Tabellen und Datasets taggen

In diesem Dokument wird beschrieben, wie Sie Tags verwenden, um IAM-Richtlinien (Identity and Access Management) auf BigQuery-Tabellen und -Datasets bedingt anzuwenden.

Ein Tag ist ein Schlüssel/Wert-Paar, das Sie direkt an eine Tabelle oder ein Dataset anhängen können oder das eine Tabelle oder ein Dataset von anderen Google Cloud-Ressourcen übernehmen kann. Sie können Richtlinien bedingt anwenden, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Beispielsweise können Sie einem Hauptkonto mit dem Tag environment:dev bedingt die Rolle „BigQuery-Datenbetrachter“ zuweisen.

Weitere Informationen zur Verwendung von Tags in der gesamten Google Cloud-Ressourcenhierarchie finden Sie unter Tags – Übersicht.

Wenn Sie vielen zugehörigen BigQuery-Ressourcen gleichzeitig Berechtigungen gewähren möchten, einschließlich Ressourcen, die noch nicht vorhanden sind, können Sie IAM Conditions verwenden.

Erforderliche Berechtigungen

Zur Verwendung von Tags in BigQuery benötigen Sie die folgenden Berechtigungen:

  • Zum Anhängen eines Tags an ein Dataset benötigen Sie die IAM-Berechtigung bigquery.datasets.createTagBinding für das Dataset und die Berechtigung resourcemanager.tagValueBindings.create auf Projektebene für den Tag-Wert, den Sie anhängen möchten.
  • Zum Anhängen eines Tags an eine Tabelle benötigen Sie die IAM-Berechtigung bigquery.tables.createTagBinding für die Tabelle und die Berechtigung resourcemanager.tagValueBindings.create auf Projektebene für den Tag-Wert, den Sie anhängen möchten.
  • Zum Entfernen eines Tags aus einem Dataset benötigen Sie die IAM-Berechtigung bigquery.datasets.deleteTagBinding für das Dataset und die Berechtigung resourcemanager.tagValueBindings.delete auf Projektebene für den Tag-Wert, den Sie löschen möchten
  • Zum Entfernen eines Tags aus einer Tabelle benötigen Sie die IAM-Berechtigung bigquery.tables.deleteTagBinding für die Tabelle und die Berechtigung resourcemanager.tagValueBindings.delete auf Projektebene für den Tag-Wert, den Sie löschen möchten
  • Zum Auflisten der an ein Dataset angehängten Tags oder zum Anzeigen des Abschnitts Tags im Feld Details bearbeiten für ein Dataset benötigen Sie die IAM-Berechtigung bigquery.datasets.listTagBindings.
  • Zum Auflisten der Tag-Schlüssel, die einer übergeordneten Organisation oder einem übergeordneten Projekt im Bereich Details bearbeiten für ein Dataset oder eine Tabelle zugeordnet sind, benötigen Sie die Berechtigung resourcemanager.tagKeys.list für die übergeordnete Ebene und die Berechtigung resourcemanager.tagKeys.get für jeden Tag-Schlüssel.
  • Zum Auflisten der Tag-Werte von Schlüsseln, die einer übergeordneten Organisation oder einem übergeordneten Projekt im Bereich Details bearbeiten für ein Dataset oder eine Tabelle zugeordnet sind, benötigen Sie die Berechtigung resourcemanager.tagValues.list für das der übergeordneten Ebene des Tag-Werts und der Berechtigung resourcemanager.tagValues.get für jeden Tag-Wert.

Beide der folgenden vordefinierten IAM-Rollen enthalten alle erforderlichen BigQuery-Berechtigungen:

  • BigQuery Dateninhaber (roles/bigquery.dataOwner)
  • BigQuery Administrator (roles/bigquery.admin)

Die Resource Manager-Berechtigungen sind in der Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) enthalten.

Sie können Tags auch verwenden, um den Zugriff mit IAM-Richtlinien auf BigQuery-Tabellen und -Datasets bedingt zu verweigern (Vorschau). Weitere Informationen finden Sie unter Ablehnungsrichtlinien.

Tag-Schlüssel und -Werte erstellen

Bevor Sie ein Tag anhängen können, müssen Sie ein Tag erstellen und seinen Wert konfigurieren. Informationen zum Erstellen von Tag-Schlüsseln und -Werten finden Sie unter Tag erstellen und Tag-Werte hinzufügen.

