Sicherheit auf Zeilenebene mit anderen BigQuery-Features verwenden

In diesem Dokument wird gezeigt, wie Sie die Zugriffssicherheit auf Zeilenebene mit anderen BigQuery-Features verwenden.

Bevor Sie dieses Dokument lesen, machen Sie sich mit dem Konzept der Sicherheit auf Zeilenebene vertraut, indem Sie Einführung in BigQuery-Sicherheit auf Zeilenebene und Mit Sicherheit auf Zeilenebene arbeiten lesen.

Der Filter `TRUE`.

Mit den Richtlinien für den Zugriff auf Zeilenebene können Sie die Ergebnisdaten filtern, die beim Ausführen von Abfragen angezeigt werden. Zum Ausführen von Nicht-Abfragevorgängen wie DML benötigen Sie uneingeschränkten Zugriff auf alle Zeilen der Tabelle. Vollzugriff wird durch Verwendung einer Zeilenzugriffsrichtlinie mit dem Filterausdruck TRUE gewährt. Diese Zugriffsrichtlinie auf Zeilenebene wird als TRUE-Filter bezeichnet.

Jeder Nutzer kann TRUE-Filterzugriff erhalten, auch ein Dienstkonto.

Beispiele für Nicht-Abfragevorgänge sind:

Andere BigQuery APIs, z. B. die BigQuery Storage Read API.
Einige Befehle des bq-Befehlszeilentools, z. B. der Befehl bq head.
Tabelle kopieren

Beispiel

Den Filter `TRUE` erstellen

CREATE ROW ACCESS POLICY all_access ON project.dataset.table1
GRANT TO ("group:all-rows-access@example.com")
FILTER USING (TRUE);

Features, die mit dem `TRUE`-Filter funktionieren

Kopierjobs

Zum Kopieren einer Tabelle mit einer oder mehreren Zugriffsrichtlinien auf Zeilenebene müssen Sie zuerst den TRUE-Filterzugriff für die Quelltabelle gewähren. Alle Zugriffsrichtlinien auf Zeilenebene in der Quelltabelle werden auch in die neue Zieltabelle kopiert. Wenn Sie eine Quelltabelle ohne Zugriffsrichtlinien auf Zeilenebene in eine Zieltabelle mit Zugriffsrichtlinien auf Zeilenebene kopieren, werden die Zugriffsrichtlinien auf Zeilenebene aus der Zieltabelle entfernt, es sei denn, das Flag --append_table wird verwendet oder "writeDisposition": "WRITE_APPEND" ist festgelegt.

Zugriffsrichtlinien auf Zeilenebene für eine Tabelle müssen eindeutige Namen haben. Ein Konflikt mit den Namen der Zugriffsrichtlinien auf Zeilenebene während des Kopiervorgangs führt zu einem ungültigen Eingabefehler.

Erforderliche Berechtigungen zum Kopieren einer Tabelle mit einer Zugriffsrichtlinie auf Zeilenebene

Zum Kopieren einer Tabelle mit einer oder mehreren Zugriffsrichtlinien auf Zeilenebene benötigen Sie neben den Erforderliche Berechtigungen zum Kopieren einer Tabelle ohne Zugriffsrichtlinie auf Zeilenebene die folgenden Berechtigungen.

Berechtigung	Ressource
`bigquery.rowAccessPolicies.list`	Die Quelltabelle.
`bigquery.rowAccessPolicies.getIamPolicy`	Die Quelltabelle.
Der `TRUE`-Filter.	Die Quelltabelle.
`bigquery.rowAccessPolicies.create`	Die Zieltabelle.
`bigquery.rowAccessPolicies.setIamPolicy`	Die Zieltabelle.

Tabledata.list in der BigQuery API

Sie benötigen TRUE-Filterzugriff, damit Sie die tabledata.list-Methode in der BigQuery API für eine Tabelle mit Zugriffsrichtlinien auf Zeilenebene verwenden können.

DML

Zum Ausführen einer DML-Anweisung, die eine Tabelle mit Zugriffsrichtlinien auf Zeilenebene aktualisiert, benötigen Sie TRUE-Filterzugriff für die Tabelle.

Insbesondere interagieren MERGE-Anweisungen mit Zugriffsrichtlinien auf Zeilenebene in der folgenden Weise:

Wenn eine Zieltabelle Zugriffsrichtlinien auf Zeilenebene enthält, benötigen Sie TRUE-Filterzugriff für die Zieltabelle.
Wenn eine Quelltabelle Zugriffsrichtlinien auf Zeilenebene enthält, gilt die Anweisung MERGE nur für Zeilen, die für den Nutzer sichtbar sind.

