Questa pagina è stata tradotta dall'API Cloud Translation.

Tabelle e set di dati di tag

Questo documento descrive come utilizzare i tag per applicare le modifiche in modo condizionale Identity and Access Management (IAM) alle tabelle e ai set di dati BigQuery.

Un tag è una coppia chiave-valore che puoi collegare direttamente a una tabella o a un set di dati, o quella che una tabella o un set di dati può Eredita da un altro dell'accesso a specifiche risorse Google Cloud. Puoi applicare i criteri in modo condizionale in base a se una risorsa ha un tag specifico. Ad esempio, puoi decidere in modo condizionale concedi il ruolo Visualizzatore dati BigQuery a un'entità su qualsiasi set di dati con Tag environment:dev.

Per ulteriori informazioni sull'utilizzo dei tag in Google Cloud la gerarchia delle risorse, consulta Panoramica dei tag.

Per concedere le autorizzazioni a molte risorse BigQuery correlate nella e risorse che non esistono ancora, valuta la possibilità di Condizioni IAM.

Prima di iniziare

Devi concedere ruoli IAM che diano agli utenti le risorse necessarie autorizzazioni per eseguire ogni attività in questo documento. Devi inoltre creare le chiavi e i valori dei tag da collegare alle risorse.

Autorizzazioni obbligatorie

Per utilizzare i tag in BigQuery, devi disporre delle seguenti autorizzazioni:

Per collegare un tag a un set di dati, è necessario Autorizzazione IAM bigquery.datasets.createTagBinding per e l'autorizzazione resourcemanager.tagValueBindings.create nel set di dati a livello di progetto sul valore tag che vuoi collegare.
Per associare un tag a una tabella, è necessario il valore Autorizzazione IAM bigquery.tables.createTagBinding per e l'autorizzazione resourcemanager.tagValueBindings.create nel a livello di progetto sul valore tag che vuoi collegare.
Per rimuovere un tag da un set di dati, è necessario Autorizzazione IAM bigquery.datasets.deleteTagBinding per e l'autorizzazione resourcemanager.tagValueBindings.delete nel set di dati a livello di progetto per il valore del tag che vuoi eliminare.
Per rimuovere un tag da una tabella, è necessario il valore Autorizzazione IAM bigquery.tables.deleteTagBinding per e l'autorizzazione resourcemanager.tagValueBindings.delete nel a livello di progetto per il valore del tag che vuoi eliminare.
Per elencare le chiavi tag associate a un'organizzazione principale oppure nel riquadro Modifica dettagli di un set di dati o di una tabella, devi avere resourcemanager.tagKeys.list a livello principale della chiave tag e l'autorizzazione resourcemanager.tagKeys.get per ogni chiave tag.
per elencare i valori dei tag delle chiavi associate a un'organizzazione principale o progetto nel riquadro Modifica dettagli di un set di dati o di una tabella, devi avere Autorizzazione resourcemanager.tagValues.list a livello principale del valore tag e l'autorizzazione resourcemanager.tagValues.get per ogni valore tag.

Se utilizzi i tag con l'API Cloud Resource Manager o gcloud, devi disporre anche delle seguenti autorizzazioni:

Per visualizzare l'elenco dei tag associati a un con l'API Cloud Resource Manager o gcloud CLI, ti serve il bigquery.datasets.listTagBindings Autorizzazione IAM.
Per elencare i tag effettivi per un set di dati, è necessario bigquery.datasets.listEffectiveTags Autorizzazione IAM.
Per visualizzare l'elenco dei tag associati a un con l'API Cloud Resource Manager o gcloud CLI, devi avere l'autorizzazione IAM bigquery.tables.listTagBindings.
Per elencare i tag effettivi per una tabella, è necessario il bigquery.tables.listEffectiveTags Autorizzazione IAM.

Entrambi i seguenti ruoli IAM predefiniti includono le autorizzazioni BigQuery necessarie:

Proprietario dati BigQuery (roles/bigquery.dataOwner)
Amministratore BigQuery (roles/bigquery.admin)

Le autorizzazioni Resource Manager sono incluse nel ruolo Utente tag (roles/resourcemanager.tagUser).

Puoi utilizzare i tag anche per negare l'accesso in modo condizionale con criteri IAM alle tabelle BigQuery dei set di dati (anteprima). Per ulteriori informazioni, consulta Criteri di negazione.

