Les tags avec stratégie vous permettent de contrôler qui peut afficher les colonnes sensibles dans les tables BigQuery. Dans Data Catalog, vous pouvez ajouter ou supprimer des tags avec stratégie directement sur la page "Détails de l'entrée de table".
Avant de commencer
- Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
-
Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.
-
Activer les API Data Catalog and BigQuery.
-
Assurez-vous que vous disposez du ou des rôles suivants au niveau du projet : Data Catalog > Policy Tag Admin, BigQuery > Data Viewer
Vérifier les rôles
-
Dans la console Google Cloud, accédez à la page IAM.
Accéder à IAM - Sélectionnez le projet.
-
Dans la colonne Compte principal, recherchez la ligne qui contient votre adresse e-mail.
Si votre adresse e-mail ne figure pas dans cette colonne, cela signifie que vous n'avez aucun rôle.
- Dans la colonne Rôle de la ligne contenant votre adresse e-mail, vérifiez si la liste des rôles inclut les rôles requis.
Attribuer les rôles
-
Dans la console Google Cloud, accédez à la page IAM.
Accéder à IAM - Sélectionnez le projet.
- Cliquez sur Accorder l'accès.
- Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
- Dans la liste Sélectinoner un rôle, sélectionnez un rôle.
- Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
- Cliquez sur Enregistrer.
-
-
Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.
-
Activer les API Data Catalog and BigQuery.
-
Assurez-vous que vous disposez du ou des rôles suivants au niveau du projet : Data Catalog > Policy Tag Admin, BigQuery > Data Viewer
Vérifier les rôles
-
Dans la console Google Cloud, accédez à la page IAM.
Accéder à IAM - Sélectionnez le projet.
-
Dans la colonne Compte principal, recherchez la ligne qui contient votre adresse e-mail.
Si votre adresse e-mail ne figure pas dans cette colonne, cela signifie que vous n'avez aucun rôle.
- Dans la colonne Rôle de la ligne contenant votre adresse e-mail, vérifiez si la liste des rôles inclut les rôles requis.
Attribuer les rôles
-
Dans la console Google Cloud, accédez à la page IAM.
Accéder à IAM - Sélectionnez le projet.
- Cliquez sur Accorder l'accès.
- Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
- Dans la liste Sélectinoner un rôle, sélectionnez un rôle.
- Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
- Cliquez sur Enregistrer.
-
Rôles et autorisations
Il existe plusieurs rôles associés aux tags avec stratégie pour les utilisateurs et les comptes de service. Sur cette page, les rôles décrits sont Administrateur de tags avec stratégie Data Catalog et Lecteur détaillé.
Les utilisateurs ou les comptes de service qui administrent les tags avec stratégie doivent disposer du rôle Administrateur de tags avec stratégie Data Catalog. Ce rôle permet de gérer les taxonomies et les tags avec stratégie, et d'accorder ou de supprimer des règles LCA.
Les utilisateurs ou les comptes de service qui interrogent des données protégées par des tags avec stratégie doivent disposer du rôle Lecteur détaillé séparément pour chaque tag avec stratégie.
Pour plus d'informations sur tous les rôles associés aux tags avec stratégie, consultez la section Rôles utilisés avec la sécurité au niveau des colonnes.
Le rôle Administrateur de tags avec stratégie
Le rôle Administrateur de tags avec stratégie Data Catalog peut créer et gérer des tags avec stratégie de données.
Pour accorder le rôle Administrateur de tags avec stratégie Data Catalog, vous devez disposer des autorisations resourcemanager.projects.setIamPolicy sur le projet pour lequel vous accordez le rôle Administrateur de tags avec stratégie. Si vous ne disposez pas de l'autorisation resourcemanager.projects.setIamPolicy, demandez à un propriétaire de projet de vous l'accorder ou d'effectuer la procédure suivante.
Dans la console Google Cloud, accédez à la page IAM.
Si l'adresse e-mail de l'utilisateur auquel attribuer le rôle figure dans la liste, sélectionnez-la et cliquez sur Modifier (icône en forme de crayon). Cliquez ensuite sur Ajouter un autre rôle.
Si l'adresse e-mail de l'utilisateur ne figure pas dans la liste, cliquez sur Ajouter, puis saisissez l'adresse e-mail dans le champ Nouveaux comptes principaux.
Cliquez sur la liste déroulante Sélectionner un rôle.
Cliquez sur Data Catalog, puis sur Administrateur de tags avec stratégie.
Cliquez sur Enregistrer.
Pour plus d'informations sur ce rôle, consultez la section Rôles utilisés avec la sécurité au niveau des colonnes.
Créer une taxonomie
Utilisez Data Catalog pour créer une taxonomie et ajouter des tags avec stratégie pour vos données.
Pour les étapes suivantes, le compte utilisateur doit disposer du rôle "Administrateur de tags avec stratégie Data Catalog".
Ouvrez la page "Taxonomies" de Dataplex dans la console Google Cloud.
Cliquez sur Créer une taxonomie.
