Ajouter un tag avec stratégie à une table BigQuery

Ajouter un tag avec stratégie à une table BigQuery à l'aide de Data Catalog

Découvrez comment utiliser les tags avec stratégie dans Data Catalog pour protéger les colonnes contenant des données sensibles dans les tables BigQuery:

  1. Créez une table BigQuery à partir d'un ensemble de données public intitulé Trajets en taxi à Chicago.
  2. Protégez la colonne contenant le nom des entreprises à l'aide d'un nouveau tag avec stratégie.
  3. Interrogez la table pour vérifier qu'un utilisateur ne disposant pas du rôle requis ne peut pas accéder aux données.

Avant de commencer

Configurez votre projet :

  1. Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
  2. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  3. Activer les API Data Catalog and BigQuery.

    Activer les API

  4. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  5. Activer les API Data Catalog and BigQuery.

    Activer les API

Ajouter un ensemble de données public à votre projet

  1. Dans la console Google Cloud, accédez à la page BigQuery.

    Accéder à BigQuery

  2. Dans la section Explorateur, cliquez sur Ajouter des données, puis sélectionnez Explorer les ensembles de données publics dans la liste déroulante.

  3. Dans le volet Place de marché, recherchez Chicago taxi trips, puis cliquez sur le résultat Voyages en taxi à Chicago

  4. Cliquez sur Afficher l'ensemble de données.

L'ensemble de données est ajouté à votre projet. L'onglet actif affiche la page d'informations publiques de l'ensemble de données chicago_taxi_trips. Il affiche des détails tels que l'ID de l'ensemble de données, l'emplacement des données ou la date de dernière modification.

Créer un ensemble de données et une table

  1. Créez un ensemble de données.

    1. Dans Google Cloud Console, ouvrez la page "BigQuery".

      Accéder à BigQuery

    2. Dans le volet Explorateur, sélectionnez le projet dans lequel vous souhaitez créer l'ensemble de données.

    3. Cliquez sur l'icône Actions, puis sur Créer un ensemble de données.

    4. Sur la page Créer un ensemble de données, renseignez les informations suivantes:

      • Dans le champ ID de l'ensemble de données, saisissez: policy_tags_demo
      • Dans le champ Emplacement des données, sélectionnez us (plusieurs régions aux États-Unis).
      • Ne cochez pas la case Activer l'expiration de la table.
      • Cliquez sur Créer un ensemble de données.
  2. Copiez une table accessible au public dans votre ensemble de données policy_tags_demo.

    1. Dans Google Cloud Console, ouvrez la page "BigQuery".

      Accéder à BigQuery

    2. Dans le volet Explorateur, recherchez l'ensemble de données taxi_trips.

    3. Dans les résultats de recherche, sous l'ensemble de données chicago_taxi_trips, cliquez sur la table taxi_trips.

    4. Dans l'onglet "Détails de la table", cliquez sur Copier.

    5. Dans le volet Copy table (Copier la table), renseignez les informations suivantes:

      1. Dans le champ Nom du projet, cliquez sur Parcourir, puis sélectionnez votre projet.
      2. Dans la liste déroulante Nom de l'ensemble de données, sélectionnez policy_tags_demo.
      3. Dans le champ Nom de la table, saisissez my_taxi_trips_copy, puis cliquez sur Copier.
    6. Dans le volet Explorateur, vérifiez que la table my_taxi_trips_copy est répertoriée sous l'ensemble de données policy_tags_demo.

Interroger la table pour vérifier la visibilité des résultats

Votre nouvelle table ne comporte aucun tag avec stratégie. Vous pouvez donc afficher toutes les données qu'elle contient. Découvrez quelle compagnie de taxis est la plus populaire:

  1. Dans Google Cloud Console, ouvrez la page "BigQuery".

    Accéder à BigQuery

  2. Cliquez sur Saisir une nouvelle requête.

    Saisir une nouvelle requête

  3. Dans la zone Éditeur de requête, saisissez les informations suivantes:

      SELECT company, COUNT(*) AS number_of_trips
      FROM `PROJECT_ID.policy_tags_demo.my_taxi_trips_copy` GROUP BY company
    

    Remplacez PROJECT_ID par l'identifiant de votre projet. Pour savoir comment trouver votre ID de projet, consultez Identifier des projets.

  4. Cliquez sur Exécuter.

    Un nouveau volet s'ouvre et affiche les résultats de la requête. On dirait que Yellow Cab a gagné !

    Dans les sections suivantes, vous allez créer un tag avec stratégie et l'associer à la colonne company pour restreindre l'accès à la colonne.

Créer une taxonomie et un tag avec stratégie

Les taxonomies sont des unités organisationnelles utilisées pour regrouper et gérer les tags avec stratégie. Un tag avec stratégie ne peut exister que dans une taxonomie. Créez une taxonomie:

  1. Ouvrez la page "Taxonomies" de Dataplex dans la console Google Cloud.

    Ouvrir la page "Taxonomies"

  2. Cliquez sur Créer une taxonomie.

  3. Sur la page Nouvelle taxonomie :

    1. Dans le champ Taxonomy name (Nom de la taxonomie), saisissez : Taxi trips policy tags
    2. Dans le champ Description, saisissez Demo taxonomy for the policy tags Quickstart.
    3. Sous Policy Tags (Tags avec stratégie), saisissez:

      1. Pour le champ Nom : Sensitive taxi data
      2. Pour le champ Description : Taxi company name
    4. Cliquez sur Créer.