Creare chiavi e valori dei tag

Prima di poter collegare un tag, devi crearne uno e configurarne il valore. Per creare chiavi e valori di tag, consulta Creazione di un tag e Aggiunta dei valori dei tag.

Collega tag a un set di dati

Puoi creare un nuovo set di dati BigQuery quando colleghi un tag oppure collegare un tag a un set di dati esistente. Puoi associare un solo valore tag a un per ogni chiave tag specificata. Puoi allegare un massimo di 50 in un set di dati.

Console

Per i nuovi set di dati:

Nella console Google Cloud, vai alla pagina BigQuery.

Vai a BigQuery
Nel riquadro Explorer, seleziona il progetto in cui vuoi creare il tuo set di dati.
Clic more_vert Visualizza azioni > Crea set di dati.
In Tag, fai clic su Seleziona ambito.
Seleziona l'ambito in cui esistono i tag.
Seleziona e aggiungi i tag da aggiungere al set di dati.
Fai clic su Crea set di dati.

Per i set di dati esistenti:

Nella console Google Cloud, vai alla pagina BigQuery.

Vai a BigQuery
Nel riquadro Explorer, espandi il progetto e seleziona un set di dati.
Nella sezione Informazioni sul set di dati, fai clic su Modifica dettagli.
Nella sezione Tag, seleziona i tag che desideri aggiungere al del set di dati.
Fai clic su Salva.

bq

Per i nuovi set di dati, utilizza Comando bq mk --dataset con il flag --add_tags:

bq mk --dataset \
    --add_tags=TAG \
    PROJECT_ID:DATASET_ID

Per i set di dati esistenti, utilizza Comando bq update con il flag --add_tags:

bq update \
    --add_tags=TAG \
    PROJECT_ID:DATASET_ID

Sostituisci quanto segue:

TAG: il tag che stai collegando al nuovo . Più tag sono separati da virgole. Ad esempio: 556741164180/env:prod,myProject/department:sales. Ogni tag deve avere nome breve della chiave e del valore con spazio dei nomi.
PROJECT_ID: l'ID del progetto in cui ti trovi la creazione di un set di dati o la posizione di un set di dati esistente.
DATASET_ID: l'ID del nuovo set di dati di cui o l'ID di un set di dati esistente.

gcloud

Per collegare un tag a un set di dati utilizzando la riga di comando, crea un'istanza di associazione di tag utilizzando Comando gcloud resource-manager tags bindings create:

gcloud resource-manager tags bindings create \
    --tag-value=TAGVALUE_NAME \
    --parent=RESOURCE_ID \
    --location=LOCATION

Sostituisci quanto segue:

TAGVALUE_NAME: l'ID permanente o nome con spazio dei nomi del valore del tag da associare, come tagValues/4567890123 o 1234567/my_tag_key/my_tag_value.
RESOURCE_ID: l'ID completo del set di dati, incluso il nome di dominio dell'API (//bigquery.googleapis.com/) per identificare il tipo di risorsa. Ad esempio: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset.
LOCATION: dalla località del set di dati.

API

Per i nuovi set di dati, richiama il metodo Metodo datasets.insert e aggiungi i tuoi tag nel campo resource_tags.

Per i set di dati esistenti, richiama prima il metodo Metodo datasets.get per ottenere la risorsa del set di dati, incluso il campo resource_tags. Aggiungi il tuo i tag al campo resource_tags e passare la risorsa del set di dati aggiornata usando Metodo datasets.update.

Elenca i tag collegati a un set di dati

I passaggi seguenti forniscono un elenco di associazioni di tag collegate direttamente a un del set di dati. Non restituiscono tag ereditati da un'unità organizzativa principale. Google Cloud.

Console

Nella console Google Cloud, vai alla pagina BigQuery.

Vai a BigQuery
Nel riquadro Explorer, espandi il progetto e seleziona un set di dati.