Sur la page New taxonomy (Nouvelle taxonomie) :
- Dans le champ Taxonomy name (Nom de la taxonomie), saisissez le nom de la taxonomie que vous souhaitez créer.
- Dans le champ Description, saisissez une description.
- Si nécessaire, modifiez le projet répertorié sous Project (Projet).
- Si nécessaire, modifiez l'emplacement répertorié sous Location (Emplacement).
- Sous Policy Tags (Tags avec stratégie), saisissez un nom et une description de tag avec stratégie.
- Pour ajouter un tag avec stratégie enfant à un tag avec stratégie, cliquez sur Add child policy tag (Ajouter un tag avec stratégie enfant).
Pour ajouter un tag avec stratégie au même niveau qu'un autre tag, cliquez sur l'icône +.
Ci-dessous figure la page New taxonomy (Nouvelle taxonomie) pour un exemple de taxonomie.
Continuez à ajouter des tags avec stratégie et des tags avec stratégie enfant selon les besoins de votre taxonomie.
Lorsque vous avez fini de créer des tags avec stratégie pour votre hiérarchie, cliquez sur Save (Enregistrer).
Sur la page Classification des tags avec stratégie, activez le curseur Appliquer le contrôle des accès.
Les utilisateurs qui souhaitent afficher les colonnes comportant un tag avec stratégie doivent disposer de l'ensemble complet d'autorisations sur l'ensemble de données et sur le tag avec stratégie lui-même. Pour obtenir des instructions détaillées, consultez le guide sur la sécurité au niveau des colonnes dans BigQuery.
Attribuer le rôle de lecteur détaillé
Les utilisateurs ayant besoin d'accéder aux colonnes protégées par des tags avec stratégie doivent disposer du rôle Lecteur détaillé. Ce rôle est attribué individuellement sur chaque tag avec stratégie.
Pour pouvoir effectuer les étapes suivantes, vous devez disposer des autorisations resourcemanager.projects.setIamPolicy sur le projet pour lequel vous souhaitez attribuer le rôle Lecteur détaillé. Si vous ne disposez pas
de l'autorisation resourcemanager.projects.setIamPolicy, demandez à un propriétaire de projet de
vous l'accorder ou d'effectuer la procédure suivante.
Accédez à la page Tags de règle Dataplex.
Sélectionnez la taxonomie de tags avec stratégie à laquelle vous souhaitez accorder le rôle.
Dans la section Tags avec stratégie, sélectionnez le tag avec stratégie spécifique.
Dans le volet d'informations du tag avec stratégie, cliquez sur AJOUTER UN COMPTE PRINCIPAL.
Si vous ne voyez pas le volet d'informations, cliquez sur AFFICHER LE PANNEAU D'INFORMATIONS.
Dans le volet Ajouter des comptes principaux, procédez comme suit :
- Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail de l'utilisateur auquel attribuer le rôle.
- Dans le menu Sélectionner un rôle, sélectionnez Data Catalog > Lecteur détaillé.
- Cliquez sur Enregistrer.
Ce compte utilisateur peut maintenant afficher toutes les colonnes protégées par ce tag avec stratégie.
Pour plus d'informations sur ce rôle, consultez la section Rôles utilisés avec la sécurité au niveau des colonnes.
Ajouter un tag avec stratégie à une colonne
Dans Data Catalog, vous ne pouvez associer qu'un seul tag avec stratégie à la fois. Modifiez le schéma de la table dans BigQuery si vous souhaitez associer des tags avec stratégie à plusieurs colonnes en une seule opération. Consultez Définir un tag avec stratégie sur une colonne dans BigQuery.
Ouvrez la page de recherche Dataplex et recherchez la table BigQuery à laquelle vous souhaitez associer un tag avec stratégie à une colonne.
Ouvrir la page de recherche Dataplex
Pour en savoir plus, consultez Rechercher des éléments de données.Sur la page de l'élément, sélectionnez l'onglet Tags de colonne et de schéma.
Dans la table Schéma, recherchez la ligne qui représente la colonne de la table BigQuery, puis sous Tags avec stratégie, cliquez sur +.
Dans le panneau Ajouter un tag avec stratégie, sélectionnez le tag avec stratégie que vous souhaitez appliquer à la colonne.
Au bas du panneau, cliquez sur Sélectionner. L'écran qui s'affiche devrait se présenter comme ceci :
La colonne est maintenant protégée par le tag avec stratégie. Pour permettre aux utilisateurs d'accéder à ces données, accordez-leur le rôle Lecteur détaillé sur ce tag avec stratégie. Consultez la section Rôle de lecteur détaillé.
Supprimer un tag avec stratégie d'une colonne
Ouvrez la page de recherche Dataplex et recherchez la table BigQuery dans laquelle vous souhaitez supprimer un tag avec stratégie d'une colonne.
Ouvrir la page de recherche Dataplex
Consultez Rechercher des éléments de données.Sur la page de l'élément, sélectionnez l'onglet Tags de colonne et de schéma.
Dans la table Schema (Schéma), recherchez la ligne qui représente la colonne BigQuery, puis cliquez sur X dans la cellule Policy Tags (Tags de stratégie).
