Use tags de política para controlar o acesso às colunas no BigQuery

As tags de política permitem controlar quem pode ver as colunas confidenciais nas tabelas do BigQuery. No Data Catalog, é possível adicionar ou remover tags de política de colunas diretamente na página de detalhes da entrada da tabela.

Antes de começar

  1. Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

  2. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  3. Ative as APIs Data Catalog and BigQuery.

    Ative as APIs

  4. Verifique se você tem os seguintes papéis no projeto: Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

    Verificar os papéis

    1. No console do Google Cloud, abra a página IAM.

      Acessar IAM
    2. Selecionar um projeto.

    3. Na coluna Principal, encontre a linha que contém seu endereço de e-mail.

      Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.

    4. Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.

    Conceder os papéis

    1. No console do Google Cloud, abra a página IAM.

      Acesse o IAM
    2. Selecionar um projeto.
    3. Clique em CONCEDER ACESSO.
    4. No campo Novos participantes, digite seu endereço de e-mail.
    5. Na lista Selecionar um papel, escolha um.
    6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
    7. Clique em Save.

  5. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  6. Ative as APIs Data Catalog and BigQuery.

    Ative as APIs

  7. Verifique se você tem os seguintes papéis no projeto: Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

    Verificar os papéis

    1. No console do Google Cloud, abra a página IAM.

      Acessar IAM
    2. Selecionar um projeto.

    3. Na coluna Principal, encontre a linha que contém seu endereço de e-mail.

      Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.

    4. Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.

    Conceder os papéis

    1. No console do Google Cloud, abra a página IAM.

      Acesse o IAM
    2. Selecionar um projeto.
    3. Clique em CONCEDER ACESSO.
    4. No campo Novos participantes, digite seu endereço de e-mail.
    5. Na lista Selecionar um papel, escolha um.
    6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
    7. Clique em Save.

Papéis e permissões

Há vários papéis relacionados a tags de política para usuários e contas de serviço. Nesta página, os papéis discutidos são Administrador de tags de política do Data Catalog e Leitor refinado.

  • Os usuários ou as contas de serviço que administram as tags de política precisam ter o papel Administrador das tags de política do Data Catalog. Esse papel pode gerenciar taxonomias e tags de política, além de conceder ou remover políticas de ACL.

  • Contas de serviço ou usuários que consultam dados protegidos com tags de política precisam ter o papel Leitor refinado adicionado separadamente para cada tag de política.

Para mais informações sobre todos os papéis relacionados à tag de política, consulte Papéis usados com a segurança no nível da coluna.

Papel Administrador de tags de política

O papel Administrador de tags de política do Data Catalog pode criar e gerenciar tags de política de dados.

Para conceder o papel Administrador de tags de política do Data Catalog, é preciso ter permissões resourcemanager.projects.setIamPolicy no projeto a que você quer conceder o Administrador de tags de política. }. Se você não tiver a permissão resourcemanager.projects.setIamPolicy, peça que um proprietário do projeto conceda a você a permissão ou execute as etapas a seguir para você.

  1. No console do Google Cloud, abra a página IAM.

    Abrir a página do IAM

  2. Se o endereço de e-mail do usuário a quem o papel será concedido estiver na lista, selecione o endereço de e-mail e clique em Editar (o ícone de lápis). Em seguida, clique em Adicionar outro papel.

    Se o endereço de e-mail do usuário não estiver na lista, clique em Adicionar e digite o endereço de e-mail na caixa Novos principais.

  3. Clique na lista suspensa Selecionar um papel.

  4. Clique em Data Catalog e em Administrador de tags de política.

  5. Clique em Save.

Para mais informações sobre esse papel, consulte Papéis usados com segurança no nível da coluna.

Criar uma taxonomia

Use o Data Catalog para criar uma taxonomia e adicionar tags de política aos seus dados.

A conta de usuário para as etapas a seguir é necessária para ter o papel de administrador de tags de política do Data Catalog.

