Use etiquetas de política para controlar el acceso a las columnas en BigQuery

Las etiquetas de política te permiten controlar quién puede ver columnas sensibles en las tablas de BigQuery. Data Catalog, puede agregar o quitar etiquetas de política para las columnas directamente en la página de detalles de entrada de la tabla.

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
  2. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  3. Habilita las API de Data Catalog and BigQuery.

    Habilita las API

  4. Asegúrate de tener los siguientes roles en el proyecto: Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

    Verifica los roles

    1. En Cloud Console, ve a la página IAM.

      Ir a IAM
    2. Selecciona el proyecto.
    3. Busca la fila que tiene tu dirección de correo electrónico en la columna Principal.

      Si tu dirección de correo electrónico no está en esa columna, no tienes ningún rol.

    4. En la columna Función de la fila con la dirección de correo electrónico, verifica si la lista de roles incluye los roles necesarios.

    Otorga los roles

    1. En Cloud Console, ve a la página IAM.

      Ir a IAM
    2. Selecciona el proyecto.
    3. Haga clic en Agregar.
    4. En el campo Principales nuevas, ingresa tu dirección de correo electrónico.
    5. En la lista Seleccionar un rol, elige un rol.
    6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
    7. Haz clic en Guardar.
  5. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  6. Habilita las API de Data Catalog and BigQuery.

    Habilita las API

  7. Asegúrate de tener los siguientes roles en el proyecto: Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

    Verifica los roles

    1. En Cloud Console, ve a la página IAM.

      Ir a IAM
    2. Selecciona el proyecto.
    3. Busca la fila que tiene tu dirección de correo electrónico en la columna Principal.

      Si tu dirección de correo electrónico no está en esa columna, no tienes ningún rol.

    4. En la columna Función de la fila con la dirección de correo electrónico, verifica si la lista de roles incluye los roles necesarios.

    Otorga los roles

    1. En Cloud Console, ve a la página IAM.

      Ir a IAM
    2. Selecciona el proyecto.
    3. Haga clic en Agregar.
    4. En el campo Principales nuevas, ingresa tu dirección de correo electrónico.
    5. En la lista Seleccionar un rol, elige un rol.
    6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
    7. Haz clic en Guardar.

Funciones y permisos

Hay varias funciones relacionadas con las etiquetas de política para los usuarios y las cuentas de servicio. En esta página, las funciones que se analizan son Administrador de etiquetas de política de Data Catalog y Lector detallado de Data Catalog.

  • Los usuarios o las cuentas de servicio que administran etiquetas de política deben tener la función Administrador de etiquetas de política de Data Catalog. Esta función puede administrar taxonomías y etiquetas de política, y puede otorgar o quitar políticas de LCA.

  • Los usuarios o las cuentas de servicio que consultan datos protegidos con etiquetas de política deben tener la función Lector detallado de Data Catalog. se agregan por separado para cada etiqueta de política.

Para obtener más información sobre todas las funciones relacionadas con las etiquetas de política, consulta Funciones con seguridad a nivel de columnas.

La función de administrador de etiquetas de política

La función de Administrador de etiquetas de política de Data Catalog puede crear y administrar etiquetas de política de datos.

Para otorgar el rol Administrador de etiquetas de política de Data Catalog, debes tener permisos resourcemanager.projects.setIamPolicy en el proyecto para el que deseas otorgar el rol Administrador de etiquetas de política. Si no tienes el permiso resourcemanager.projects.setIamPolicy, solicita al propietario del proyecto que te otorgue el permiso o que realice los siguientes pasos por ti.

  1. En Google Cloud Console, ve a la página de IAM.

    Abrir la página IAM

  2. Si la dirección de correo electrónico del usuario al que se le otorga la función está en la lista, selecciónala y haz clic en Editar (el ícono de lápiz). Luego, haz clic en Agregar otra función.

    Si la dirección de correo electrónico del usuario no está en la lista, haz clic en Agregar y, luego, ingresa la dirección de correo electrónico en el cuadro Principales nuevas.

  3. Haz clic en la lista desplegable Seleccionar una función.

  4. Haz clic en Data Catalog y, luego, en Administrador de etiquetas de política.

  5. Haz clic en Guardar.

Para obtener más información sobre esta función, consulta Funciones con seguridad a nivel de columnas.

Crea una taxonomía

Usa Data Catalog a fin de crear una taxonomía y agregar etiquetas de política para tus datos.

La cuenta de usuario para los siguientes pasos debe tener la función de administrador de etiquetas de política de Data Catalog.