Tags an ein Dataset anhängen

Nachdem Sie ein Tag erstellt haben, können Sie es an ein Dataset anhängen. Sie können pro Dataset nur einen Tag-Wert für einen bestimmten Tag-Schlüssel anhängen. Sie können maximal 50 Tags an ein Dataset anhängen.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite BigQuery.

    BigQuery aufrufen

  2. Maximieren Sie im Bereich Explorer Ihr Projekt und wählen Sie ein Dataset aus.

  3. Klicken Sie im Abschnitt Dataset-Informationen auf Details bearbeiten.

  4. Wählen Sie im Bereich Tags die Tags aus, die Sie dem Dataset hinzufügen möchten.

  5. Klicken Sie auf Speichern.

gcloud

Zum Anhängen eines Tags an ein Dataset über die Befehlszeile erstellen Sie mit dem Befehl gcloud resource-manager tags bindings create eine Tag-Bindungsressource:

gcloud resource-manager tags bindings create \
    --tag-value=TAGVALUE_NAME \
    --parent=RESOURCE_ID \
    --location=LOCATION

Ersetzen Sie Folgendes:

  • TAGVALUE_NAME: die permanente ID oder der Namespace-Name des Tag-Werts, der angehängt werden soll, z. B. tagValues/4567890123 oder 1234567/my_tag_key/my_tag_value
  • RESOURCE_ID: die vollständige ID des Datasets, einschließlich des API-Domainnamens (//bigquery.googleapis.com/), um den Ressourcentyp zu identifizieren, z. B. //bigquery.googleapis.com/projects/my_project/datasets/my_dataset
  • LOCATION: der Standort Ihres Datasets

Tags auflisten, die an ein Dataset angehängt sind

Die folgenden Schritte enthalten eine Liste von Tag-Bindungen, die direkt mit einem Dataset verknüpft sind. Sie geben keine Tags zurück, die von übergeordneten Ressourcen übernommen werden.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite BigQuery.

    BigQuery aufrufen

  2. Maximieren Sie im Bereich Explorer Ihr Projekt und wählen Sie ein Dataset aus.

    Die Tags werden im Bereich Dataset-Informationen angezeigt.

gcloud

Verwenden Sie den Befehl gcloud resource-manager tags bindings list, um eine Liste der Tag-Bindungen abzurufen, die an eine Ressource angehängt sind:

gcloud resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Ersetzen Sie Folgendes:

  • RESOURCE_ID: die vollständige ID des Datasets, einschließlich des API-Domainnamens (//bigquery.googleapis.com/), um den Ressourcentyp zu identifizieren, z. B. //bigquery.googleapis.com/projects/my_project/datasets/my_dataset

  • LOCATION: der Standort Ihres Datasets

Die Ausgabe sieht etwa so aus:

name: tagBindings/%2F%2Fbigquery.googleapis.com%2Fprojects%2Fmy_project%2Fdatasets%2Fmy_dataset/tagValues/4567890123
parent: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset
tagValue: tagValues/4567890123

Tags von einem Dataset trennen

Sie können ein Tag von einer Ressource trennen, indem Sie die Tag-Bindungsressource löschen. Wenn Sie ein Tag löschen müssen, sollten Sie es zuerst trennen.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite BigQuery.

    BigQuery aufrufen

  2. Maximieren Sie im Bereich Explorer Ihr Projekt und wählen Sie ein Dataset aus.

  3. Klicken Sie im Abschnitt Dataset-Informationen auf Details bearbeiten.

  4. Klicken Sie im Bereich Tags neben dem Tag, das Sie löschen möchten, auf Element löschen.

  5. Klicken Sie auf Speichern.

gcloud

Zum Trennen eines Tags von einem Dataset über die Befehlszeile löschen Sie die Tag-Bindung mit dem Befehl gcloud alpha resource-manager tags bindings delete:

gcloud alpha resource-manager tags bindings delete \
    --tag-value=TAGVALUE_NAME \
    --parent=RESOURCE_ID \
    --location=LOCATION

Ersetzen Sie Folgendes:

