Utilizzare i tag di criteri per controllare l'accesso alle colonne in BigQuery

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

I tag di criteri consentono di controllare chi può visualizzare le colonne sensibili nelle tabelle di BigQuery. In Data Catalog, puoi aggiungere o rimuovere i tag di criteri alle colonne direttamente nella pagina dei dettagli delle voci della tabella.

Prima di iniziare

  1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
  2. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  3. Abilita le API Data Catalog and BigQuery.

    Abilita le API

  4. Assicurati di disporre del seguente ruolo o dei ruoli seguenti nel progetto: Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

    Verifica i ruoli

    1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM
    2. Seleziona il progetto.
    3. Individua la riga contenente il tuo indirizzo email nella colonna Entità.

      Se il tuo indirizzo email non è presente in questa colonna, significa che non hai ruoli.

    4. Nella colonna Ruolo della riga contenente il tuo indirizzo email, controlla se l'elenco dei ruoli include i ruoli richiesti.

    Concedi i ruoli

    1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM
    2. Seleziona il progetto.
    3. Fai clic su Aggiungi.
    4. Nel campo Nuove entità, inserisci il tuo indirizzo email.
    5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
    7. Fai clic su Salva.
  5. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  6. Abilita le API Data Catalog and BigQuery.

    Abilita le API

  7. Assicurati di disporre del seguente ruolo o dei ruoli seguenti nel progetto: Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

    Verifica i ruoli

    1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM
    2. Seleziona il progetto.
    3. Individua la riga contenente il tuo indirizzo email nella colonna Entità.

      Se il tuo indirizzo email non è presente in questa colonna, significa che non hai ruoli.

    4. Nella colonna Ruolo della riga contenente il tuo indirizzo email, controlla se l'elenco dei ruoli include i ruoli richiesti.

    Concedi i ruoli

    1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM
    2. Seleziona il progetto.
    3. Fai clic su Aggiungi.
    4. Nel campo Nuove entità, inserisci il tuo indirizzo email.
    5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
    7. Fai clic su Salva.

Ruoli e autorizzazioni

Esistono diversi ruoli nei tag di criteri per gli utenti e gli account di servizio. In questa pagina, i ruoli descritti sono Amministratore tag criterio di Data Catalog e Lettore granulare.

  • Gli utenti o gli account di servizio che amministrano i tag di criteri devono avere il ruolo Amministratore tag di criteri relativi ai dati Data Catalog. Questo ruolo può gestire tassonomie e tag di criteri e può concedere o rimuovere criteri ACL.

  • Gli utenti o gli account di servizio che eseguono query sui dati protetti con i tag di criteri devono avere il ruolo Lettore granulare aggiunto separatamente per ogni tag di criteri.

Per ulteriori informazioni su tutti i ruoli relativi ai tag di criteri, consulta Ruoli utilizzati con la sicurezza a livello di colonna.

Ruolo Amministratore tag tag

Il ruolo Amministratore tag di criteri di Data Catalog può creare e gestire i tag di criteri dei dati.

Per concedere il ruolo Amministratore tag criterio di Data Catalog, devi disporre delle autorizzazioni resourcemanager.projects.setIamPolicy per il progetto a cui vuoi concedere il ruolo Amministratore tag criteri. Se non hai l'autorizzazione resourcemanager.projects.setIamPolicy, chiedi a un proprietario del progetto di concederti l'autorizzazione oppure di eseguire la procedura che segue.

  1. In Google Cloud Console, vai alla pagina IAM.

    Apri la pagina IAM

  2. Se l'indirizzo email dell'utente a cui concedere il ruolo è nell'elenco, seleziona l'indirizzo email e fai clic su Modifica (icona a forma di matita). Poi fai clic su Aggiungi un altro ruolo.

    Se l'indirizzo email dell'utente non è nell'elenco, fai clic su Aggiungi, quindi inserisci l'indirizzo email nella casella Nuove entità.

  3. Fai clic sull'elenco a discesa Seleziona un ruolo.

  4. Fai clic su Catalogo dati, quindi su Amministratore tag di criteri.

  5. Fai clic su Salva.

Per ulteriori informazioni su questo ruolo, consulta Ruoli utilizzati con la sicurezza a livello di colonna.

Crea una tassonomia

Puoi utilizzare Data Catalog per creare una tassonomia e aggiungere tag di criteri per i tuoi dati.

