Créer et gérer des vues autorisées

Ce document explique comment définir, créer et effectuer d'autres opérations administratives sur une vue autorisée à l'aide de la Google Cloud CLI. Avant de lire ce document, vous devez connaître la présentation des vues autorisées.

Rôles requis

Pour obtenir les autorisations nécessaires pour effectuer des opérations administratives sur une vue autorisée, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Bigtable (roles/bigtable.admin) sur la table sous-jacente. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient les autorisations requises effectuer des opérations administratives sur une vue autorisée pour en savoir plus. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour effectuer des opérations administratives sur une vue autorisée :

  • bigtable.authorizedViews.get
  • bigtable.authorizedViews.list
  • bigtable.authorizedViews.create
  • bigtable.authorizedViews.update
  • bigtable.authorizedViews.delete
  • bigtable.authorizedViews.getIamPolicy
  • bigtable.authorizedViews.setIamPolicy
  • bigtable.authorizedViews.readRows
  • bigtable.authorizedViews.sampleRowKeys
  • bigtable.authorizedViews.mutateRows

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Découvrir comment gérer les rôles IAM Bigtable au niveau de la vue autorisée consultez la section IAM au niveau de la vue autorisée gestion de la sécurité.

Créer une vue autorisée

Lorsque vous créez une vue autorisée, tenez compte des requêtes qui seront exécutées sur celle-ci. Les requêtes de lecture, d'écriture et de suppression envoyées à une vue autorisée ne doivent faire référence qu'aux données de la vue autorisée. Cela signifie, par exemple, que si vous tentez de lire, écrire ou supprimer une ligne contenant des colonnes de la table qui ne figurent pas dans votre vue autorisée, la requête échoue.

Pour éviter une situation où les requêtes de données vers une vue autorisée échouent car des colonnes ont été ajoutées au tableau, mais pas dans le vue autorisée, vous pouvez spécifier un préfixe de qualificatif de colonne vide "" pour une famille de colonnes.

Vous pouvez spécifier jusqu'à 100 paramètres de définition par vue autorisée.

gcloud

Exécutez la commande bigtable authorized-views create.

gcloud bigtable authorized-views create AUTHORIZED_VIEW_ID \
  --instance=INSTANCE_ID \
  --table=TABLE_ID \
  --definition-file=DEFINITION_FILE_PATH

Remplacez les éléments suivants :

  • AUTHORIZED_VIEW_ID: identifiant permanent de l'élément vue autorisée qui n'est pas déjà utilisée pour la table
  • INSTANCE_ID : identifiant permanent de l'instance contenant la table
  • TABLE_ID : identifiant permanent de la table pour laquelle vous créez une vue autorisée
  • DEFINITION_FILE_PATH : chemin d'accès à une représentation au format JSON valide d'une vue autorisée. Pour obtenir des exemples de des fichiers de définition mis en forme, reportez-vous à la section Fichier de définition exemples.

Vous pouvez également exécuter la commande sans fournir de fichier de définition. Dans ce cas, la gcloud CLI ouvre un éditeur et vous invite à saisir des valeurs.

Pour vérifier que la vue autorisée a bien été créée, procédez comme suit : Obtenez la liste des vues autorisées pour la table.

Java

Pour savoir comment installer et utiliser la bibliothèque cliente pour Bigtable, consultez Bibliothèques clientes Bigtable.

Pour vous authentifier auprès de Bigtable, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes. 

try {
  CreateAuthorizedViewRequest request =
      CreateAuthorizedViewRequest.of(tableId, authorizedViewId)
          .setAuthorizedViewType(
              SubsetView.create()
                  .addRowPrefix("")
                  .setFamilySubsets(
                      COLUMN_FAMILY,
                      FamilySubsets.create().addQualifierPrefix(COLUMN_QUALIFIER_NAME)));
  AuthorizedView authorizedView = adminClient.createAuthorizedView(request);
  System.out.printf("AuthorizedView: %s created successfully%n", authorizedView.getId());
} catch (NotFoundException e) {
  System.err.println(
      "Failed to create an authorized view from a non-existent table: " + e.getMessage());
}

Modifier une vue autorisée

gcloud

Modifiez une vue autorisée à l'aide de la commande bigtable authorized-views update.

gcloud bigtable authorized-views update AUTHORIZED_VIEW_ID \
  --instance=INSTANCE_ID \
  --table=TABLE_ID \
  --definition-file=DEFINITION_FILE_PATH

Remplacez les éléments suivants :

  • AUTHORIZED_VIEW_ID: identifiant permanent de la vue autorisée
  • INSTANCE_ID : identifiant permanent de l'instance.
  • TABLE_ID : identifiant permanent de la table source
  • DEFINITION_FILE_PATH: chemin d'accès à un format JSON valide représentation d'une vue autorisée. Pour obtenir des exemples de des fichiers de définition mis en forme, reportez-vous à la section Fichier de définition exemples.

Vous pouvez également exécuter la commande sans fournir de fichier de définition. Dans ce cas, la gcloud CLI ouvre un éditeur et vous invite à saisir des valeurs.

Facultatif: Pour empêcher la gcloud CLI d'afficher un message de confirmation invite de commande qui indique la différence entre la vue autorisée actuelle et une fois la mise à jour validée, ajoutez l'option --no-interactive à la commande.

Java

Pour savoir comment installer et utiliser la bibliothèque cliente pour Bigtable, consultez la section Bibliothèques clientes Bigtable.

