Ajouter un tag avec stratégie à une table BigQuery

Ajouter un tag avec stratégie à une table BigQuery à l'aide de Data Catalog

Découvrez comment utiliser les tags avec stratégie dans Data Catalog pour protéger des colonnes avec des données sensibles dans des tables BigQuery:

Créez une table BigQuery à partir d'un ensemble de données public, intitulé Chicago taxi trips.
Protégez la colonne contenant les noms des entreprises avec un nouveau tag avec stratégie.
Interrogez le tableau pour vérifier qu'un utilisateur ne disposant pas du rôle requis ne peut pas accéder aux données.

Avant de commencer

Configurez votre projet :

Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

Accéder au sélecteur de projet

Activer les API Data Catalog and BigQuery.

Activer les API

Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

Accéder au sélecteur de projet

Activer les API Data Catalog and BigQuery.

Activer les API

Ajouter un ensemble de données public à votre projet

Dans Cloud Console, accédez à la page BigQuery.

Accéder à BigQuery
Dans la section Explorateur, cliquez sur Ajouter des données, puis sélectionnez Explorer les ensembles de données publics dans la liste déroulante.
Dans le volet Marketplace (Recherche), recherchez Chicago taxi trips, puis cliquez sur le résultat Chicago Taxi trips (Trajets en taxi à Chicago).
Cliquez sur Afficher l'ensemble de données.

L'ensemble de données est ajouté à votre projet. L'onglet actif affiche la page d'informations publiques de l'ensemble de données chicago_taxi_trips. Il affiche des informations telles que l'ID de l'ensemble de données, l'emplacement des données ou la date de la dernière modification.

Créer un ensemble de données et une table

Créez un ensemble de données
1. Dans Cloud Console, ouvrez la page BigQuery.
  
  Accéder à BigQuery
2. Dans le volet Explorer (Explorateur), sélectionnez le projet dans lequel vous souhaitez créer l'ensemble de données.
3. Cliquez sur l'icône Actions, puis sur Créer un ensemble de données.
4. Sur la page Créer un ensemble de données, indiquez les informations suivantes:
  - Dans le champ Dataset ID (ID de l'ensemble de données), saisissez policy_tags_demo.
  - Dans le champ Data location (Emplacement des données), sélectionnez us (plusieurs régions aux États-Unis).
  - Laissez l'option Enable table expiration (Activer l'expiration de la table) décochée.
  - Cliquez sur Créer un ensemble de données.
Copiez une table accessible au public dans votre ensemble de données policy_tags_demo.
1. Dans Cloud Console, ouvrez la page BigQuery.
  
  Accéder à BigQuery
2. Dans le volet Explorer (Explorateur), recherchez l'ensemble de données taxi_trips.
3. Dans les résultats de recherche, sous l'ensemble de données chicago_taxi_trips, cliquez sur la table taxi_trips.
4. Dans l'onglet "Détails du tableau", cliquez sur Copier.
5. Dans le volet Copy table (Copier la table), renseignez les informations suivantes:
  1. Dans le champ Nom du projet, cliquez sur Parcourir et sélectionnez votre projet.
  2. Dans la liste déroulante Nom de l'ensemble de données, sélectionnez policy_tags_demo.
  3. Dans le champ Nom de la table, saisissez my_taxi_trips_copy, puis cliquez sur Copier.
6. Dans le volet Explorer (Explorateur), vérifiez que la table my_taxi_trips_copy figure bien dans l'ensemble de données policy_tags_demo.

Interroger la table pour vérifier la visibilité des résultats

Votre nouvelle table n'est pas associée à des tags avec stratégie. Vous pouvez donc consulter toutes les données qu'elle contient. Découvrez quel est le taxi le plus populaire:

Dans Cloud Console, ouvrez la page BigQuery.

Accéder à BigQuery
Cliquez sur Saisir une nouvelle requête.
Dans la zone Query editor (Éditeur de requête), saisissez le code suivant:
```
  SELECT company, COUNT(*) AS number_of_trips
  FROM `PROJECT_ID.policy_tags_demo.my_taxi_trips_copy` GROUP BY company
```
Remplacez PROJECT_ID par l'identifiant de votre projet. Pour savoir comment trouver votre ID de projet, consultez Identifier des projets.
Cliquez sur Exécuter.

Les résultats de la requête s'affichent dans un nouveau volet. Il semble que la cabane jaune a remporté la victoire !

Dans les sections suivantes, vous allez créer un tag avec stratégie et l'associer à la colonne company pour restreindre l'accès à cette colonne.

Créer une taxonomie et un tag avec stratégie

Les taxonomies sont des unités organisationnelles utilisées pour regrouper et gérer les tags avec stratégie. Un tag avec stratégie ne peut exister que dans une taxonomie. Créer une taxonomie:

Ouvrez la page "Taxonomies Data Catalog" dans Cloud Console.
Ouvrir la page "Taxonomies"
Cliquez sur Créer une taxonomie.
Sur la page New taxonomy (Nouvelle taxonomie) :
1. Dans le champ Taxonomy name (Nom de la taxonomie), saisissez Taxi trips policy tags.
2. Dans le champ Description, saisissez Demo taxonomy for the policy tags Quickstart
3. Sous Tags avec stratégie, saisissez les informations suivantes:
  1. Pour le champ Nom : Sensitive taxi data
  2. Pour le champ Description : Taxi company name
4. Cliquez sur Enregistrer.
5. Sur la page Classification des tags avec stratégie, activez le curseur Appliquer le contrôle des accès.
  
