Usa etiquetas de política para controlar el acceso a las columnas en BigQuery

Las etiquetas de política te permiten controlar quién puede ver columnas sensibles en las tablas de BigQuery. En Data Catalog, puede agregar o quitar etiquetas de política en las columnas directamente en la página de detalles de la entrada de la tabla.

Antes de comenzar

1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

2. En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

   Ir al selector de proyectos

3. Habilita las API de Data Catalog and BigQuery.

   Habilita las API

4. Asegúrate de tener los siguientes roles en el proyecto: Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

   Verifica los roles

   1. En la consola de Google Cloud, ve a la página IAM.

      Ir a IAM
   2. Selecciona el proyecto.

   3. En la columna Principal, busca la fila que tiene tu dirección de correo electrónico.

      Si tu dirección de correo electrónico no está en esa columna, no tienes ningún rol.

   4. En la columna Función de la fila con la dirección de correo electrónico, verifica si la lista de roles incluye los roles necesarios.

   Otorga los roles

   1. En la consola de Google Cloud, ve a la página IAM.

      Ir a IAM
   2. Selecciona el proyecto.
   3. Haz clic en person_addGrant access.
   4. En el campo Principales nuevas, ingresa tu dirección de correo electrónico.
   5. En la lista Seleccionar un rol, elige un rol.
   6. Para otorgar funciones adicionales, haz clic en add Agregar otro rol y agrega cada rol adicional.
   7. Haz clic en Guardar.

5. En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

   Ir al selector de proyectos

6. Habilita las API de Data Catalog and BigQuery.

   Habilita las API

7. Asegúrate de tener los siguientes roles en el proyecto: Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

   Verifica los roles

   1. En la consola de Google Cloud, ve a la página IAM.

      Ir a IAM
   2. Selecciona el proyecto.

   3. En la columna Principal, busca la fila que tiene tu dirección de correo electrónico.

      Si tu dirección de correo electrónico no está en esa columna, no tienes ningún rol.

   4. En la columna Función de la fila con la dirección de correo electrónico, verifica si la lista de roles incluye los roles necesarios.

   Otorga los roles

   1. En la consola de Google Cloud, ve a la página IAM.

      Ir a IAM
   2. Selecciona el proyecto.
   3. Haz clic en person_addGrant access.
   4. En el campo Principales nuevas, ingresa tu dirección de correo electrónico.
   5. En la lista Seleccionar un rol, elige un rol.
   6. Para otorgar funciones adicionales, haz clic en add Agregar otro rol y agrega cada rol adicional.
   7. Haz clic en Guardar.

Funciones y permisos

Hay varias funciones relacionadas con las etiquetas de política para los usuarios y las cuentas de servicio. En esta página, las funciones analizadas son las de Administrador de etiquetas de política de Data Catalog y Lector detallado.

• Los usuarios o las cuentas de servicio que administran etiquetas de política deben tener la función Administrador de etiquetas de política de Data Catalog. Esta función puede administrar taxonomías y etiquetas de política, y puede otorgar o quitar políticas de LCA.

• Los usuarios o las cuentas de servicio que consultan datos protegidos con etiquetas de política deben tener la función de Lector detallado agregada por separado para cada etiqueta de política.

Para obtener más información sobre todas las funciones relacionadas con las etiquetas de política, consulta Funciones con seguridad a nivel de columnas.

La función de administrador de etiquetas de política

La función de Administrador de etiquetas de política de Data Catalog puede crear y administrar etiquetas de política de datos.

Para otorgar el rol Administrador de etiquetas de política de Data Catalog, debes tener permisos resourcemanager.projects.setIamPolicy en el proyecto para el que deseas otorgar el rol Administrador de etiquetas de política. Si no tienes el permiso resourcemanager.projects.setIamPolicy, solicita al propietario del proyecto que te otorgue el permiso o que realice los siguientes pasos por ti.

1. En la consola de Google Cloud, ve a la página IAM.

   Abrir la página IAM

2. Si la dirección de correo electrónico del usuario al que se le otorga la función está en la lista, selecciónala y haz clic en Editar (el ícono de lápiz). Luego, haz clic en Agregar otra función.

   Si la dirección de correo electrónico del usuario no está en la lista, haz clic en person_add Agregar y, luego, ingresa la dirección de correo electrónico en el cuadro Principales nuevas.

3. Haz clic en la lista desplegable Seleccionar una función.

4. Haz clic en Data Catalog y, luego, en Administrador de etiquetas de política.

5. Haz clic en Guardar.

Para obtener más información sobre esta función, consulta Funciones con seguridad a nivel de columnas.

Crea una taxonomía

Usa Data Catalog a fin de crear una taxonomía y agregar etiquetas de política para tus datos.

La cuenta de usuario para los siguientes pasos debe tener la función de administrador de etiquetas de política de Data Catalog.