I tag vengono visualizzati nella sezione Informazioni sul set di dati.

bq

Per elencare i tag collegati a un set di dati, utilizza Comando bq show.

bq show PROJECT_ID:DATASET_ID

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto che contiene del set di dati.
DATASET_ID: l'ID del set di dati per il quale voglio elencare i tag.

gcloud

Per ottenere un elenco di associazioni di tag collegate a una risorsa, utilizza il metodo Comando gcloud resource-manager tags bindings list:

gcloud resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Sostituisci quanto segue:

RESOURCE_ID: l'ID completo del set di dati, incluso il nome di dominio dell'API (//bigquery.googleapis.com/) per identificare il tipo di risorsa. Ad esempio: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset.
LOCATION: la località del set di dati.

L'output è simile al seguente:

name: tagBindings/%2F%2Fbigquery.googleapis.com%2Fprojects%2Fmy_project%2Fdatasets%2Fmy_dataset/tagValues/4567890123
parent: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset
tagValue: tagValues/4567890123

API

Chiama il Metodo datasets.get per ottenere la risorsa del set di dati. La risorsa dataset include tag associati il set di dati nel campo resource_tags.

Visualizzazioni

Utilizza la INFORMATION_SCHEMA.SCHEMATA_OPTIONS visualizzazione.

Ad esempio, la seguente query mostra tutti i tag associati a tutti i set di dati in una regione. Questa query restituisce una tabella con colonne tra cui schema_name (i nomi del set di dati), option_name (sempre 'tags'), object_type (sempre ARRAY<STRUCT<STRING, STRING>>) e option_value, che contiene array di STRUCT oggetti che rappresentano i tag associati per ogni set di dati. Per i set di dati senza tag assegnati, la colonna option_value restituisce un array vuoto.

SELECT * from region-REGION.INFORMATION_SCHEMA.SCHEMATA_OPTIONS
WHERE option_name='tags'

Sostituisci quanto segue:

REGION: la regione in cui si trovano i set di dati.

Scollega i tag da un set di dati

Puoi scollegare un tag da una risorsa eliminando la risorsa di associazione di tag. Se devi eliminare un tag, devi prima scollegarlo.

Console

Nella console Google Cloud, vai alla pagina BigQuery.

Vai a BigQuery
Nel riquadro Explorer, espandi il progetto e seleziona un set di dati.
Nella sezione Informazioni sul set di dati, fai clic su Modifica dettagli.
Nella sezione Tag, fai clic su Elimina elemento accanto a che desideri eliminare.
Fai clic su Salva.

bq

Utilizza la Comando bq update con il flag --remove_tags:

bq update \
    --remove_tags=REMOVED_TAG \
    PROJECT_ID:DATASET_ID

Sostituisci quanto segue:

REMOVED_TAG: il tag da cui stai rimuovendo nella tabella. Più tag sono separati da virgole. Accetta solo chiavi senza coppie di valori. Ad esempio, 556741164180/env,myProject/department. Ogni tag deve avere nome chiave con spaziatura dei nomi.
PROJECT_ID: l'ID del progetto che contiene il tuo set di dati.
DATASET_ID: l'ID del set di dati per scollegare i tag da cui proviene.

In alternativa, se vuoi rimuovere tutti i tag da un set di dati, utilizza la Comando bq update con il flag --clear_all_tags:

bq update \
    --clear_all_tags
    PROJECT_ID:DATASET_ID

gcloud

Per scollegare un tag da un set di dati utilizzando la riga di comando, elimina il tag l'associazione utilizzando Comando gcloud resource-manager tags bindings delete:

gcloud resource-manager tags bindings delete \
    --tag-value=TAGVALUE_NAME \
    --parent=RESOURCE_ID \
    --location=LOCATION

Sostituisci quanto segue:

TAGVALUE_NAME: l'ID permanente o nome con spazio dei nomi del valore del tag da scollegare, come tagValues/4567890123 o 1234567/my_tag_key/my_tag_value.
RESOURCE_ID: l'ID completo del set di dati, incluso il nome di dominio dell'API (//bigquery.googleapis.com/) per identificare il tipo di risorsa. Ad esempio: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset.
LOCATION: il valore località del set di dati.

API

Chiama il Metodo datasets.get per ottenere la risorsa del set di dati, incluso il campo resource_tags. Rimuovi i tuoi tag dal campo resource_tags e passano il set di dati aggiornato utilizzando la classe Metodo datasets.update.

Associa i tag quando crei una nuova tabella

Dopo aver creato un tag, puoi collegarlo a una nuova tabella. Puoi allegare solo un valore tag in un set di dati per ogni chiave tag specificata. Puoi allegare un massimo di 50 tag a una tabella.