  1. Abre la página Taxonomías de Data Catalog en Cloud Console.

    Abrir la página Taxonomías

  2. Haz clic en Crear taxonomía.

  3. En la página Nueva taxonomía, sigue estos pasos:

    1. En Nombre de taxonomía, ingresa el nombre de la taxonomía que deseas crear.
    2. En Descripción, ingresa una descripción.
    3. Si es necesario, cambia el proyecto que aparece en Proyecto.
    4. Si es necesario, cambia la ubicación que aparece en Ubicación.
    5. En Etiquetas de política, ingresa un nombre y una descripción para la etiqueta de política.
    6. Si quieres agregar una etiqueta de política secundaria para una etiqueta de política, haz clic en Agregar etiqueta de política secundaria.
    7. Si deseas agregar una nueva etiqueta de política al mismo nivel que otra, haz clic en el ícono +.

      A continuación, se muestra la página New taxonomy (Nueva taxonomía) para un ejemplo de taxonomía.

      Página de creación de una taxonomía

    8. Sigue agregando etiquetas de política y etiquetas de política secundarias según sea necesario para tu taxonomía.

    9. Cuando termines de crear etiquetas de política para tu jerarquía, haz clic en Guardar.

    10. En la página Taxonomía de la etiqueta de política, activa el control deslizante Aplicar control de acceso.

Los usuarios que desean ver las columnas etiquetadas con una etiqueta de política necesitan el conjunto completo de permisos en el conjunto de datos y la etiqueta de política en sí. Consulte la Guía de seguridad a nivel de columnas de BigQuery para obtener una explicación detallada.

Otorga la función de lector de categorías de recursos

Los usuarios que necesitan acceso a columnas protegidas con etiquetas de política necesitan la función de Lector detallado de Data Catalog. Esta función se asigna de forma individual en cada etiqueta de política.

Antes de realizar los siguientes pasos, debes tener permisos resourcemanager.projects.setIamPolicy en el proyecto en el que deseas otorgar la función de Lector detallado. Si no tienes el permiso resourcemanager.projects.setIamPolicy, solicita al propietario del proyecto que te otorgue el permiso o que realice los siguientes pasos por ti.

  1. Ve a la página Etiquetas de políticas de Data Catalog.

    Ir a etiquetas de política de Data Catalog

  2. Selecciona la taxonomía de etiquetas de política en la que deseas otorgar la función.

  3. En la sección Etiquetas de política, selecciona la etiqueta de política específica.

  4. En el panel de información de la etiqueta de política, haz clic en AGREGAR PRINCIPAL.

    Si no ves el panel de información, haz clic en MOSTRAR PANEL DE INFORMACIÓN.

  5. En el panel Agregar principales:

    1. En la casilla Principales nuevas, ingresa la dirección de correo electrónico del usuario para otorgar la función.
    2. En el menú Selecciona una función, elija Lector de Data Catalog > Lector detallado.
    3. Haz clic en Guardar.

Esta cuenta de usuario ahora puede ver todas las columnas protegidas por esa etiqueta de política específica.

Para obtener más información sobre esta función, consulta Funciones con seguridad a nivel de columnas.

Agregar una etiqueta de política a una columna

En Data Catalog, solo puede adjuntar una etiqueta de política a una columna a la vez. Edita el esquema de tabla en BigQuery si deseas adjuntar etiquetas de política a varias columnas en una sola operación. Consulta Establece una etiqueta de política en una columna en BigQuery.

  1. Abre la página principal de Data Catalog y busca la tabla de BigQuery en la que deseas adjuntar una etiqueta de política a una columna.

    Abrir la página principal de Data Catalog

    Para obtener más información sobre cómo buscar recursos en Data Catalog, consulte Cómo buscar recursos de datos.

  2. En la página del elemento, desplázate hacia abajo hasta la sección Esquema.

  3. En la tabla Esquema, busca la fila que representa la columna de tabla de BigQuery y, en Etiquetas de política, haz clic en +.

  4. En el panel Agrega una etiqueta de política, selecciona la etiqueta de política que deseas aplicar a la columna.

  5. En la parte inferior del panel, haga clic en Seleccionar. Tu pantalla debería verse así:

    Etiqueta de política adjunta en Data Catalog.

La columna ahora está protegida con la etiqueta de política. Para permitir que los usuarios accedan a estos datos, otórgales la función Lector detallado de Data Catalog en esta etiqueta de política. Consulta la función de lector de categorías de recursos.

Borrar una etiqueta de política de una columna

  1. Abre la página principal de Data Catalog y busca la tabla de BigQuery en la que deseas borrar una etiqueta de política de una columna.

    Abrir la página principal de Data Catalog

    Para obtener más información sobre cómo buscar recursos en Data Catalog, consulte Cómo buscar recursos de datos.

  2. En la página del elemento, desplázate hacia abajo hasta la sección Esquema.

  3. En la tabla Esquema, busca la fila que representa la columna de BigQuery y, en la celda Etiquetas de política, haz clic en la X.

    Borra una etiqueta de política