1. Abre la página Taxonomías de Dataplex en la consola de Google Cloud.

   Abrir la página Taxonomías

2. Haz clic en Crear taxonomía.

3. En la página Nueva taxonomía, sigue estos pasos:

   1. En Nombre de taxonomía, ingresa el nombre de la taxonomía que deseas crear.
   2. En Descripción, ingresa una descripción.
   3. Si es necesario, cambia el proyecto que aparece en Proyecto.
   4. Si es necesario, cambia la ubicación que aparece en Ubicación.
   5. En Etiquetas de política, ingresa un nombre y una descripción para la etiqueta de política.
   6. Si quieres agregar una etiqueta de política secundaria para una etiqueta de política, haz clic en Agregar etiqueta de política secundaria.

   7. Si deseas agregar una nueva etiqueta de política al mismo nivel que otra, haz clic en el ícono +.
      
      A continuación, se muestra la página New taxonomy (Nueva taxonomía) para un ejemplo de taxonomía.

      

   8. Sigue agregando etiquetas de política y etiquetas de política secundarias según sea necesario para tu taxonomía.

   9. Cuando termines de crear etiquetas de política para tu jerarquía, haz clic en Guardar.

   10. En la página Taxonomía de etiquetas de política, active el control deslizante Aplicar control de acceso.

Los usuarios que desean ver columnas etiquetadas con una etiqueta de política necesitan el conjunto completo de permisos en el conjunto de datos y la etiqueta de política en sí. Consulta la guía de seguridad a nivel de columnas de BigQuery para obtener una explicación detallada.

Otorga la función detallada de lector

Los usuarios que necesitan acceso a columnas protegidas con etiquetas de política necesitan la función de Lector detallado. Esta función se asigna de forma individual en cada etiqueta de política.

Antes de realizar los siguientes pasos, debes tener permisos resourcemanager.projects.setIamPolicy en el proyecto en el que deseas otorgar la función de Lector detallado. Si no tienes el permiso resourcemanager.projects.setIamPolicy, solicita al propietario del proyecto que te otorgue el permiso o que realice los siguientes pasos por ti.

1. Ve a la página Etiquetas de política de Dataplex.

   Ir a Etiquetas de política de Dataplex

2. Selecciona la taxonomía de etiquetas de política en la que deseas otorgar el rol.

3. En la sección Etiquetas de política, selecciona la etiqueta de política específica.

4. En el panel de información de la etiqueta de política, haz clic en AGREGAR PRINCIPAL.

   Si no ves el panel de información, haz clic en MOSTRAR PANEL DE INFORMACIÓN.

5. En el panel Agregar principales:

   1. En el cuadro Nuevas principales, ingresa la dirección de correo electrónico del usuario para otorgarle el rol.
   2. En el menú Seleccionar un rol, selecciona Data Catalog > Fine-Grained Reader.
   3. Haz clic en Guardar.

Esta cuenta de usuario ahora puede ver todas las columnas protegidas por esa etiqueta de política específica.

Para obtener más información sobre esta función, consulta Funciones con seguridad a nivel de columnas.

Agrega una etiqueta de política a una columna

En Data Catalog, solo puede adjuntar una etiqueta de política a una columna a la vez. Edita el esquema de la tabla en BigQuery si deseas adjuntar etiquetas de política a varias columnas en una sola operación. Consulta Establece una etiqueta de política en una columna en BigQuery.

1. Abre la página de búsqueda de Dataplex y busca la tabla de BigQuery en la que deseas adjuntar una etiqueta de política a una columna.

   Abrir la página de búsqueda de Dataplex

   Para obtener más información, consulte Cómo buscar recursos de datos.

2. En la página del activo, selecciona la pestaña Esquema y etiquetas de columna.

3. En la tabla Esquema, busca la fila que representa la columna de la tabla de BigQuery y, en Etiquetas de política, haz clic en +.

4. En el panel Agregar una etiqueta de política, selecciona la etiqueta de política que deseas aplicar a la columna.

5. En la parte inferior del panel, haga clic en Seleccionar. Tu pantalla debería verse así:

   

La columna ahora está protegida con la etiqueta de política. Para permitir que los usuarios accedan a estos datos, otórgales la función Lector detallado en esta etiqueta de política. Consulta La función detallada de lector.

Borrar una etiqueta de política de una columna

1. Abre la página de búsqueda de Dataplex y busca la tabla de BigQuery en la que deseas borrar una etiqueta de política de una columna.

   Abrir la página de búsqueda de Dataplex

   Consulta Cómo buscar recursos de datos.

2. En la página del activo, selecciona la pestaña Esquema y etiquetas de columna.

3. En la tabla Esquema, busca la fila que representa la columna de BigQuery y, en la celda Etiquetas de política, haz clic en X.