Console

Nella console Google Cloud, vai alla pagina BigQuery.

Vai a BigQuery
Nel riquadro Explorer, espandi il progetto e seleziona una del set di dati.
Nella sezione Informazioni sul set di dati, fai clic su Crea tabella.
Inserisci le informazioni per la nuova tabella. Per ulteriori dettagli, vedi Creare e utilizzare le tabelle.
Nella sezione Tag, seleziona i tag che desideri aggiungere al nuova tabella.
Fai clic su Crea tabella.

bq

Utilizza la Comando bq mk --table con il flag --add_tags:

bq mk --table \
    --schema=SCHEMA \
    --add_tags=TAG \
    PROJECT_ID:DATASET_ID.TABLE_ID

Sostituisci quanto segue:

SCHEMA: il valore definizione dello schema incorporato.
TAG: il tag che stai collegando al nuovo . Più tag sono separati da virgole. Ad esempio: 556741164180/env:prod,myProject/department:sales. Ogni tag deve avere il nome breve della chiave e del valore con spazio dei nomi.
PROJECT_ID: l'ID del progetto in cui ti trovi per creare una tabella.
DATASET_ID: l'ID del set di dati in cui ti trovi per creare una tabella.
TABLE_ID: l'ID della nuova tabella che stai in fase di creazione.

API

Chiama il Metodo tables.insert con una risorsa di tabella definita. Includi i tag nel campo resource_tags.

Associa tag a una tabella esistente

Dopo aver creato un tag, puoi collegarlo a una tabella esistente. Puoi solo associano un valore tag a una tabella per ogni chiave tag specificata.

Console

Nella console Google Cloud, vai alla pagina BigQuery.

Vai a BigQuery
Nel riquadro Explorer, espandi il progetto e il set di dati, quindi seleziona una tabella.
Nella scheda Dettagli, fai clic su Modifica dettagli.
Nella sezione Tag, seleziona i tag che desideri aggiungere al .
Fai clic su Salva.

bq

Utilizza la Comando bq update con il flag --add_tags:

bq update \
    --add_tags=TAG \
    PROJECT_ID:DATASET_ID.TABLE_ID

Sostituisci quanto segue:

TAG: il tag che stai collegando a . Più tag sono separati da virgole. Ad esempio: 556741164180/env:prod,myProject/department:sales. Ogni tag deve avere il nome breve della chiave e del valore con spazio dei nomi.
PROJECT_ID: l'ID del progetto che contiene della tabella.
DATASET_ID: l'ID del set di dati che contiene della tabella.
TABLE_ID: l'ID della tabella che stai aggiornamento in corso.

gcloud

Per collegare un tag a una tabella utilizzando la riga di comando, crea un'istanza di associazione di tag utilizzando Comando gcloud resource-manager tags bindings create:

gcloud resource-manager tags bindings create \
    --tag-value=TAGVALUE_NAME \
    --parent=RESOURCE_ID \
    --location=LOCATION

Sostituisci quanto segue:

TAGVALUE_NAME: l'ID permanente o nome con spazio dei nomi del valore del tag da associare, come tagValues/4567890123 o 1234567/my_tag_key/my_tag_value.
RESOURCE_ID: l'ID completo della tabella, incluso il nome di dominio dell'API (//bigquery.googleapis.com/) per identificare il tipo di risorsa. Ad esempio: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset/my_table
LOCATION: il valore località della tabella.

API

Chiama il Metodo tables.update con una risorsa di tabella definita. Includi i tag nel campo resource_tags.

Elenca i tag collegati a una tabella

Puoi elencare i tag collegati direttamente a una tabella. Questo processo non elenca i tag ereditati dalle risorse padre.

Console

Nella console Google Cloud, vai alla pagina BigQuery.

Vai a BigQuery
Nel riquadro Explorer, espandi il progetto e il set di dati, quindi seleziona una tabella.