  1. Abra a página de taxonomias do Dataplex no Console do Google Cloud.

    Abrir a página Taxonomias

  2. Clique em Criar taxonomia.

  3. Na página Nova taxonomia:

    1. Em Nome da taxonomia, insira o nome da taxonomia que você quer criar.
    2. Em Descrição, insira uma descrição.
    3. Se necessário, altere o projeto listado em Projeto.
    4. Se necessário, altere o local listado em Local.
    5. Em Tags de política, insira o nome e a descrição da tag de política.
    6. Para adicionar uma tag de política filha a uma tag de política, clique em Adicionar tag de política filha.

    7. Para adicionar uma nova tag de política no mesmo nível de outra tag de política, clique no ícone +.

      Veja a seguir a página Nova taxonomia de um exemplo de taxonomia.

      Criar página de taxonomia.

    8. Continue adicionando tags de política e tags de política filha conforme necessário para sua taxonomia.

    9. Quando terminar de criar tags de política para sua hierarquia, clique em Salvar.

    10. Na página taxonomia da tag de política, ative o controle deslizante Aplicar controle de acesso.

Os usuários que querem ver as colunas marcadas com uma tag de política precisam do conjunto completo de permissões no conjunto de dados e da própria tag de política. Consulte o guia de segurança no nível da coluna do BigQuery para ver um tutorial detalhado.

Conceder o papel de leitor de controle refinado

Os usuários que precisam de acesso às colunas protegidas com tags de política precisam do papel Leitor refinado. Esse papel é atribuído individualmente em cada tag de política.

Antes de executar as etapas a seguir, é necessário ter permissões resourcemanager.projects.setIamPolicy no projeto em que você quer conceder o papel Leitor de controle. Se você não tiver a permissão resourcemanager.projects.setIamPolicy, peça ao proprietário do projeto que conceda a permissão ou execute as etapas a seguir para você.

  1. Acesse a página Tags do Dataplex > Tags de política.

    Acessar tags de política do Dataplex

  2. Selecione a taxonomia em que você quer conceder o papel.

  3. Na seção Tags de política, selecione a tag de política específica.

  4. No painel de informações da tag de política, clique em ADICIONAR PRINCIPAL.

    Caso você não veja o painel de informações, clique em MOSTRAR PAINEL DE INFORMAÇÕES.

  5. No painel Adicionar participantes:

    1. Na caixa Novos participantes, digite o endereço de e-mail do usuário para conceder o papel.
    2. No menu Selecionar uma função, selecione Data Catalog > Leitor de controle refinado.
    3. Clique em Save.

Essa conta de usuário agora pode ver todas as colunas protegidas por essa tag de política específica.

Para mais informações sobre esse papel, consulte Papéis usados com segurança no nível da coluna.

Adicionar uma tag de política a uma coluna

No Data Catalog, só é possível anexar uma tag de política a uma coluna por vez. Edite o esquema da tabela no BigQuery se quiser anexar tags de política a várias colunas em uma única operação. Consulte Definir uma tag de política em uma coluna no BigQuery.

  1. Abra a página de pesquisa do Dataplex e encontre a tabela do BigQuery a que você quer anexar uma tag de política a uma coluna.

    Abrir a página de pesquisa do Dataplex

    Para mais informações, consulte o artigo Como pesquisar recursos de dados.

  2. Na página de recursos, selecione a guia Tags de coluna e esquema.

  3. Na tabela Esquema, encontre a linha que representa a coluna da tabela do BigQuery e, em Tags de política, clique em +.

  4. No painel Adicionar uma tag de política, selecione a tag de política que você quer aplicar à coluna.

  5. Na parte inferior do painel, clique em Selecionar. A tela deve ser semelhante a esta:

    Tag de política anexada no Data Catalog.

A coluna agora está protegida pela tag de política. Para permitir que os usuários acessem esses dados, conceda a eles o papel Leitor refinado nesta tag de política. Consulte O papel de leitor de controle refinado.

Limpar uma tag de política de uma coluna

  1. Abra a página de pesquisa do Dataplex e encontre a tabela do BigQuery em que você quer limpar uma tag de política de uma coluna.

    Abrir a página de pesquisa do Dataplex

    Consulte Como pesquisar recursos de dados.

  2. Na página de recursos, selecione a guia Tags de coluna e esquema.

  3. Na tabela Esquema, encontre a linha que representa a coluna do BigQuery e, na célula Tags de política, clique em X.

    Limpar tag de política.