  • TAGVALUE_NAME: die permanente ID oder der Namespace-Name des Tag-Werts, der angehängt werden soll, z. B. tagValues/4567890123 oder 1234567/my_tag_key/my_tag_value
  • RESOURCE_ID: die vollständige ID des Datasets, einschließlich des API-Domainnamens (//bigquery.googleapis.com/), um den Ressourcentyp zu identifizieren, z. B. //bigquery.googleapis.com/projects/my_project/datasets/my_dataset
  • LOCATION: der Standort Ihres Datasets

Tags beim Erstellen einer neuen Tabelle anhängen

Nachdem Sie ein Tag erstellt haben, können Sie es an eine neue Tabelle anhängen. Sie können pro Dataset nur einen Tag-Wert für einen bestimmten Tag-Schlüssel anhängen. Sie können maximal 50 Tags an ein Dataset anhängen.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite BigQuery.

    BigQuery aufrufen

  2. Maximieren Sie im Bereich Explorer Ihr Projekt und wählen Sie dann ein Dataset aus.

  3. Klicken Sie im Abschnitt Dataset-Informationen auf Tabelle erstellen.

  4. Geben Sie die Informationen für die neue Tabelle ein. Weitere Informationen finden Sie unter Tabellen erstellen und verwenden.

  5. Wählen Sie im Bereich Tags die Tags aus, die Sie der neuen Tabelle hinzufügen möchten. In diesem Schritt können Sie die Tag-IDs nicht manuell eingeben. Sie können nur Tags aus Ihrem Projekt oder Ihrer Organisation auswählen.

  6. Klicken Sie auf Tabelle erstellen.

bq

Führen Sie den Befehl bq mk --table mit dem Flag --add_tags aus:

bq mk --table \
    --schema=SCHEMA \
    --add_tags=TAGS \
    PROJECT_ID:DATASET_ID.TABLE_ID

Ersetzen Sie Folgendes:

  • SCHEMA: Die Inline-Schemadefinition.
  • TAGS: die Tags, die Sie an die neue Tabelle anhängen, durch Kommas getrennt, z. B. 556741164180/env:prod,myProject/department:sales. Jedes Tag muss den Namespace-Schlüsselnamen und den Kurznamen des Namespace haben.
  • PROJECT_ID: die ID des Projekts, in dem Sie eine Tabelle erstellen.
  • DATASET_ID: der Name des Datasets, in dem Sie eine Tabelle erstellen.
  • TABLE_ID ist die ID der neuen Tabelle, die Sie erstellen.

API

Rufen Sie die Methode tables.insert mit einer definierten Tabellenressource auf und fügen Sie die Tags in das Feld resource_tags ein.

Tags an eine vorhandene Tabelle anhängen

Nachdem Sie ein Tag erstellt haben, können Sie es an eine vorhandene Tabelle anhängen. Sie können pro Tabelle nur einen Tag-Wert für einen bestimmten Tag-Schlüssel anhängen. Sie können maximal 50 Tags an eine Tabelle anhängen.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite BigQuery.

    BigQuery aufrufen

  2. Maximieren Sie im Bereich Explorer Ihr Projekt und das Dataset und wählen Sie dann eine Tabelle aus.

  3. Klicken Sie auf dem Tab Details auf Details bearbeiten.

  4. Wählen Sie im Bereich Tags die Tags aus, die Sie der Tabelle hinzufügen möchten. In diesem Schritt können Sie die Tag-IDs nicht manuell eingeben. Sie können nur Tags aus Ihrem Projekt oder Ihrer Organisation auswählen.

  5. Klicken Sie auf Speichern.

bq

Führen Sie den Befehl bq update mit dem Flag --add_tags aus:

bq update \
    --add_tags=TAGS \
    PROJECT_ID:DATASET_ID.TABLE_ID

Ersetzen Sie Folgendes:

  • TAGS: die Tags, die Sie an die Tabelle anhängen, durch Kommas getrennt, z. B. 556741164180/env:prod,myProject/department:sales. Jedes Tag muss den Namespace-Schlüsselnamen und den Kurznamen des Namespace haben.
  • PROJECT_ID: Die ID des Projekts, das Ihre Tabelle enthält.
  • DATASET_ID: die ID des Datasets, das Ihre Tabelle enthält.
  • TABLE_ID: Die ID der Tabelle, die Sie aktualisieren.

