Mit Richtlinien-Tags den Spaltenzugriff in BigQuery steuern

Mit Richtlinien-Tags können Sie festlegen, wer vertrauliche Spalten in BigQuery-Tabellen sehen darf. In Data Catalog können Sie Richtlinien-Tags direkt auf der Seite mit den Tabelleneintragsdetails zu Spalten hinzufügen oder daraus entfernen.

Hinweis

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
  2. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Data Catalog and BigQuery APIs aktivieren.

    Aktivieren Sie die APIs

  4. Prüfen Sie, ob Sie die folgenden Rollen für das Projekt haben: Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

    Auf Rollen prüfen

    1. Öffnen Sie in der Google Cloud Console die Seite IAM.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Suchen Sie nach der Zeile mit Ihrer E-Mail-Adresse in der Spalte Hauptkonto.

      Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.

    4. Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.

    Rollen zuweisen

    1. Öffnen Sie in der Google Cloud Console die Seite IAM.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Klicken Sie auf Zugriff erlauben.
    4. Geben Sie in das Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
    5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
    6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
    7. Klicken Sie auf Speichern.
  5. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  6. Data Catalog and BigQuery APIs aktivieren.

    Aktivieren Sie die APIs

  7. Prüfen Sie, ob Sie die folgenden Rollen für das Projekt haben: Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

    Auf Rollen prüfen

    1. Öffnen Sie in der Google Cloud Console die Seite IAM.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Suchen Sie nach der Zeile mit Ihrer E-Mail-Adresse in der Spalte Hauptkonto.

      Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.

    4. Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.

    Rollen zuweisen

    1. Öffnen Sie in der Google Cloud Console die Seite IAM.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Klicken Sie auf Zugriff erlauben.
    4. Geben Sie in das Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
    5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
    6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
    7. Klicken Sie auf Speichern.

Rollen und Berechtigungen

Es gibt mehrere Rollen für Richtlinien-Tags für Nutzer und Dienstkonten. Auf dieser Seite werden die Rollen Administrator von Data Catalog-Richtlinien-Tags und Detaillierter Lesezugriff erläutert.

  • Nutzer oder Dienstkonten, die Richtlinien-Tags verwalten, müssen die Data Catalog-Rolle Richtlinien-Tag-Administrator haben. Diese Rolle kann Taxonomien und Richtlinien-Tags verwalten und ACL-Richtlinien zuweisen oder entfernen.

  • Nutzern oder Dienstkonten, die Daten abfragen, die durch Richtlinien-Tags geschützt sind, muss für jedes Richtlinien-Tag die Rolle Detaillierter Lesezugriff separat hinzugefügt werden.

Weitere Informationen zu allen richtlinienbezogenen Rollen finden Sie unter Mit Sicherheit auf Spaltenebene verwendete Rollen.

Rolle "Administrator von Richtlinien-Tags"

Die Rolle Administrator von Data Catalog-Richtlinien-Tags kann Datenrichtlinien-Tags erstellen und verwalten.

Um die Data Catalog-Rolle Richtlinien-Tag-Administrator zu vergeben, müssen Sie über die Berechtigung resourcemanager.projects.setIamPolicy für das Projekt verfügen, für das Sie die Rolle Richtlinien-Tag-Administrator vergeben möchten. Wenn Sie die Berechtigung resourcemanager.projects.setIamPolicy nicht haben, bitten Sie einen Inhaber des Projekts, Ihnen entweder die Berechtigung zu erteilen oder die folgenden Schritte für Sie auszuführen.

  1. Öffnen Sie in der Google Cloud Console die Seite "IAM".

    Zur Seite "IAM"

  2. Wenn sich die E-Mail-Adresse des Nutzers, der die Rolle erhalten soll, in der Liste befindet, wählen Sie die E-Mail-Adresse aus und klicken auf das Stiftsymbol zum Bearbeiten. Klicken Sie dann auf Weitere Rolle hinzufügen.

    Wenn die E-Mail-Adresse des Nutzers nicht in der Liste enthalten ist, klicken Sie auf Hinzufügen und geben Sie dann die E-Mail-Adresse in das Feld Neue Hauptkonten ein.

  3. Klicken Sie auf die Drop-down-Liste Rolle auswählen.

  4. Klicken Sie auf Data Catalog und anschließend auf Administator von Richtlinien-Tags.

  5. Klicken Sie auf Speichern.

Weitere Informationen zu dieser Rolle finden Sie unter Mit Sicherheit auf Spaltenebene verwendete Rollen.

Taxonomie erstellen

Zum Erstellen einer Taxonomie und zum Hinzufügen von Richtlinien-Tags für Ihre Daten verwenden Sie Data Catalog.

Dem Nutzerkonto, mit dem die folgenden Schritte ausgeführt werden, muss die Data Catalog-Rolle "Richtlinien-Tag-Administrator" zugewiesen sein.

  1. Öffnen Sie die Dataplex-Taxonomieseite in der Google Cloud Console.

    Zur Seite "Taxonomien"

  2. Klicken Sie auf Taxonomie erstellen.

  3. Auf der Seite Neue Taxonomie gehen Sie so vor:

    1. Geben Sie unter Taxonomiename den Namen der Taxonomie ein, die Sie erstellen möchten.
    2. Geben Sie unter Beschreibung eine Beschreibung ein.
    3. Ändern Sie bei Bedarf das unter Projekt aufgeführte Projekt.
    4. Ändern Sie bei Bedarf den unter Speicherort aufgeführten Speicherort.
    5. Geben Sie unter Richtlinien-Tags einen Namen und eine Beschreibung für das Richtlinien-Tag ein.
    6. Wenn Sie einem Richtlinien-Tag ein untergeordnetes Richtlinien-Tag hinzufügen möchten, klicken Sie auf Kinderrichtlinien-Tag hinzufügen.
    7. Wenn ein neues Richtlinien-Tag auf der gleichen Ebene wie ein vorhandenes Richtlinien-Tag hinzugefügt werden soll, klicken Sie auf das +-Symbol.

