Spaltenzugriff in BigQuery mit Richtlinien-Tags steuern

Mit Richtlinien-Tags können Sie steuern, wer sensible Spalten in BigQuery-Tabellen ansehen kann. In Data Catalog können Sie Spalten direkt auf der Seite mit den Details zum Tabelleneintrag hinzufügen oder entfernen.

Hinweis

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
  2. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Data Catalog and BigQuery APIs aktivieren.

    Aktivieren Sie die APIs

  4. Prüfen Sie, ob Sie die folgenden Rollen für das Projekt haben: Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

    Auf Rollen prüfen

    1. Rufen Sie in der Cloud Console die Seite IAM auf.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Suchen Sie nach der Zeile mit Ihrer E-Mail-Adresse in der Spalte Hauptkonto.

      Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.

    4. Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.

    Rollen zuweisen

    1. Rufen Sie in der Cloud Console die Seite IAM auf.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Klicken Sie auf Hinzufügen.
    4. Geben Sie im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
    5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
    6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
    7. Klicken Sie auf Speichern.
  5. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  6. Data Catalog and BigQuery APIs aktivieren.

    Aktivieren Sie die APIs

  7. Prüfen Sie, ob Sie die folgenden Rollen für das Projekt haben: Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

    Auf Rollen prüfen

    1. Rufen Sie in der Cloud Console die Seite IAM auf.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Suchen Sie nach der Zeile mit Ihrer E-Mail-Adresse in der Spalte Hauptkonto.

      Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.

    4. Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.

    Rollen zuweisen

    1. Rufen Sie in der Cloud Console die Seite IAM auf.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Klicken Sie auf Hinzufügen.
    4. Geben Sie im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
    5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
    6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
    7. Klicken Sie auf Speichern.

Rollen und Berechtigungen

Es gibt mehrere Rollen für Richtlinien-Tags für Nutzer und Dienstkonten. Auf dieser Seite werden die besprochenen Rollen Administrator von Data Catalog-Richtlinien-Tags und Detaillierter Lesezugriff für Data Catalog beschrieben.

  • Nutzer oder Dienstkonten, die Richtlinien-Tags verwalten, müssen die Data Catalog-Rolle Richtlinien-Tag-Administrator haben. Diese Rolle kann Taxonomien und Richtlinien-Tags verwalten und ACL-Richtlinien zuweisen oder entfernen.

  • Nutzer oder Dienstkonten, die Daten abfragen, die mit Richtlinien-Tags geschützt sind, müssen die Rolle Data Catalog Fine-Grained Reader haben. für jedes Richtlinien-Tag separat hinzugefügt.

Weitere Informationen zu allen richtlinienbezogenen Rollen finden Sie unter Mit Sicherheit auf Spaltenebene verwendete Rollen.

Rolle "Administrator von Richtlinien-Tags"

Die Rolle Administrator von Data Catalog-Richtlinien-Tags kann Datenrichtlinien-Tags erstellen und verwalten.

Um die Data Catalog-Rolle Richtlinien-Tag-Administrator zu vergeben, müssen Sie über die Berechtigung resourcemanager.projects.setIamPolicy für das Projekt verfügen, für das Sie die Rolle Richtlinien-Tag-Administrator vergeben möchten. Wenn Sie die Berechtigung resourcemanager.projects.setIamPolicy nicht haben, bitten Sie einen Inhaber des Projekts, Ihnen entweder die Berechtigung zu erteilen oder die folgenden Schritte für Sie auszuführen.

  1. Rufen Sie in der Google Cloud Console die IAM-Seite auf.

    Zur Seite „IAM“

  2. Wenn sich die E-Mail-Adresse des Nutzers, der die Rolle erhalten soll, in der Liste befindet, wählen Sie die E-Mail-Adresse aus und klicken auf das Stiftsymbol zum Bearbeiten. Klicken Sie dann auf Weitere Rolle hinzufügen.

    Wenn die E-Mail-Adresse des Nutzers nicht in der Liste enthalten ist, klicken Sie auf Hinzufügen und geben Sie dann die E-Mail-Adresse in das Feld Neue Hauptkonten ein.

  3. Klicken Sie auf die Drop-down-Liste Rolle auswählen.

  4. Klicken Sie auf Data Catalog und anschließend auf Administator von Richtlinien-Tags.

  5. Klicken Sie auf Speichern.

Weitere Informationen zu dieser Rolle finden Sie unter Mit Sicherheit auf Spaltenebene verwendete Rollen.

Taxonomie erstellen

Zum Erstellen einer Taxonomie und zum Hinzufügen von Richtlinien-Tags für Ihre Daten verwenden Sie Data Catalog.

Dem Nutzerkonto, mit dem die folgenden Schritte ausgeführt werden, muss die Data Catalog-Rolle "Richtlinien-Tag-Administrator" zugewiesen sein.

  1. Öffnen Sie in der Cloud Console die Seite „Data Catalog-Taxonomien“.

    Zur Seite "Taxonomien"

  2. Klicken Sie auf Taxonomie erstellen.

  3. Auf der Seite Neue Taxonomie gehen Sie so vor:

    1. Geben Sie unter Taxonomiename den Namen der Taxonomie ein, die Sie erstellen möchten.
    2. Geben Sie unter Beschreibung eine Beschreibung ein.
    3. Ändern Sie bei Bedarf das unter Projekt aufgeführte Projekt.
    4. Ändern Sie bei Bedarf den unter Speicherort aufgeführten Speicherort.
    5. Geben Sie unter Richtlinien-Tags einen Namen und eine Beschreibung für das Richtlinien-Tag ein.
    6. Wenn Sie einem Richtlinien-Tag ein untergeordnetes Richtlinien-Tag hinzufügen möchten, klicken Sie auf Kinderrichtlinien-Tag hinzufügen.
    7. Wenn ein neues Richtlinien-Tag auf der gleichen Ebene wie ein vorhandenes Richtlinien-Tag hinzugefügt werden soll, klicken Sie auf das +-Symbol.