API

Rufen Sie die Methode tables.update mit einer definierten Tabellenressource auf und fügen Sie die Tags in das Feld resource_tags ein.

An eine Tabelle angehängte Tags auflisten

Sie können die Tags auflisten, die direkt an eine Tabelle angehängt sind. Bei diesem Vorgang werden die Tags, die von übergeordneten Ressourcen übernommen werden, nicht aufgelistet.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite BigQuery.

    BigQuery aufrufen

  2. Maximieren Sie im Bereich Explorer Ihr Projekt und das Dataset und wählen Sie dann eine Tabelle aus.

    Die Tags werden auf dem Tab Details angezeigt.

bq

Verwenden Sie den Befehl bq show und suchen Sie nach der Spalte tags. Wenn die Tabelle keine Tags enthält, wird die Spalte tags nicht angezeigt.

bq show \
    PROJECT_ID:DATASET_ID.TABLE_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: Die ID des Projekts, das Ihre Tabelle enthält.
  • DATASET_ID: die ID des Datasets, das Ihre Tabelle enthält
  • TABLE_ID: Die ID Ihrer Tabelle

API

Rufen Sie die Methode tables.get mit einer definierten Tabellenressource auf und suchen Sie nach dem Feld resource_tags.

Tags von einer Tabelle trennen

Sie können ein Tag von einer Tabelle trennen, indem Sie die Tag-Bindungsressource löschen. Wenn Sie ein Tag löschen müssen, sollten Sie es zuerst trennen.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite BigQuery.

    BigQuery aufrufen

  2. Maximieren Sie im Bereich Explorer Ihr Projekt und das Dataset und wählen Sie dann eine Tabelle aus.

  3. Klicken Sie auf dem Tab Details auf Details bearbeiten.

  4. Entfernen Sie im Abschnitt Tags die Tags, die Sie von der Tabelle trennen möchten.

  5. Klicken Sie auf Speichern.

bq

Verwenden Sie zum Entfernen einiger Tags aus einer Tabelle den Befehl bq update mit dem Flag --remove_tags:

bq update \
    --remove_tags=TAG_KEYS \
    PROJECT_ID:DATASET_ID.TABLE_ID

Ersetzen Sie Folgendes:

  • TAG_KEYS: die Tag-Schlüssel, die Sie von der Tabelle trennen, durch Kommas getrennt, z. B. 556741164180/env,myProject/department. Jeder Tag-Schlüssel muss den Namespace-Schlüsselnamen haben.
  • PROJECT_ID: Die ID des Projekts, das Ihre Tabelle enthält.
  • DATASET_ID: die ID des Datasets, das Ihre Tabelle enthält.
  • TABLE_ID: Die ID der Tabelle, die Sie aktualisieren.

Verwenden Sie zum Entfernen aller Tags aus einer Tabelle den Befehl bq update mit dem Flag --clear_all_tags:

bq update \
    --clear_all_tags \
    PROJECT_ID:DATASET_ID.TABLE_ID

API

Rufen Sie die Methode tables.update mit einer definierten Tabellenressource auf und entfernen Sie die Tags im Feld resource_tags. Wenn Sie alle Tags entfernen möchten, entfernen Sie das Feld resource_tags.

Tags löschen

Sie können ein Tag nicht löschen, wenn von einem Dataset oder einer Tabelle darauf verwiesen wird. Sie sollten alle vorhandenen Tag-Bindungsressourcen trennen, bevor Sie den Tag-Schlüssel oder -Wert selbst löschen. Informationen zum Löschen von Tag-Schlüsseln und Tag-Werten finden Sie unter Tags löschen.

Beispiel

Angenommen, Sie sind Administrator einer Organisation. Ihre Datenanalysten sind alle Mitglieder der Gruppe analysts@example.com, die die IAM-Rolle „BigQuery-Datenbetrachter“ für das Projekt userData haben. Es wird ein Datenanalysten-Praktikant eingestellt, der gemäß den Unternehmensrichtlinien nur die Berechtigung haben soll, das Dataset anonymousData im Projekt userData einzusehen. Sie können den Zugriff mithilfe von Tags steuern.