    5. Sur la page Taxonomie des tags avec stratégie, activez le curseur Appliquer le contrôle des accès.

Ajouter votre nouveau tag avec stratégie à la colonne "Company" (Entreprise)

  1. Ouvrez la page de recherche Dataplex.

    Ouvrir la page de recherche Dataplex

  2. Dans le champ Rechercher, saisissez my_taxi_trips_copy et sélectionnez votre table dans la liste des résultats.

  3. Sur la page de l'élément, sélectionnez l'onglet Schéma et colonne.

  4. Dans le tableau Schema (Schéma), recherchez la ligne company. Ensuite, sous Policy Tags (Tags avec stratégie), cliquez sur +.

  5. Dans le volet Ajouter un tag avec stratégie, développez la taxonomie de tags de la stratégie de courses en taxi, puis sélectionnez le tag Données de taxi sensibles.

  6. En bas du volet, cliquez sur Sélectionner.

La colonne Entreprise de votre tableau est maintenant protégée. Les utilisateurs ne disposant pas du rôle Lecteur détaillé Data Catalog ne peuvent pas le voir dans les résultats de requête.

Même si vous avez créé le tag avec stratégie, votre compte utilisateur n'est pas automatiquement ajouté à la liste des lecteurs détaillés. Vous ne pouvez donc pas voir cette colonne lorsque vous interrogez la table. Passez à la section suivante pour valider .

Interroger la table pour vérifier que les résultats sont masqués

  1. Dans Google Cloud Console, ouvrez la page "BigQuery".

    Accéder à BigQuery

  2. Cliquez sur Saisir une nouvelle requête.

    Saisir une nouvelle requête

  3. Dans la zone Éditeur de requête, saisissez les informations suivantes:

      SELECT company, COUNT(*) AS number_of_trips
      FROM `PROJECT_ID.policy_tags_demo.my_taxi_trips_copy` GROUP BY company
    

    Remplacez PROJECT_ID par l'identifiant de votre projet. Pour savoir comment trouver votre ID de projet, consultez Identifier des projets.

  4. Cliquez sur Exécuter.

    La colonne étant protégée par un tag avec stratégie, l'onglet "Résultats" affiche une erreur Accès refusé concernant les autorisations insuffisantes.

Ajoutez le rôle Lecteur détaillé pour afficher la colonne protégée.

Accordez à votre compte le rôle Lecteur détaillé pour le tag avec stratégie Données de taxi sensibles.

  1. Accédez à la page Dataplex > Tags avec stratégie.

    Accéder aux tags avec stratégie Dataplex

  2. Cliquez sur Tags des règles des trajets en taxi.

  3. Dans la section Tags avec stratégie, sélectionnez le tag avec stratégie Données de taxi sensibles.

  4. Dans le volet d'informations Données de taxi sensibles, cliquez sur Ajouter un compte principal.

    Si vous ne voyez pas le volet d'informations, cliquez sur Afficher le panneau d'informations.

  5. Dans le volet Ajouter des comptes principaux, procédez comme suit :

    1. Dans la zone Nouveaux comptes principaux, saisissez votre adresse e-mail.
    2. Dans le menu Sélectionner un rôle, sélectionnez Data Catalog > Lecteur détaillé.
    3. Cliquez sur Enregistrer.

Vous avez désormais accès à la colonne company taguée avec le tag avec stratégie Sensitive taxi data. Interrogez à nouveau la table pour voir si elle fonctionne.

Effectuer un nettoyage

Afin d'éviter que des frais ne soient facturés sur votre compte Google Cloud pour les ressources utilisées sur cette page, procédez comme suit :

Supprimer le projet

Le moyen le plus simple d'empêcher la facturation est de supprimer le projet que vous avez créé pour ce tutoriel.

Pour supprimer le projet :

  1. Dans la console Google Cloud, accédez à la page Gérer les ressources.

    Accéder à la page Gérer les ressources

  2. Dans la liste des projets, sélectionnez le projet que vous souhaitez supprimer, puis cliquez sur Supprimer.
  3. Dans la boîte de dialogue, saisissez l'ID du projet, puis cliquez sur Arrêter pour supprimer le projet.

Supprimer l'ensemble de données

  1. Accédez à la page BigQuery.

    Accéder à BigQuery

  2. Dans le volet Explorateur, recherchez l'ensemble de données policy_tags_demo que vous avez créé.

  3. Cliquez sur l'option Actions, puis sur Supprimer l'ensemble de données.

  4. Confirmez l'action de suppression.

Supprimer la taxonomie de tags avec stratégie

  1. Accédez à la page Data Catalog > Tags avec stratégie.

    Accéder aux tags avec stratégie Data Catalog

  2. Cliquez sur Tags des règles des trajets en taxi.

  3. Sur la page Classification des tags avec stratégie, cliquez sur Supprimer la taxonomie de tags avec stratégie.

  4. Confirmez l'action de suppression.

Étapes suivantes

Consultez le guide de sécurité au niveau des colonnes de BigQuery pour obtenir une présentation détaillée des tags avec stratégie.