Ajouter un tag avec stratégie à une table BigQuery à l'aide de Data Catalog
Découvrez comment utiliser les tags avec stratégie dans Data Catalog pour protéger des colonnes avec des données sensibles dans des tables BigQuery:
- Créez une table BigQuery à partir d'un ensemble de données public, intitulé Chicago taxi trips.
- Protégez la colonne contenant les noms des entreprises avec un nouveau tag avec stratégie.
- Interrogez le tableau pour vérifier qu'un utilisateur ne disposant pas du rôle requis ne peut pas accéder aux données.
Avant de commencer
Configurez votre projet :
- Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
-
Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.
-
Activer les API Data Catalog and BigQuery.
-
Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.
-
Activer les API Data Catalog and BigQuery.
Ajouter un ensemble de données public à votre projet
Dans Cloud Console, accédez à la page BigQuery.
Dans la section Explorateur, cliquez sur Ajouter des données, puis sélectionnez Explorer les ensembles de données publics dans la liste déroulante.
Dans le volet Marketplace (Recherche), recherchez
Chicago taxi trips
, puis cliquez sur le résultat Chicago Taxi trips (Trajets en taxi à Chicago).Cliquez sur Afficher l'ensemble de données.
L'ensemble de données est ajouté à votre projet. L'onglet actif affiche la page d'informations publiques de l'ensemble de données chicago_taxi_trips. Il affiche des informations telles que l'ID de l'ensemble de données, l'emplacement des données ou la date de la dernière modification.
Créer un ensemble de données et une table
Créez un ensemble de données
Dans Cloud Console, ouvrez la page BigQuery.
Dans le volet Explorer (Explorateur), sélectionnez le projet dans lequel vous souhaitez créer l'ensemble de données.
Cliquez sur l'icône
Actions, puis sur Créer un ensemble de données.Sur la page Créer un ensemble de données, indiquez les informations suivantes:
- Dans le champ Dataset ID (ID de l'ensemble de données), saisissez
policy_tags_demo
. - Dans le champ Data location (Emplacement des données), sélectionnez us (plusieurs régions aux États-Unis).
- Laissez l'option Enable table expiration (Activer l'expiration de la table) décochée.
- Cliquez sur Créer un ensemble de données.
- Dans le champ Dataset ID (ID de l'ensemble de données), saisissez
Copiez une table accessible au public dans votre ensemble de données policy_tags_demo.
Dans Cloud Console, ouvrez la page BigQuery.
Dans le volet Explorer (Explorateur), recherchez l'ensemble de données
taxi_trips
.Dans les résultats de recherche, sous l'ensemble de données chicago_taxi_trips, cliquez sur la table taxi_trips.
Dans l'onglet "Détails du tableau", cliquez sur Copier.
Dans le volet Copy table (Copier la table), renseignez les informations suivantes:
- Dans le champ Nom du projet, cliquez sur Parcourir et sélectionnez votre projet.
- Dans la liste déroulante Nom de l'ensemble de données, sélectionnez
policy_tags_demo
. - Dans le champ Nom de la table, saisissez
my_taxi_trips_copy
, puis cliquez sur Copier.
Dans le volet Explorer (Explorateur), vérifiez que la table
my_taxi_trips_copy
figure bien dans l'ensemble de données policy_tags_demo.
Interroger la table pour vérifier la visibilité des résultats
Votre nouvelle table n'est pas associée à des tags avec stratégie. Vous pouvez donc consulter toutes les données qu'elle contient. Découvrez quel est le taxi le plus populaire:
Dans Cloud Console, ouvrez la page BigQuery.
Cliquez sur Saisir une nouvelle requête.
Dans la zone Query editor (Éditeur de requête), saisissez le code suivant:
SELECT company, COUNT(*) AS number_of_trips FROM `PROJECT_ID.policy_tags_demo.my_taxi_trips_copy` GROUP BY company
Remplacez
PROJECT_ID
par l'identifiant de votre projet. Pour savoir comment trouver votre ID de projet, consultez Identifier des projets.Cliquez sur Exécuter.
Les résultats de la requête s'affichent dans un nouveau volet. Il semble que la cabane jaune a remporté la victoire !
Dans les sections suivantes, vous allez créer un tag avec stratégie et l'associer à la colonne company pour restreindre l'accès à cette colonne.
Créer une taxonomie et un tag avec stratégie
Les taxonomies sont des unités organisationnelles utilisées pour regrouper et gérer les tags avec stratégie. Un tag avec stratégie ne peut exister que dans une taxonomie. Créer une taxonomie:
Ouvrez la page "Taxonomies Data Catalog" dans Cloud Console.
Cliquez sur Créer une taxonomie.
