fai clic su Salva.

bq

Per rimuovere alcuni tag da una tabella, utilizza il comando bq update con il flag --remove_tags:

bq update \
    --remove_tags=TAG_KEYS \
    PROJECT_ID:DATASET_ID.TABLE_ID

Sostituisci quanto segue:

TAG_KEYS: le chiavi tag che stai scollegando dalla tabella, separate da virgole. Ad esempio, 556741164180/env,myProject/department. Ogni chiave tag deve avere il nome della chiave con spazio dei nomi.
PROJECT_ID: l'ID del progetto che contiene la tabella.
DATASET_ID: l'ID del set di dati che contiene la tabella.
TABLE_ID: l'ID della tabella che stai aggiornando.

Per rimuovere tutti i tag da una tabella, utilizza il comando bq update con il flag --clear_all_tags:

bq update \
    --clear_all_tags \
    PROJECT_ID:DATASET_ID.TABLE_ID

gcloud

Per rimuovere un'associazione di tag da una tabella utilizzando la riga di comando, elimina l'associazione di tag utilizzando il comando gcloud resource-manager tags bindings delete:

gcloud resource-manager tags bindings delete \
    --tag-value=TAGVALUE_NAME \
    --parent=RESOURCE_ID \
    --location=LOCATION

Sostituisci quanto segue:

TAGVALUE_NAME: l'ID permanente o il nome con spazi dei nomi del valore tag da eliminare, ad esempio tagValues/4567890123 o 1234567/my_tag_key/my_tag_value.
RESOURCE_ID: l'ID completo della tabella, incluso il nome di dominio dell'API (//bigquery.googleapis.com/) per identificare il tipo di risorsa. Ad esempio, //bigquery.googleapis.com/projects/my_project/datasets/my_dataset/my_table.
LOCATION: la località del set di dati.

API

Chiama il metodo tables.update con una risorsa di tabella definita e rimuovi i tag nel campo resource_tags. Per rimuovere tutti i tag, rimuovi il campo resource_tags.

Elimina tag

Non puoi eliminare un tag se fa riferimento a un set di dati o a una tabella. Devi scollegare tutte le risorse di associazione di tag esistenti prima di eliminare la chiave o il valore del tag stesso. Per eliminare le chiavi e i valori dei tag, consulta la sezione Eliminazione dei tag.

Esempio

Supponiamo che tu sia l'amministratore di un'organizzazione. I tuoi analisti di dati sono tutti membri del gruppo analisti@example.com, che ha il ruolo IAM Visualizzatore dati BigQuery nel progetto userData. Viene assunto uno stagista per data scientist e, in base alle norme aziendali, dovrebbe avere l'autorizzazione solo per visualizzare il set di dati anonymousData nel progetto userData. Puoi controllarne l'accesso utilizzando i tag.

Crea un tag con la chiave employee_type e il valore intern:
Nella console Google Cloud, vai alla pagina IAM.

Vai a IAM
Individua la riga contenente lo stagista di cui vuoi limitare l'accesso al set di dati e fai clic su Modifica entità nella riga corrispondente.
Dal menu Ruolo, seleziona Visualizzatore dati BigQuery.
Fai clic su Aggiungi condizione.
Nei campi Titolo e Descrizione, inserisci i valori che descrivono la condizione del tag IAM che vuoi creare.
Nella scheda Generatore di condizioni, fai clic su Aggiungi.
Nel menu Tipo di condizione, seleziona Risorsa, poi Tag.
Nel menu Operatore, seleziona ha un valore.
Nel campo Percorso valore, inserisci il percorso valore tag nel formato ORGANIZATION/TAG_KEY/TAG_VALUE. Ad esempio: example.org/employee_type/intern.

Questa condizione del tag IAM limita l'accesso dello stagista ai set di dati che includono il tag intern.
Per salvare la condizione del tag, fai clic su Salva.
Per salvare le modifiche apportate nel riquadro Modifica autorizzazioni, fai clic su Salva.

Per collegare il valore del tag intern al set di dati anonymousData, utilizza la riga di comando per eseguire il comando gcloud resource-manager tags bindings create:

gcloud resource-manager tags bindings create \
--tag-value=tagValues/4567890123 \
--parent=//bigquery.googleapis.com/projects/userData/datasets/anonymousData \
--location=US

Limitazioni

I tag tabella non sono supportati nelle tabelle BigQuery Omni, nelle tabelle di set di dati nascosti o nelle tabelle temporanee. Inoltre, le query tra regioni in BigQuery Omni non utilizzano tag durante i controlli di controllo dell'accesso delle tabelle in altre regioni.
Puoi collegare un massimo di 50 tag a un set di dati o a una tabella.
I controlli di controllo dell'accesso per le query con caratteri jolly non considerano l'accesso condizionale concesso per le tabelle con tag.
Alcuni servizi esterni a BigQuery non possono verificare correttamente le condizioni dei tag IAM. Se la condizione del tag è positiva, ovvero a un utente viene concesso un ruolo su una risorsa solo se quella risorsa dispone di un tag specifico, l'accesso alla risorsa viene negato indipendentemente dai tag associati. Se la condizione del tag è negativa, ovvero a un utente viene concesso un ruolo su una risorsa solo se la risorsa non ha un tag specifico, la condizione del tag non viene verificata.

Ad esempio, Data Catalog non può verificare le condizioni dei tag IAM sui set di dati BigQuery. Supponiamo che esista un criterio IAM condizionale che assegna a uno stagista il ruolo Visualizzatore dati BigQuery per i set di dati con il tag employee_type=intern. Poiché questa è una condizione di tag positiva, lo stagista non può visualizzare i set di dati eseguendo ricerche in Data Catalog anche se questi set di dati hanno il tag employee_type=intern. Se la condizione del tag fosse stata modificata in negativa, in modo che lo stagista possa visualizzare solo i set di dati che non includevano il tag employee_type=intern, il controllo verrebbe ignorato del tutto e lo stagista potrebbe visualizzare i set di dati a cui normalmente non poteva accedere in BigQuery.

Best practice:utilizza condizioni dei tag IAM positive, anziché negative, per evitare di concedere involontariamente i ruoli.

Passaggi successivi

Per una panoramica dei tag in Google Cloud, consulta Panoramica dei tag.
Per ulteriori informazioni su come utilizzare i tag, consulta Creazione e gestione dei tag.
Per informazioni su come controllare l'accesso alle risorse BigQuery con condizioni IAM, consulta Controllare l'accesso con le condizioni IAM.