      In der folgenden Abbildung ist die Seite Neue Taxonomie für eine Beispieltaxonomie dargestellt:

      Seite "Taxonomie erstellen".

    8. Fügen Sie weitere Richtlinien-Tags und untergeordnete Richtlinien-Tags hinzu, wenn es für Ihre Taxonomie erforderlich ist.

    9. Wenn Sie alle Richtlinien-Tags für Ihre Hierarchie erstellt haben, klicken Sie auf Speichern.

    10. Aktivieren Sie auf der Seite Richtlinien-Tag-Taxonomie den Schieberegler Zugriffssteuerung erzwingen.

Nutzer, die Spalten mit einem Richtlinien-Tag sehen möchten, benötigen alle Berechtigungen für das Dataset und das Richtlinien-Tag selbst. Eine ausführliche Schritt-für-Schritt-Anleitung finden Sie im Sicherheitshandbuch für BigQuery auf Spaltenebene.

Die Rolle „Detaillierter Lesezugriff“ zuweisen

Nutzer, die Zugriff auf Spalten benötigen, die durch Richtlinien-Tags geschützt sind, benötigen die Rolle Detaillierter Data Catalog-Leser. Diese Rolle wird jedem Richtlinien-Tag einzeln zugewiesen.

Zum Ausführen der folgenden Schritte benötigen Sie die Berechtigung resourcemanager.projects.setIamPolicy für das Projekt, dem Sie die Rolle Detaillierter Lesezugriff zuweisen möchten. Wenn Sie die Berechtigung resourcemanager.projects.setIamPolicy nicht haben, bitten Sie einen Inhaber des Projekts, Ihnen entweder die Berechtigung zu erteilen oder die folgenden Schritte für Sie auszuführen.

  1. Rufen Sie die Seite Data Catalog > Policy-Tags auf.

    Zu Data Catalog-Richtlinien-Tags

  2. Wählen Sie die Richtlinien-Tag-Taxonomie aus, in der Sie die Rolle zuweisen möchten.

  3. Wählen Sie im Abschnitt Richtlinien-Tags das entsprechende Richtlinien-Tag aus.

  4. Klicken Sie im Infofenster des Richtlinien-Tags auf PRINCIPAL HINZUFÜGEN.

    Wenn Sie den Infofenster nicht sehen, klicken Sie auf INFOFELD ANSEHEN.

  5. Gehen Sie im Bereich Hauptkonten hinzufügen so vor:

    1. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Nutzers ein, dem Sie die Rolle zuweisen möchten.
    2. Wählen Sie im Menü Rolle auswählen die Option Data Catalog > Präziser Leser aus.
    3. Klicken Sie auf Speichern.

Dieses Nutzerkonto kann jetzt alle Spalten aufrufen, die durch dieses Richtlinien-Tag geschützt sind.

Weitere Informationen zu dieser Rolle finden Sie unter Mit Sicherheit auf Spaltenebene verwendete Rollen.

Einer Spalte ein Richtlinien-Tag hinzufügen

Sie können in Data Catalog jeweils nur ein Richtlinien-Tag an eine Spalte anhängen. Wenn Sie Richtlinien-Tags an mehrere Spalten in einem Vorgang anhängen möchten, bearbeiten Sie das Tabellenschema in BigQuery. Siehe Richtlinien-Tag für eine Spalte in BigQuery festlegen.

  1. Öffnen Sie die Data Catalog-Startseite und suchen Sie die BigQuery-Tabelle, in der Sie ein Richtlinien-Tag an eine Spalte anhängen möchten.

    Data Catalog-Startseite öffnen

    Weitere Informationen zum Suchen von Daten in Data Catalog

  2. Scrollen Sie auf der Asset-Seite nach unten zum Abschnitt Schema.

  3. Suchen Sie in der Tabelle Schema nach der Zeile, die die Spalte der BigQuery-Tabelle repräsentiert, und klicken Sie unter Richtlinien-Tags auf +.

  4. Wählen Sie im Steuerfeld Richtlinien-Tag hinzufügen das Richtlinien-Tag aus, das Sie auf die Spalte anwenden möchten.

  5. Klicken Sie unten im Steuerfeld auf Auswählen. Ihr Bildschirm sollte nun ungefähr so aussehen:

    Das Richtlinien-Tag wurde in Data Catalog angehängt.

Die Spalte ist jetzt mit dem Richtlinien-Tag geschützt. Damit Nutzer auf diese Daten zugreifen können, weisen Sie ihnen für dieses Richtlinien-Tag die Rolle Detaillierter Lesezugriff für Data Catalog zu. Weitere Informationen finden Sie unter Rolle „Detaillierter Lesezugriff“.

Richtlinien-Tag aus einer Spalte löschen

  1. Öffnen Sie die Data Catalog-Startseite und suchen Sie die BigQuery-Tabelle, in der Sie ein Richtlinien-Tag aus einer Spalte löschen möchten.

    Data Catalog-Startseite öffnen

    Weitere Informationen zum Suchen von Daten in Data Catalog

  2. Scrollen Sie auf der Asset-Seite nach unten zum Abschnitt Schema.

  3. Suchen Sie in der Tabelle Schema nach der Zeile, die die BigQuery-Spalte darstellt, und klicken Sie in der Zelle Richtlinien-Tags auf X.

    Richtlinien-Tag entfernen.