I tag sono visibili nella scheda Dettagli.

bq

Utilizza la Comando bq show e cerca la colonna tags. Se non ci sono tag nella tabella, La colonna tags non viene visualizzata.

bq show \
    PROJECT_ID:DATASET_ID.TABLE_ID

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto che contiene della tabella.
DATASET_ID: l'ID del set di dati che contiene della tabella.
TABLE_ID: l'ID della tabella.

gcloud

Per ottenere un elenco di associazioni di tag collegate a una risorsa, utilizza il metodo Comando gcloud resource-manager tags bindings list:

gcloud resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Sostituisci quanto segue:

RESOURCE_ID: l'ID completo della tabella, incluso il nome di dominio dell'API (//bigquery.googleapis.com/) per identificare il tipo di risorsa. Ad esempio: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset/my_table.
LOCATION: la località del set di dati.

L'output è simile al seguente:

name: tagBindings/%2F%2Fbigquery.googleapis.com%2Fprojects%2Fmy_project%2Fdatasets%2Fmy_dataset/tagValues/4567890123
parent: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset
tagValue: tagValues/4567890123

API

Chiama il Metodo tables.get con una risorsa di tabella definita, e cerca il campo resource_tags.

Visualizzazioni

Utilizza la INFORMATION_SCHEMA.TABLE_OPTIONS visualizzazione.

Ad esempio, la seguente query mostra tutti i tag associati a tutte le tabelle in un del set di dati. Questa query restituisce una tabella con colonne tra cui schema_name (il nome del set di dati), option_name (sempre 'tags'), object_type (sempre ARRAY<STRUCT<STRING, STRING>>) e option_value, che contiene array di STRUCT oggetti che rappresentano i tag associati per ogni set di dati. Per le tabelle senza tag assegnati, la colonna option_value restituisce un array vuoto.

SELECT * from DATASET_ID.INFORMATION_SCHEMA.TABLE_OPTIONS
WHERE option_name='tags'

Sostituisci DATASET_ID con l'ID del set di dati che contiene la tabella.

Scollegare i tag da una tabella

Per rimuovere un'associazione di tag da una tabella, elimina l'associazione di tag. Se devi eliminare un tag, devi prima scollegarlo.

Console

Nella console Google Cloud, vai alla pagina BigQuery.

Vai a BigQuery
Nel riquadro Explorer, espandi il progetto e il set di dati, quindi seleziona una tabella.
Nella scheda Dettagli, fai clic su Modifica dettagli.
Nella sezione Tag, rimuovi i tag che desideri scollegare nella tabella.
Fai clic su Salva.

bq

Per rimuovere alcuni tag da una tabella, utilizza il metodo Comando bq update con il flag --remove_tags:

bq update \
    --remove_tags=TAG_KEYS \
    PROJECT_ID:DATASET_ID.TABLE_ID

Sostituisci quanto segue:

TAG_KEYS: le chiavi dei tag che stai scollegando dalla tabella, separati da virgole. Ad esempio: 556741164180/env,myProject/department. Ogni chiave tag deve avere nome chiave con spaziatura dei nomi.
PROJECT_ID: l'ID del progetto che contiene della tabella.
DATASET_ID: l'ID del set di dati che contiene della tabella.
TABLE_ID: l'ID della tabella che stai aggiornamento in corso.

Per rimuovere tutti i tag da una tabella, utilizza il metodo Comando bq update con il flag --clear_all_tags:

bq update \
    --clear_all_tags \
    PROJECT_ID:DATASET_ID.TABLE_ID

gcloud

Per rimuovere un'associazione di tag da una tabella utilizzando la riga di comando, elimina l'associazione di tag mediante Comando gcloud resource-manager tags bindings delete:

gcloud resource-manager tags bindings delete \
    --tag-value=TAGVALUE_NAME \
    --parent=RESOURCE_ID \
    --location=LOCATION

Sostituisci quanto segue:

TAGVALUE_NAME: l'ID permanente o nome con spazio dei nomi del valore del tag da eliminare, come tagValues/4567890123 o 1234567/my_tag_key/my_tag_value.
RESOURCE_ID: l'ID completo della tabella, incluso il nome di dominio dell'API (//bigquery.googleapis.com/) per identificare il tipo di risorsa. Ad esempio: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset/my_table.
LOCATION: il valore località del set di dati.

API

Chiama il Metodo tables.update con una risorsa di tabella definita, e rimuovi i tag nel campo resource_tags. Per rimuovere tutti i tag, rimuovi il campo resource_tags.

Elimina tag

Non puoi eliminare un tag se fa riferimento a un set di dati o a una tabella. Dovresti Scollega tutte le risorse di associazione di tag esistenti prima di eliminare la chiave tag. o il valore stesso. Per eliminare le chiavi e i valori dei tag, consulta: Eliminazione dei tag.

