Contrôler l'accès aux colonnes dans BigQuery à l'aide de tags avec stratégie

Les tags avec stratégie vous permettent de contrôler qui peut afficher les colonnes sensibles dans les tables BigQuery. Data Catalog vous permet d'ajouter ou de supprimer des tags avec stratégie directement dans la colonne "Détails de l'entrée de table".

Avant de commencer

  1. Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
  2. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  3. Activer les API Data Catalog and BigQuery.

    Activer les API

  4. Assurez-vous que vous disposez du ou des rôles suivants au niveau du projet : Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

    Vérifier les rôles

    1. Dans Cloud Console, accédez à la page IAM.

      Accéder à IAM
    2. Sélectionnez le projet.
    3. Recherchez la ligne qui contient votre adresse e-mail dans la colonne Compte principal.

      Si votre adresse e-mail ne figure pas dans cette colonne, cela signifie que vous n'avez aucun rôle.

    4. Dans la colonne Rôle de la ligne contenant votre adresse e-mail, vérifiez si la liste des rôles inclut les rôles requis.

    Attribuer les rôles

    1. Dans Cloud Console, accédez à la page IAM.

      Accéder à IAM
    2. Sélectionnez le projet.
    3. Cliquez sur Ajouter.
    4. Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
    5. Dans la liste Sélectinoner un rôle, sélectionnez un rôle.
    6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
    7. Cliquez sur Enregistrer.
  5. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  6. Activer les API Data Catalog and BigQuery.

    Activer les API

  7. Assurez-vous que vous disposez du ou des rôles suivants au niveau du projet : Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

    Vérifier les rôles

    1. Dans Cloud Console, accédez à la page IAM.

      Accéder à IAM
    2. Sélectionnez le projet.
    3. Recherchez la ligne qui contient votre adresse e-mail dans la colonne Compte principal.

      Si votre adresse e-mail ne figure pas dans cette colonne, cela signifie que vous n'avez aucun rôle.

    4. Dans la colonne Rôle de la ligne contenant votre adresse e-mail, vérifiez si la liste des rôles inclut les rôles requis.

    Attribuer les rôles

    1. Dans Cloud Console, accédez à la page IAM.

      Accéder à IAM
    2. Sélectionnez le projet.
    3. Cliquez sur Ajouter.
    4. Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
    5. Dans la liste Sélectinoner un rôle, sélectionnez un rôle.
    6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
    7. Cliquez sur Enregistrer.

Rôles et autorisations

Il existe plusieurs rôles associés aux tags avec stratégie pour les utilisateurs et les comptes de service. Sur cette page, les rôles décrits correspondent aux rôles Administrateur de tags avec stratégie Data Catalog et Lecteur détaillé Data Catalog.

  • Les utilisateurs ou les comptes de service qui administrent les tags avec stratégie doivent disposer du rôle Administrateur de tags avec stratégie Data Catalog. Ce rôle permet de gérer les taxonomies et les tags avec stratégie, et d'accorder ou de supprimer des règles LCA.

  • Les utilisateurs ou les comptes de service qui interrogent des données protégées par des tags avec stratégie doivent disposer du rôle Lecteur détaillé Data Catalog. ajoutées séparément pour chaque tag avec stratégie.

Pour plus d'informations sur tous les rôles associés aux tags avec stratégie, consultez la section Rôles utilisés avec la sécurité au niveau des colonnes.

Le rôle Administrateur de tags avec stratégie

Le rôle Administrateur de tags avec stratégie Data Catalog peut créer et gérer des tags avec stratégie de données.

Pour accorder le rôle Administrateur de tags avec stratégie Data Catalog, vous devez disposer des autorisations resourcemanager.projects.setIamPolicy sur le projet pour lequel vous accordez le rôle Administrateur de tags avec stratégie. Si vous ne disposez pas de l'autorisation resourcemanager.projects.setIamPolicy, demandez à un propriétaire de projet de vous l'accorder ou d'effectuer la procédure suivante.

  1. Dans Google Cloud Console, accédez à la page IAM.

    Ouvrir la page IAM

  2. Si l'adresse e-mail de l'utilisateur auquel attribuer le rôle figure dans la liste, sélectionnez-la et cliquez sur Modifier (icône en forme de crayon). Cliquez ensuite sur Ajouter un autre rôle.

    Si l'adresse e-mail de l'utilisateur ne figure pas dans la liste, cliquez sur Ajouter, puis saisissez l'adresse e-mail dans le champ Nouveaux comptes principaux.

  3. Cliquez sur la liste déroulante Sélectionner un rôle.

  4. Cliquez sur Data Catalog, puis sur Administrateur de tags avec stratégie.

  5. Cliquez sur Enregistrer.

Pour plus d'informations sur ce rôle, consultez la section Rôles utilisés avec la sécurité au niveau des colonnes.

Créer une taxonomie

Utilisez Data Catalog pour créer une taxonomie et ajouter des tags avec stratégie pour vos données.

Pour les étapes suivantes, le compte utilisateur doit disposer du rôle "Administrateur de tags avec stratégie Data Catalog".