  1. Erstellen Sie ein Tag mit dem Schlüssel employee_type und dem Wert intern:

    Beispiel für das Erstellen von Tag-Schlüsseln und -Werten.

  2. Öffnen Sie in der Google Cloud Console die Seite IAM.

    Seite „IAM“

  3. Suchen Sie die Zeile mit dem Praktikanten, dessen Dataset-Zugriff Sie einschränken möchten, und klicken Sie in dieser Zeile auf Hauptkonto bearbeiten.

  4. Wählen Sie im Menü Rolle die Option BigQuery-Datenbetrachter aus.

  5. Klicken Sie auf Bedingung hinzufügen.

  6. Geben Sie in den Feldern Titel und Beschreibung Werte ein, die die zu erstellende IAM-Tag-Bedingung beschreiben.

  7. Klicken Sie auf dem Tab Tool zur Bedingungserstellung auf Hinzufügen.

  8. Wählen Sie im Menü Bedingungstyp die Option Ressource und dann Tag aus.

  9. Wählen Sie im Menü Operator die Option hat einen Wert aus.

  10. Geben Sie im Feld Wertpfad den Tagwertpfad im Format ORGANIZATION/TAG_KEY/TAG_VALUE ein, z. B. example.org/employee_type/intern.

    Beispiel für eine IAM-Bedingung mit Tags.

    Diese IAM-Tag-Bedingung beschränkt den Zugriff des Praktikanten auf Datasets mit dem Tag intern.

  11. Klicken Sie auf Speichern, um die Tag-Bedingung zu speichern.

  12. Klicken Sie auf Speichern, um alle Änderungen zu speichern, die Sie im Bereich Berechtigungen bearbeiten vorgenommen haben.

  13. Führen Sie mithilfe der Befehlszeile den Befehl gcloud alpha resource-manager tags bindings create aus, um den Tag-Wert intern an das Dataset anonymousData anzuhängen:

    gcloud alpha resource-manager tags bindings create \
--tag-value=tagValues/4567890123 \
--parent=//bigquery.googleapis.com/projects/userData/datasets/anonymousData \
--location=US

Beschränkungen

  • Tabellen-Tags werden für BigQuery Omni-Tabellen, Tabellen in ausgeblendeten Datasets oder temporäre Tabellen nicht unterstützt. Darüber hinaus verwenden regionenübergreifende Abfragen in BigQuery Omni keine Tags während der Überprüfung der Zugriffssteuerung von Tabellen in anderen Regionen.

  • Mit der Cloud Resource Manager API können Sie keine Tabellen-Tags verwenden.

  • Sie können maximal 50 Tags an ein Dataset oder eine Tabelle anhängen.

  • Abfragen mit Platzhaltern werden für Tabellen mit Tags nicht unterstützt.

  • Einige Dienste außerhalb von BigQuery können IAM-Tag-Bedingungen nicht ordnungsgemäß prüfen. Wenn die Tag-Bedingung positiv ist, also einem Nutzer nur dann eine Rolle für eine Ressource gewährt wird, wenn diese Ressource ein bestimmtes Tag hat, dann wird der Zugriff auf die Ressource verweigert, unabhängig davon, welche Tags mit ihr verbunden sind. Wenn die Tag-Bedingung negativ ist, also einem Nutzer nur dann eine Rolle für eine Ressource zugewiesen wird, wenn diese Ressource kein bestimmtes Tag hat, wird die Tag-Bedingung nicht geprüft.

    Data Catalog kann beispielsweise keine IAM-Tag-Bedingungen für BigQuery-Datasets prüfen. Angenommen, es gibt eine bedingte IAM-Richtlinie, die einem Praktikanten die Rolle „BigQuery-Datenbetrachter“ für Datasets mit dem Tag employee_type=intern zuweist. Da dies eine positive Tag-Bedingung ist, kann der Praktikant keine Datasets durch Suchen in Data Catalog ansehen, auch wenn diese Datasets das Tag employee_type=intern haben. Wenn die Tag-Bedingung in eine negative Bedingung geändert würde, sodass der Praktikant nur Datasets aufrufen könnte, die nicht das employee_type=intern-Tag haben, dann würde die Prüfung ganz übersprungen und der Praktikant könnte die Datasets aufrufen, auf die er normalerweise in BigQuery nicht zugreifen kann.

Nächste Schritte