Esempio

Supponiamo che tu sia l'amministratore di un'organizzazione. Il tuo gli analisti di dati sono tutti membri del gruppo analisti@esempio.com, che presenta Ruolo IAM Visualizzatore dati BigQuery nel progetto userData. Un dato Lo stagista viene assunto e, in base alla politica aziendale, questi ultimi devono solo disponi dell'autorizzazione per visualizzare il set di dati anonymousData nel progetto userData. Puoi controllarne l'accesso utilizzando i tag.

Creare un tag con la chiave employee_type e il valore intern:
Nella console Google Cloud, vai alla pagina IAM.

Vai a IAM
Individua la riga contenente lo stagista di cui vuoi accedere al set di dati limita e fai clic su Modifica entità nella riga corrispondente.
Dal menu Ruolo, seleziona Visualizzatore dati BigQuery.
Fai clic su Aggiungi condizione.
Nei campi Titolo e Descrizione, inserisci i valori che descrivono Condizione del tag IAM che vuoi creare.
Nella scheda Generatore di condizioni, fai clic su Aggiungi.
Nel menu Tipo di condizione, seleziona Risorsa, poi Tag.
Nel menu Operatore, seleziona ha un valore.
Nel campo Percorso valore, inserisci il percorso valore tag nel modulo. ORGANIZATION/TAG_KEY/TAG_VALUE. Ad esempio: example.org/employee_type/intern.

Questa condizione del tag IAM limita l'accesso dello stagista a set di dati contenenti il tag intern.
Per salvare la condizione del tag, fai clic su Salva.
Per salvare le modifiche apportate nel riquadro Modifica autorizzazioni, fai clic su Salva.

Per collegare il valore del tag intern al set di dati anonymousData, utilizza il metodo riga di comando per eseguire gcloud resource-manager tags bindings create :

gcloud resource-manager tags bindings create \
--tag-value=tagValues/4567890123 \
--parent=//bigquery.googleapis.com/projects/userData/datasets/anonymousData \
--location=US

Limitazioni

I tag tabella non sono supportati nelle tabelle e nelle tabelle BigQuery Omni in set di dati nascosti o tabelle temporanee. Inoltre, tra regioni in BigQuery Omni non utilizzano tag durante l'accesso per controllare i controlli delle tabelle in altre regioni.
Puoi collegare un massimo di 50 tag a un set di dati o a una tabella.
I controlli di controllo dell'accesso per le query con caratteri jolly non vengono considerati condizionali accesso concesso per le tabelle con tag.
Alcuni servizi esterni a BigQuery non possono verificare correttamente le condizioni dei tag IAM. Se il tag è positiva, ovvero viene concesso a un utente un ruolo su una risorsa solo se quella risorsa ha un determinato tag, viene negato l'accesso indipendentemente dai tag associati. Se la condizione del tag è negativo, vale a dire che a un utente viene concesso un ruolo su una risorsa solo se la risorsa non ha un determinato tag, la condizione del tag non selezionato.

Ad esempio, Data Catalog non può verificare il tag IAM dei set di dati BigQuery. Supponiamo che esista una condizionale che assegna a uno stagista il Ruolo Visualizzatore dati BigQuery per i set di dati con Tag employee_type=intern. Poiché questa è una condizione di tag positiva, lo stagista non può visualizzare i set di dati eseguendo ricerche in Data Catalog anche se questi set di dati contengono il tag employee_type=intern. Se il tag è stata cambiata in negativa, in modo che lo stagista possa visualizza i set di dati che non avevano il tag employee_type=intern, poi il controllo verrebbe ignorato completamente e lo stagista potrebbe visualizzare set di dati ai quali normalmente non potrebbero accedere in BigQuery.

Best practice: utilizza condizioni positive per i tag IAM piuttosto che negativi, per evitare di concedere involontariamente i ruoli.

Passaggi successivi

Per una panoramica dei tag in Google Cloud, consulta Panoramica dei tag.
Per ulteriori informazioni su come utilizzare i tag, consulta Creare e gestire .
Per informazioni su come controllare l'accesso a BigQuery di risorse con condizioni IAM, consulta Controlla l'accesso con le condizioni IAM.