  1. Ouvrez la page "Taxonomies Data Catalog" dans Cloud Console.

    Ouvrir la page "Taxonomies"

  2. Cliquez sur Créer une taxonomie.

  3. Sur la page New taxonomy (Nouvelle taxonomie) :

    1. Dans le champ Taxonomy name (Nom de la taxonomie), saisissez le nom de la taxonomie que vous souhaitez créer.
    2. Dans le champ Description, saisissez une description.
    3. Si nécessaire, modifiez le projet répertorié sous Project (Projet).
    4. Si nécessaire, modifiez l'emplacement répertorié sous Location (Emplacement).
    5. Sous Policy Tags (Tags avec stratégie), saisissez un nom et une description de tag avec stratégie.
    6. Pour ajouter un tag avec stratégie enfant à un tag avec stratégie, cliquez sur Add child policy tag (Ajouter un tag avec stratégie enfant).
    7. Pour ajouter un tag avec stratégie au même niveau qu'un autre tag, cliquez sur l'icône +.

      Ci-dessous figure la page New taxonomy (Nouvelle taxonomie) pour un exemple de taxonomie.

      Page "Créer une taxonomie"

    8. Continuez à ajouter des tags avec stratégie et des tags avec stratégie enfant selon les besoins de votre taxonomie.

    9. Lorsque vous avez fini de créer des tags avec stratégie pour votre hiérarchie, cliquez sur Save (Enregistrer).

    10. Sur la page Classification des tags avec stratégie, activez le curseur Appliquer le contrôle des accès.

Les utilisateurs qui souhaitent consulter les colonnes comportant un tag avec stratégie doivent disposer de l'ensemble complet d'autorisations sur l'ensemble de données, ainsi que du tag avec stratégie. Consultez le guide de sécurité au niveau des colonnes de BigQuery pour obtenir un tutoriel détaillé.

Attribuer le rôle de lecteur détaillé

Les utilisateurs ayant besoin d'accéder aux colonnes protégées par des tags avec stratégie doivent disposer du rôle Lecteur détaillé Data Catalog. Ce rôle est attribué individuellement à chaque tag avec stratégie.

Avant de pouvoir effectuer les étapes suivantes, vous devez disposer des autorisations resourcemanager.projects.setIamPolicy sur le projet pour lequel vous souhaitez accorder le rôle Lecteur détaillé. Si vous ne disposez pas de l'autorisation resourcemanager.projects.setIamPolicy, demandez à un propriétaire de projet de vous l'accorder ou d'effectuer la procédure suivante.

  1. Accédez à la page Data Catalog > Tags avec stratégie.

    Accéder aux tags avec stratégie Data Catalog

  2. Sélectionnez la taxonomie de tags avec stratégie à laquelle vous souhaitez attribuer le rôle.

  3. Dans la section Tags avec stratégie, sélectionnez le tag avec stratégie.

  4. Dans le volet d'informations du tag avec stratégie, cliquez sur AJOUTER UN PRINCIPAL.

    Si le panneau d'informations ne s'affiche pas, cliquez sur AFFICHER LE PANNEAU D'INFORMATIONS.

  5. Dans le volet Add principals (Ajouter des comptes principaux) :

    1. Dans la zone Nouveaux comptes principaux, saisissez l'adresse e-mail de l'utilisateur auquel attribuer le rôle.
    2. Dans le menu Select a role (Sélectionner un rôle), sélectionnez Data Catalog > Fine-Grained Reader (Lecteur détaillé).
    3. Cliquez sur Enregistrer.

Ce compte utilisateur peut désormais afficher toutes les colonnes protégées par ce tag avec stratégie spécifique.

Pour plus d'informations sur ce rôle, consultez la section Rôles utilisés avec la sécurité au niveau des colonnes.

Ajouter un tag avec stratégie à une colonne

Dans Data Catalog, vous ne pouvez associer qu'un seul tag avec stratégie à une colonne. Modifiez le schéma de la table dans BigQuery si vous souhaitez associer des tags avec stratégie à plusieurs colonnes en une seule opération. Consultez Définir un tag avec stratégie sur une colonne dans BigQuery.

  1. Ouvrez la page d'accueil de Data Catalog et recherchez la table BigQuery à laquelle vous souhaitez associer un tag avec stratégie à une colonne.

    Ouvrir la page d'accueil de Data Catalog

    Pour savoir comment trouver des éléments dans Data Catalog, consultez l'article Rechercher des éléments de données.

  2. Faites défiler la page des éléments jusqu'à la section Schema (Schéma).

  3. Dans la table Schema (Schéma), recherchez la ligne qui représente la colonne de la table BigQuery, puis sous Policy Tags (Tags avec stratégie), cliquez sur +.

  4. Dans le panneau Ajouter un tag avec stratégie, sélectionnez le tag avec stratégie que vous souhaitez appliquer à la colonne.

  5. Au bas du panneau, cliquez sur Sélectionner. L'écran qui s'affiche devrait se présenter comme ceci :

    Tag avec stratégie associé à Data Catalog.

La colonne est désormais protégée par le tag avec stratégie. Pour permettre aux utilisateurs d'accéder à ces données, attribuez-leur le rôle Lecteur détaillé Data Catalog pour ce tag avec stratégie. Consultez l'article Rôle de lecteur détaillé.

Supprimer un tag avec stratégie d'une colonne

  1. Ouvrez la page d'accueil de Data Catalog et recherchez la table BigQuery dans laquelle vous souhaitez supprimer un tag avec stratégie d'une colonne.

    Ouvrir la page d'accueil de Data Catalog

    Pour savoir comment trouver des éléments dans Data Catalog, consultez l'article Rechercher des éléments de données.

  2. Faites défiler la page des éléments jusqu'à la section Schema (Schéma).

  3. Dans le tableau Schema (Schéma), recherchez la ligne qui représente la colonne BigQuery, puis dans la cellule Policy Tags (Tags de la règle), cliquez sur X.

    Supprimer le tag avec stratégie.