      In der folgenden Abbildung ist die Seite Neue Taxonomie für eine Beispieltaxonomie dargestellt:

      Seite "Taxonomie erstellen".

    8. Fügen Sie weitere Richtlinien-Tags und untergeordnete Richtlinien-Tags hinzu, wenn es für Ihre Taxonomie erforderlich ist.

    9. Wenn Sie alle Richtlinien-Tags für Ihre Hierarchie erstellt haben, klicken Sie auf Speichern.

    10. Aktivieren Sie auf der Seite Richtlinien-Tag-Taxonomie den Schieberegler Zugriffssteuerung erzwingen.

Nutzer, die Spalten mit einem Richtlinien-Tag sehen möchten, benötigen alle Berechtigungen für das Dataset und das Richtlinien-Tag selbst. Eine detaillierte Anleitung finden Sie im Sicherheitsleitfaden für BigQuery auf Spaltenebene.

Rolle „Detaillierter Lesezugriff“ zuweisen

Nutzer, die Zugriff auf Spalten benötigen, die durch Richtlinien-Tags geschützt sind, benötigen die Rolle Detaillierter Lesezugriff. Diese Rolle wird jedem Richtlinien-Tag einzeln zugewiesen.

Für die folgenden Schritte benötigen Sie die Berechtigung resourcemanager.projects.setIamPolicy für das Projekt, dem Sie die Rolle Detaillierter Lesezugriff zuweisen möchten. Wenn Sie die Berechtigung resourcemanager.projects.setIamPolicy nicht haben, bitten Sie einen Inhaber des Projekts, Ihnen entweder die Berechtigung zu erteilen oder die folgenden Schritte für Sie auszuführen.

  1. Rufen Sie die Seite Dataplex und Richtlinien-Tags auf.

    Zu den Dataplex-Richtlinien-Tags

  2. Wählen Sie die Richtlinien-Tag-Taxonomie aus, der Sie die Rolle zuweisen möchten.

  3. Wählen Sie im Abschnitt Richtlinien-Tags das gewünschte Richtlinien-Tag aus.

  4. Klicken Sie im Infobereich des Richtlinien-Tags auf HAUPTKONTO HINZUFÜGEN.

    Wenn das Infofeld nicht angezeigt wird, klicken Sie auf INFOFELD ANSEHEN.

  5. Im Bereich Hauptkonten hinzufügen:

    1. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Nutzers ein, dem die Rolle zugewiesen werden soll.
    2. Wählen Sie im Menü Rolle auswählen die Option Data Catalog > Detaillierter Lesezugriff aus.
    3. Klicken Sie auf Speichern.

In diesem Nutzerkonto können jetzt alle Spalten angezeigt werden, die durch dieses Richtlinien-Tag geschützt sind.

Weitere Informationen zu dieser Rolle finden Sie unter Mit Sicherheit auf Spaltenebene verwendete Rollen.

Richtlinien-Tag zu einer Spalte hinzufügen

In Data Catalog lässt sich jeweils nur ein Richtlinien-Tag an eine Spalte anhängen. Bearbeiten Sie das Tabellenschema in BigQuery, wenn Sie Richtlinien-Tags an mehrere Spalten in einem einzelnen Vorgang anhängen möchten. Weitere Informationen finden Sie unter Richtlinien-Tag für eine Spalte in BigQuery festlegen.

  1. Öffnen Sie die Dataplex-Suchseite und suchen Sie die BigQuery-Tabelle, in der Sie ein Richtlinien-Tag an eine Spalte anhängen möchten.

    Dataplex-Suchseite öffnen

    Weitere Informationen finden Sie unter Nach Daten-Assets suchen.

  2. Wählen Sie auf der Asset-Seite den Tab Schema und Spalten-Tags aus.

  3. Suchen Sie in der Tabelle Schema die Zeile, die die BigQuery-Tabellenspalte darstellt, und klicken Sie unter Richtlinien-Tags auf +.

  4. Wählen Sie im Bereich Richtlinien-Tag hinzufügen das Richtlinien-Tag aus, das Sie auf die Spalte anwenden möchten.

  5. Klicken Sie unten im Steuerfeld auf Auswählen. Ihr Bildschirm sollte nun in etwa so aussehen:

    Richtlinien-Tag ist in Data Catalog angehängt.

Die Spalte wird jetzt durch das Richtlinien-Tag geschützt. Damit Nutzer auf diese Daten zugreifen können, weisen Sie ihnen für dieses Richtlinien-Tag die Rolle Detaillierter Lesezugriff zu. Siehe Rolle „Detaillierter Lesezugriff“

Richtlinien-Tag aus einer Spalte löschen

  1. Öffnen Sie die Dataplex-Suchseite und suchen Sie die BigQuery-Tabelle, in der Sie ein Richtlinien-Tag aus einer Spalte löschen möchten.

    Dataplex-Suchseite öffnen

    Weitere Informationen finden Sie unter Nach Daten-Assets suchen.

  2. Wählen Sie auf der Asset-Seite den Tab Schema und Spalten-Tags aus.

  3. Suchen Sie in der Tabelle Schema die Zeile, die die BigQuery-Spalte darstellt, und klicken Sie in der Zelle Richtlinien-Tags auf X.

    Richtlinien-Tag entfernen.