Tabellen-Snapshots

Tabellen-Snapshots unterstützen die Sicherheit auf Zeilenebene. Die erforderlichen Berechtigungen für die Basistabelle (Quelltabelle) und den Tabellen-Snapshot (Zieltabelle) werden unter Erforderliche Berechtigungen zum Kopieren einer Tabelle mit einer Zugriffsrichtlinie auf Zeilenebene erläutert.

Zeitreisen werden für Basistabellen, die eine oder mehrere Sicherheitsrichtlinien auf Zeilenebene enthalten, nicht unterstützt.

BigQuery-Tabelle mit JSON-Spalten

Zugriffsrichtlinien auf Zeilenebene können nicht auf JSON-Spalten angewendet werden. Weitere Informationen zu den Einschränkungen für die Sicherheit auf Zeilenebene finden Sie unter Einschränkungen.

BigQuery BI Engine und Looker Studio

BigQuery BI Engine beschleunigt keine Abfragen, die für Tabellen mit einer oder mehreren Zugriffsrichtlinien auf Zeilenebene ausgeführt werden. Diese Abfragen werden in BigQuery als Standardabfragen ausgeführt.

Die Daten in einem Looker Studio-Dashboard werden gemäß den Zugriffsrichtlinien der zugrunde liegenden Quelltabelle auf Zeilenebene gefiltert.

Sicherheit auf Spaltenebene

Die Sicherheit auf Zeilen- und Spaltenebene, die sowohl die Zugriffssteuerung auf Spaltenebene als auch die dynamische Datenmaskierung umfasst, sind vollständig kompatibel.

Die wichtigsten Punkte sind:

Sie können eine Zugriffsrichtlinie auf Zeilenebene anwenden, um Daten in beliebigen Spalten zu filtern, auch wenn Sie keinen Zugriff auf die Daten dieser Spalte haben.
Wenn die Spalte aufgrund der Sicherheit auf Spaltenebene eingeschränkt ist und in der SELECT-Anweisung der Abfrage benannt wird, erhalten Sie die Fehlermeldung „Zugriff verweigert“.
Die Sicherheit auf Spaltenebene gilt auch mit einer SELECT *-Abfrageanweisung. SELECT * wird genauso behandelt wie eine Abfrage, die explizit eine eingeschränkte Spalte benennt.

Beispiel für die Interaktion der Sicherheit auf Zeilen- und Spaltenebene

In diesem Beispiel wird gezeigt, wie Sie eine Tabelle sichern und dann abfragen.

Die Daten

Angenommen, Sie haben die DataOwner-Rolle für ein Dataset mit dem Namen my_dataset, das eine dreispaltige Tabelle namens my_table enthält. Die Tabelle enthält die Daten der folgenden Tabelle.

In diesem Beispiel ist ein Nutzer Alice, deren E-Mail-Adresse alice@example.com lautet. Ein zweiter Nutzer ist Bob, ein Kollege von Alice.

Rang	Obst	Farbe
1	Apfel	Rot
2	Orange	Orange
3	Lemon	Gelb
4	Limette	Grün

Die Sicherheit

Sie möchten, dass Alice alle Zeilen mit ungeraden Zahlen in der Spalte rank sehen kann, aber keine Zeilen mit geraden Zahlen. Sie möchten nicht, dass Bob eine Zeile sieht – egal, ob ungerade oder ungerade. Sie möchten, dass niemand die Daten in der Spalte fruit sieht.

Wenn Sie verhindern möchten, dass Alice die Zeilen mit geraden Zahlen sieht, erstellen Sie eine Zugriffsrichtlinie auf Zeilenebene mit einem Filterausdruck, der auf den Daten in der Spalte rank basiert. Damit Bob keine geraden oder ungeraden Zeilen sieht, nehmen Sie ihn nicht in die Empfängerliste auf.
```
CREATE ROW ACCESS POLICY only_odd ON my_dataset.my_table GRANT
TO ('user:alice@example.com') FILTER USING (MOD(rank, 2) = 1);
```
Wenn Sie verhindern möchten, dass alle Nutzer Daten in der Spalte fruit sehen, erstellen Sie ein Tag für Sicherheitsrichtlinien auf Spaltenebene, das allen Nutzern den Zugriff auf diese Daten verweigert.

Schließlich können Sie den Zugriff auf die Spalte namens color auf zwei Arten einschränken: Die Spalte wird über ein Sicherheitsrichtlinien-Tag auf Spaltenebene gesteuert, das den gesamten Zugriff verhindert. und sie wird von einer Zugriffsrichtlinie auf Zeilenebene beeinflusst, die einige Zeilendaten in der Spalte color filtert.