Sur la page New taxonomy (Nouvelle taxonomie) :
- Dans le champ Taxonomy name (Nom de la taxonomie), saisissez
Taxi trips policy tags
. - Dans le champ Description, saisissez
Demo taxonomy for the policy tags Quickstart
Sous Tags avec stratégie, saisissez les informations suivantes:
- Pour le champ Nom :
Sensitive taxi data
- Pour le champ Description :
Taxi company name
- Pour le champ Nom :
Cliquez sur Enregistrer.
Sur la page Classification des tags avec stratégie, activez le curseur Appliquer le contrôle des accès.
- Dans le champ Taxonomy name (Nom de la taxonomie), saisissez
Ajouter votre nouveau tag avec stratégie dans la colonne "Company"
Ouvrez la page d'accueil de Data Catalog.
Dans le champ de recherche, saisissez
my_taxi_trips_copy
, puis sélectionnez votre tableau dans la liste des résultats.Faites défiler la page des éléments jusqu'à la section Schema (Schéma).
Dans la table Schema (Schéma), recherchez la ligne company, et sous Policy Tags (Tags de la règle), cliquez sur +.
Dans le volet Ajouter un tag avec stratégie, développez la taxonomie de tags de règle pour les trajets en taxi, puis sélectionnez le tag Données sensibles relatives aux taxis.
Au bas du volet, cliquez sur Sélectionner.
La colonne entreprise de votre tableau est à présent protégée. Les utilisateurs ne disposant pas du rôle Lecteur détaillé Data Catalog ne peuvent pas le voir dans les résultats de requête.
Même si vous avez créé le tag avec stratégie, votre compte utilisateur n'est pas automatiquement ajouté à la liste des lecteurs précis. Vous ne pouvez donc pas voir cette colonne lorsque vous interrogez le tableau. Passez à la section suivante pour le valider .
Interroger la table pour vérifier que les résultats sont masqués
Dans Cloud Console, ouvrez la page BigQuery.
Cliquez sur Saisir une nouvelle requête.
Dans la zone Query editor (Éditeur de requête), saisissez le code suivant:
SELECT company, COUNT(*) AS number_of_trips FROM `PROJECT_ID.policy_tags_demo.my_taxi_trips_copy` GROUP BY company
Remplacez
PROJECT_ID
par l'identifiant de votre projet. Pour savoir comment trouver votre ID de projet, consultez Identifier des projets.Cliquez sur Exécuter.
Étant donné que la colonne est protégée par un tag avec stratégie, l'onglet "Résultats" affiche une erreur "Accès refusé" concernant les autorisations insuffisantes.
Ajouter le rôle Lecteur détaillé pour afficher la colonne protégée
Attribuez à votre compte le rôle Lecteur détaillé sur la balise avec stratégie Données sensibles relatives aux taxis.
Accédez à la page Data Catalog > Tags avec stratégie.
Cliquez sur Tags pour les règles applicables aux trajets en taxi.
Dans la section Tags avec stratégie, sélectionnez le tag avec stratégie Données sensibles relatives aux taxis.
Dans le volet d'informations Données sensibles pour les taxis, cliquez sur Ajouter un compte principal.
Si le panneau d'informations ne s'affiche pas, cliquez sur Afficher le panneau d'informations.
Dans le volet Add principals (Ajouter des comptes principaux) :
- Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
- Dans le menu Select a role (Sélectionner un rôle), sélectionnez Data Catalog > Fine-Grained Reader (Lecteur détaillé).
- Cliquez sur Enregistrer.
Vous avez désormais accès à la colonne entreprise portant le tag Données sensibles sur les taxis. Interrogez de nouveau la table pour voir si elle fonctionne.
Effectuer un nettoyage
Pour éviter que les ressources utilisées sur cette page ne soient facturées sur votre compte Google Cloud, procédez comme suit :
Supprimer le projet
Le moyen le plus simple d'empêcher la facturation est de supprimer le projet que vous avez créé pour ce tutoriel.
Pour supprimer le projet :
- Dans Cloud Console, accédez à la page Gérer les ressources :
- Dans la liste des projets, sélectionnez le projet que vous souhaitez supprimer, puis cliquez sur Supprimer.
- Dans la boîte de dialogue, saisissez l'ID du projet, puis cliquez sur Arrêter pour supprimer le projet.
Supprimer l'ensemble de données
Accédez à la page BigQuery.
Dans le volet Explorer (Explorateur), recherchez l'ensemble de données
policy_tags_demo
que vous avez créé.Cliquez sur l'option
Actions, puis sur Supprimer l'ensemble de données.Confirmez votre action de suppression.
Supprimer la taxonomie de tags avec stratégie
Accédez à la page Data Catalog > Tags avec stratégie.
Cliquez sur Tags pour les règles applicables aux trajets en taxi.
Sur la page Classification des tags avec stratégie, cliquez sur Supprimer la taxonomie de tags avec stratégie.
Confirmez votre action de suppression.
Étapes suivantes
Consultez le guide de sécurité au niveau des colonnes de BigQuery pour une présentation détaillée des tags avec stratégie.