Pour vous authentifier auprès de Bigtable, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes. 

try {
  // Update to an authorized view permitting everything.
  UpdateAuthorizedViewRequest request =
      UpdateAuthorizedViewRequest.of(tableId, authorizedViewId)
          .setAuthorizedViewType(
              SubsetView.create()
                  .addRowPrefix("")
                  .setFamilySubsets(
                      COLUMN_FAMILY, FamilySubsets.create().addQualifierPrefix("")));
  AuthorizedView authorizedView = adminClient.updateAuthorizedView(request);
  System.out.printf("AuthorizedView: %s updated successfully%n", authorizedView.getId());
} catch (NotFoundException e) {
  System.err.println("Failed to modify a non-existent authorized view: " + e.getMessage());
}

Activer ou désactiver la protection contre la suppression

Pour activer la protection contre la suppression d'une vue autorisée, ajoutez --deletion-protection à la commande de mise à jour.

Pour désactiver la protection contre la suppression, ajoutez no-deletion-protection à la commande de mise à jour.

Supprimer une vue autorisée

Si vous supprimez une table, toutes ses vues autorisées sont également supprimées.

Si vous supprimez une vue autorisée, vous ne pouvez pas la restaurer. Toutefois, si vous supprimez une table, puis la rétablissez, toutes les vues autorisées de la table sont restaurées avec la table. Vous devez ensuite reconfigurer IAM pour les vues autorisées ainsi que pour les tables. Pour plus d'informations, consultez la section Annuler la suppression une table.

gcloud

Supprimez une vue autorisée à l'aide de la commande bigtable instances tables authorized-views delete.

gcloud bigtable authorized-views delete AUTHORIZED_VIEW_ID \
  --instance=INSTANCE_ID \
  --table=TABLE_ID

Remplacez les éléments suivants :

  • AUTHORIZED_VIEW_ID: identifiant permanent de la vue autorisée
  • INSTANCE_ID : identifiant permanent de l'instance.
  • TABLE_ID : identifiant permanent de la table source

Facultatif: Pour empêcher la gcloud CLI d'afficher un message de confirmation vous demandant de confirmer ou d'annuler la suppression, ajoutez le --nointeractive à la commande.

Java

Pour savoir comment installer et utiliser la bibliothèque cliente pour Bigtable, consultez la section Bibliothèques clientes Bigtable.

Pour vous authentifier auprès de Bigtable, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes. 

try {
  adminClient.deleteAuthorizedView(tableId, authorizedViewId);
  System.out.printf("AuthorizedView: %s deleted successfully%n", authorizedViewId);
} catch (NotFoundException e) {
  System.err.println("Failed to delete a non-existent authorized view: " + e.getMessage());
}

Obtenir la liste des vues autorisées pour une table

gcloud

Exécutez la commande bigtable authorized-views list :

gcloud bigtable authorized-views list \
  --instance=INSTANCE_ID \
  --table=TABLE_ID

Remplacez les éléments suivants :

  • INSTANCE_ID : identifiant permanent de l'instance.
  • TABLE_ID : identifiant permanent de la table.

Java

Pour savoir comment installer et utiliser la bibliothèque cliente pour Bigtable, consultez la section Bibliothèques clientes Bigtable.

Pour vous authentifier auprès de Bigtable, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes. 

List<String> authorizedViewIds = new ArrayList<>();
try {
  authorizedViewIds = adminClient.listAuthorizedViews(tableId);
  for (String authorizedViewId : authorizedViewIds) {
    System.out.println(authorizedViewId);
  }
} catch (NotFoundException e) {
  System.err.println(
      "Failed to list authorized views from a non-existent table: " + e.getMessage());
}

Afficher les détails d'une vue autorisée

gcloud

Pour obtenir des détails sur une vue autorisée, exécutez la commande bigtable instances tables authorized-views describe :

gcloud bigtable authorized-views describe \
–-instance=INSTANCE_ID \
–-table=TABLE_ID \
–-view=AUTHORIZED_VIEW_ID

Remplacez les éléments suivants :

  • INSTANCE_ID : identifiant permanent de l'instance.
  • TABLE_ID : identifiant permanent de la table.
  • AUTHORIZED_VIEW_ID: identifiant permanent de la vue autorisée

Java

Pour savoir comment installer et utiliser la bibliothèque cliente pour Bigtable, consultez Bibliothèques clientes Bigtable.

Pour vous authentifier auprès de Bigtable, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes. 

AuthorizedView authorizedView = null;
try {
  authorizedView = adminClient.getAuthorizedView(tableId, authorizedViewId);
  SubsetView subsetView = (SubsetView) authorizedView.getAuthorizedViewType();

  for (ByteString rowPrefix : subsetView.getRowPrefixes()) {
    System.out.printf("Row Prefix: %s%n", rowPrefix.toStringUtf8());
  }
  for (Map.Entry<String, FamilySubsets> entry : subsetView.getFamilySubsets().entrySet()) {
    for (ByteString qualifierPrefix : entry.getValue().getQualifierPrefixes()) {
      System.out.printf(
          "Column Family: %s, Qualifier Prefix: %s%n",
          entry.getKey(), qualifierPrefix.toStringUtf8());
    }
    for (ByteString qualifier : entry.getValue().getQualifiers()) {
      System.out.printf(
          "Column Family: %s, Qualifier: %s%n", entry.getKey(), qualifier.toStringUtf8());
    }
  }
} catch (NotFoundException e) {
  System.err.println(
      "Failed to retrieve metadata from a non-existent authorized view: " + e.getMessage());
}

Étape suivante