Durch diese zweite Zugriffsrichtlinie auf Zeilenebene werden nur Zeilen mit dem Wert green in der Spalte color angezeigt.

CREATE ROW ACCESS POLICY only_green ON my_dataset.my_table
GRANT TO ('user:alice@example.com') FILTER USING (color="green");

Abfrage von Bob

Wenn Alices Kollege Bob versucht, Daten von my_dataset.my_table abzufragen, werden keine Zeilen angezeigt, da Bob nicht in der Liste der berechtigten Personen einer Zugriffsrichtlinie auf Zeilenebene für die Tabelle enthalten ist.

Abfrage	`my_dataset.my_table`			Kommentare
	`rank` (Einige Daten sind von der Zeilenzugriffsrichtlinie `only_odd` betroffen.)	`fruit` (Alle Daten sind durch ein CLS-Richtlinien-Tag gesichert.)	`color` Alle Daten sind durch ein CLS-Richtlinien-Tag gesichert und einige Daten sind von den Zeilenzugriffsrichtlinie `only_green` betroffen.)
`SELECT rank FROM my_dataset.my_table`	(0) Zeilen zurückgegeben.			Bob ist nicht in der Empfängerliste der Zugriffsrichtlinie auf Zeilenebene aufgeführt. Daher ist diese Abfrage erfolgreich, es werden jedoch keine Zeilendaten zurückgegeben. Es wird Bob eine Nachricht angezeigt, dass seine Ergebnisse möglicherweise von der Zeilenzugriffsrichtlinie gefiltert werden.

Abfragen von Alice

Die Ergebnisse der Abfrage von Alice für den Zugriff auf Daten von my_dataset.my_table hängen von der ausgeführten Abfrage und der Sicherheit ab, wie in der folgenden Tabelle dargestellt.

Abfrage	`my_dataset.my_table`			Kommentare
	`rank` (Einige Daten sind von der Zeilenzugriffsrichtlinie `only_odd` betroffen.)	`fruit` (Alle Daten sind durch ein CLS-Richtlinien-Tag gesichert.)	`color` Alle Daten sind durch ein CLS-Richtlinien-Tag gesichert und einige Daten sind von den Zeilenzugriffsrichtlinie `only_green` betroffen.)
`SELECT rank FROM my_dataset.my_table`	(2) Zeilen mit ungeraden Zahlen werden zurückgegeben.			Alice ist in der Empfängerliste für die Zugriffsrichtlinie `only_odd` auf Zeilenebene für Daten in der Rangspalte aufgeführt. Daher sieht Alice nur die Datenzeilen mit ungeraden Zahlen. Zeilen mit geraden Zahlen werden durch die Zugriffsrichtlinie auf Zeilenebene namens `only_odd` ausgeblendet. Erika erhält eine Nachricht, dass die Ergebnisse möglicherweise durch die Zugriffsrichtlinie für Zeilen gefiltert wurde.
`SELECT fruit FROM my_dataset.my_table`		`access denied`		Die Spalte `fruit` wurde in der Abfrage explizit benannt. Die Sicherheit auf Spaltenebene gilt. Zugriff wird verweigert
`SELECT color FROM my_dataset.my_table`			`access denied`	Die Spalte `color` wurde in der Abfrage explizit benannt. Die Sicherheit auf Spaltenebene wird angewendet, bevor die Zugriffsrichtlinie auf Zeilenebene für Daten in der Spalte `color` gilt. Zugriff wird verweigert
`SELECT rank, fruit FROM my_dataset.my_table`		`access denied`		Die Spalte „`fruit`“ wurde in der Abfrage explizit benannt. Die Sicherheit auf Spaltenebene wird angewendet, bevor die Zugriffsrichtlinie auf Zeilenebene für Daten in der Spalte `rank` gilt. Zugriff wird verweigert
`SELECT rank, color FROM my_dataset.my_table`			`access denied`	Die Spalte `color` wurde in der Abfrage explizit benannt Die Sicherheit auf Spaltenebene in der Spalte `color` gilt, bevor Zugriffsrichtlinien auf Zeilenebene für Daten in den Spalten `rank` und `color` aktiv sind. Zugriff wird verweigert.
`SELECT fruit, color FROM my_dataset.my_table`		`access denied`	`access denied`	Die Spalten `fruit` und `color` wurden in der Abfrage explizit benannt. Die Sicherheit auf Spaltenebene für die Spalten `fruit` und `color` wird angewendet, bevor die Zugriffsrichtlinie für Zeilen auf die Daten in der Spalte `color` gilt. Zugriff wird verweigert
`SELECT * FROM my_dataset.my_table`		`access denied`	`access denied`	Die Spalten `fruit` und `color` wurden implizit mit „`SELECT *`“ in der Abfrage benannt. Die Sicherheit auf Spaltenebene für die Spalten `fruit` und `color` gilt, bevor die Zugriffsrichtlinien für Zeilen auf Daten in den Spalten `rank` und `color` aktiviert sind. Zugriff wird verweigert.