  Remarque : L'application du contrôle des accès peut prendre jusqu'à 30 minutes.

Ajouter votre nouveau tag avec stratégie dans la colonne "Company"

Ouvrez la page d'accueil de Data Catalog.
Ouvrir la page d'accueil de Data Catalog
Dans le champ de recherche, saisissez my_taxi_trips_copy, puis sélectionnez votre tableau dans la liste des résultats.
Faites défiler la page des éléments jusqu'à la section Schema (Schéma).
Dans la table Schema (Schéma), recherchez la ligne company, et sous Policy Tags (Tags de la règle), cliquez sur +.
Dans le volet Ajouter un tag avec stratégie, développez la taxonomie de tags de règle pour les trajets en taxi, puis sélectionnez le tag Données sensibles relatives aux taxis.
Au bas du volet, cliquez sur Sélectionner.

La colonne entreprise de votre tableau est à présent protégée. Les utilisateurs ne disposant pas du rôle Lecteur détaillé Data Catalog ne peuvent pas le voir dans les résultats de requête.

Même si vous avez créé le tag avec stratégie, votre compte utilisateur n'est pas automatiquement ajouté à la liste des lecteurs précis. Vous ne pouvez donc pas voir cette colonne lorsque vous interrogez le tableau. Passez à la section suivante pour le valider .

Interroger la table pour vérifier que les résultats sont masqués

Dans Cloud Console, ouvrez la page BigQuery.

Accéder à BigQuery
Cliquez sur Saisir une nouvelle requête.
Dans la zone Query editor (Éditeur de requête), saisissez le code suivant:
```
  SELECT company, COUNT(*) AS number_of_trips
  FROM `PROJECT_ID.policy_tags_demo.my_taxi_trips_copy` GROUP BY company
```
Remplacez PROJECT_ID par l'identifiant de votre projet. Pour savoir comment trouver votre ID de projet, consultez Identifier des projets.
Cliquez sur Exécuter.

Étant donné que la colonne est protégée par un tag avec stratégie, l'onglet "Résultats" affiche une erreur "Accès refusé" concernant les autorisations insuffisantes.

Ajouter le rôle Lecteur détaillé pour afficher la colonne protégée

Attribuez à votre compte le rôle Lecteur détaillé sur la balise avec stratégie Données sensibles relatives aux taxis.

Accédez à la page Data Catalog > Tags avec stratégie.

Accéder aux tags avec stratégie Data Catalog
Cliquez sur Tags pour les règles applicables aux trajets en taxi.
Dans la section Tags avec stratégie, sélectionnez le tag avec stratégie Données sensibles relatives aux taxis.
Dans le volet d'informations Données sensibles pour les taxis, cliquez sur Ajouter un compte principal.

Si le panneau d'informations ne s'affiche pas, cliquez sur Afficher le panneau d'informations.
Dans le volet Add principals (Ajouter des comptes principaux) :
1. Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
2. Dans le menu Select a role (Sélectionner un rôle), sélectionnez Data Catalog > Fine-Grained Reader (Lecteur détaillé).
3. Cliquez sur Enregistrer.

Vous avez désormais accès à la colonne entreprise portant le tag Données sensibles sur les taxis. Interrogez de nouveau la table pour voir si elle fonctionne.

Effectuer un nettoyage

Pour éviter que les ressources utilisées sur cette page ne soient facturées sur votre compte Google Cloud, procédez comme suit :

Supprimer le projet

Le moyen le plus simple d'empêcher la facturation est de supprimer le projet que vous avez créé pour ce tutoriel.

Pour supprimer le projet :

Attention : La suppression d'un projet aura les effets suivants :

Tout le contenu du projet est supprimé. Si vous avez utilisé un projet existant pour ce tutoriel et que vous le supprimez, vous supprimerez également tout autre travail effectué dans le projet.
Les ID de projets personnalisés sont perdus. Lorsque vous avez créé ce projet, vous avez peut-être créé un ID de projet personnalisé que vous souhaitez utiliser à l'avenir. Pour conserver les URL qui utilisent l'ID de projet, telle qu'une URL appspot.com, supprimez les ressources sélectionnées dans le projet au lieu de supprimer l'ensemble du projet.

Si vous envisagez d'explorer plusieurs tutoriels et guides de démarrage rapide, vous pouvez constater que réutiliser des projets peut vous aider à éviter de dépasser les limites de quotas des projets.

Dans Cloud Console, accédez à la page Gérer les ressources :
Accéder à la page Gérer les ressources
Dans la liste des projets, sélectionnez le projet que vous souhaitez supprimer, puis cliquez sur Supprimer.
Dans la boîte de dialogue, saisissez l'ID du projet, puis cliquez sur Arrêter pour supprimer le projet.

Supprimer l'ensemble de données

Accédez à la page BigQuery.

Accéder à BigQuery
Dans le volet Explorer (Explorateur), recherchez l'ensemble de données policy_tags_demo que vous avez créé.
Cliquez sur l'option Actions, puis sur Supprimer l'ensemble de données.
Confirmez votre action de suppression.

Supprimer la taxonomie de tags avec stratégie

Accédez à la page Data Catalog > Tags avec stratégie.

Accéder aux tags avec stratégie Data Catalog
Cliquez sur Tags pour les règles applicables aux trajets en taxi.
Sur la page Classification des tags avec stratégie, cliquez sur Supprimer la taxonomie de tags avec stratégie.
Confirmez votre action de suppression.

Étapes suivantes

Consultez le guide de sécurité au niveau des colonnes de BigQuery pour une présentation détaillée des tags avec stratégie.