`TRUE`-Filterzugriff

Wie im Abschnitt zum TRUE-Filterzugriff erläutert, können Alice oder Bob mit TRUE-Filterzugriff alle Zeilen in der Tabelle sehen und ihn in Nicht-Abfragejobs verwenden. Wenn für die Tabelle jedoch eine Sicherheit auf Spaltenebene festgelegt ist, gilt diese weiterhin und kann sich auf die Ergebnisse auswirken.

Extrahierungsjobs

Wenn für eine Tabelle Zugriffsrichtlinien auf Zeilenebene festgelegt sind, werden nur die Daten, die Sie sehen können, nach Cloud Storage exportiert, wenn Sie einen Extrahierungsjob ausführen.

Legacy-SQL

Zugriffsrichtlinien auf Zeilenebene sind nicht mit Legacy-SQL kompatibel. Für Abfragen über Tabellen mit Zugriffsrichtlinien auf Zeilenebene muss GoogleSQL verwendet werden. Legacy-SQL-Abfragen werden abgelehnt.

Partitionierte und geclusterte Tabellen

Die Sicherheit auf Zeilenebene ist nicht Teil der Abfragebereinigung, einer Funktion von partitionierten Tabellen.

Die Sicherheit auf Zeilenebene ist zwar mit partitionierten und geclusterten Tabellen kompatibel, die Zugriffsrichtlinien auf Zeilenebene, nach denen Zeilendaten gefiltert werden, werden jedoch nicht während der Partitionsbereinigung angewendet. Sie können die Partitionsbereinigung auch für eine Tabelle verwenden, die Sicherheit auf Zeilenebene verwendet. Geben Sie dazu eine WHERE-Klausel an, die auf die Partitionsspalte angewendet wird. Auch die Zugriffsrichtlinien auf Zeilenebene selbst bieten keine Leistungsvorteile für Abfragen von geclusterten Tabellen, beeinträchtigen jedoch nicht andere von Ihnen angewendete Filter.

Tabelle umbenennen

Sie benötigen TRUE-Filterzugriff nicht, um eine Tabelle mit einer oder mehreren Zugriffsrichtlinien auf Zeilenebene umzubenennen. Sie können eine Tabelle mit einer DDL-Anweisung umbenennen.

Alternativ können Sie außerdem eine Tabelle kopieren und der Zieltabelle einen anderen Namen geben. Wenn die Quelltabelle eine Zugriffsrichtlinie auf Zeilenebene enthält, finden Sie weitere Informationen unter Tabellenkopierjobs.

Streaming-Updates

Zum Ausführen von UPDATE- oder DELETE-Streamingtabellenvorgängen mit Change Data Capture benötigen Sie TRUE-Filterzugriff.

Zeitreise

Nur ein Tabellenadministrator kann auf Verlaufsdaten für eine Tabelle zugreifen, die Zugriffsrichtlinien auf Zeilenebene hat oder hatte. Andere Nutzer erhalten die Fehlermeldung accesss denied, wenn sie einen Zeitreise-Decorator für eine Tabelle mit Zugriff auf Zeilenebene verwenden. Weitere Informationen finden Sie unter Zeitreise und Zugriff auf Zeilenebene.

Ansichten und materialisierte Ansichten

Die in einer Ansicht oder einer materialisierten Ansicht angezeigten Daten werden entsprechend den Zugriffsrichtlinien der zugrunde liegenden Quelltabelle gefiltert.

Wenn eine materialisierte Ansicht aus einer zugrunde liegenden Tabelle abgeleitet wird, die Zugriffsrichtlinien auf Zeilenebene enthält, entspricht die Abfrageleistung außerdem der direkten Abfrage der Quelltabelle. Mit anderen Worten: Wenn die Quelltabelle Sicherheit auf Zeilenebene bietet, haben Sie nicht die typischen Leistungsvorteile der Abfrage einer materialisierten Ansicht im Vergleich zur Abfrage der Quelltabelle.

Platzhalterabfragen

Platzhalterabfragen für Tabellen mit Zugriffsrichtlinien auf Zeilenebene schlagen mit dem Fehler INVALID_INPUT fehl.

Nächste Schritte

Informationen zu den Best Practices für Zugriffsrichtlinien auf Zeilenebene finden Sie unter Best Practices für die Sicherheit auf Zeilenebene in BigQuery.