L'account utente per i seguenti passaggi deve disporre del ruolo di amministratore Tag tag Data Catalog.

  1. Apri la pagina Tassonomie Dataplex nella console.

    Apri la pagina Tassonomie.

  2. Fai clic su Crea tassonomia.

  3. Nella pagina Nuova tassonomia:

    1. In Nome tassonomia, inserisci il nome della tassonomia che vuoi creare.
    2. Per Descrizione, inserisci una descrizione.
    3. Se necessario, modifica il progetto elencato in Progetto.
    4. Se necessario, modifica la località elencata in Località.
    5. In Tag di criteri, inserisci un nome e una descrizione per il tag di criteri.
    6. Per aggiungere un tag di criteri secondari per un tag di criteri, fai clic su Aggiungi tag di criteri secondari.
    7. Per aggiungere un nuovo tag di criteri allo stesso livello di un altro tag di criteri, fai clic sull'icona +.

      Di seguito viene mostrata la pagina Nuova tassonomia per una tassonomia di esempio.

      Crea pagina della tassonomia.

    8. Continua ad aggiungere tag di criteri e tag di criteri secondari in base alle esigenze per la tua tassonomia.

    9. Dopo aver creato i tag di criteri per la gerarchia, fai clic su Salva.

    10. Nella pagina Tassonomia dei tag di criteri, attiva il dispositivo di scorrimento Applica il controllo dell'accesso.

Gli utenti che vogliono visualizzare le colonne contrassegnate da un tag di criteri devono avere l'insieme completo delle autorizzazioni per il set di dati e il tag di criteri stesso. Per una procedura dettagliata, consulta la Guida alla sicurezza a livello di colonna di BigQuery.

Concedere il ruolo Lettore granulare

Gli utenti che hanno bisogno di accedere alle colonne protette da tag di criteri devono avere il ruolo Lettore granulare. Questo ruolo viene assegnato individualmente per ogni tag di criteri.

Prima di eseguire i seguenti passaggi, devi disporre delle autorizzazioni resourcemanager.projects.setIamPolicy relative al progetto in cui vuoi concedere il ruolo Lettore granulare. Se non hai l'autorizzazione resourcemanager.projects.setIamPolicy, chiedi a un proprietario del progetto di concederti l'autorizzazione o di eseguire la procedura che segue.

  1. Vai alla pagina Dataplex > Tag tag.

    Vai ai tag di criteri Dataplex

  2. Seleziona la tassonomia dei tag di criteri in cui vuoi concedere il ruolo.

  3. Nella sezione Tag di criteri, seleziona il tag di criteri specifico.

  4. Nel riquadro informazioni del tag criterio, fai clic su AGGIUNGI PRINCIPALE.

    Se non vedi il riquadro delle informazioni, fai clic su MOSTRA RIQUADRO INFORMAZIONI.

  5. Nel riquadro Aggiungi entità:

    1. Nella casella Nuove entità, inserisci l'indirizzo email dell'utente a cui vuoi concedere il ruolo.
    2. Nel menu Seleziona un ruolo seleziona Catalogo dati > Lettore granulare.
    3. Fai clic su Salva.

Ora questo account utente può visualizzare tutte le colonne protette da quel determinato tag di criteri.

Per ulteriori informazioni su questo ruolo, consulta Ruoli utilizzati con la sicurezza a livello di colonna.

Aggiungere un tag di criteri a una colonna

In Data Catalog, puoi collegare un solo tag di criteri a una colonna alla volta. Modifica lo schema della tabella in BigQuery se vuoi collegare i tag di criteri a più colonne in una singola operazione. Vedi Impostare un tag di criteri su una colonna in BigQuery.

  1. Apri la pagina di ricerca di Dataplex e trova la tabella BigQuery in cui vuoi collegare un tag di criteri a una colonna.

    Apri la pagina di ricerca di Dataplex

    Per saperne di più, vedi Come cercare gli asset di dati.

  2. Nella pagina degli asset, seleziona la scheda Tag schema e colonna.

  3. Nella tabella Schema, trova la riga che rappresenta la colonna della tabella BigQuery e, in Tag di criteri, fai clic su +.

  4. Nel riquadro Aggiungi un tag di criteri, seleziona il tag di criterio che vuoi applicare alla colonna.

  5. Nella parte inferiore del riquadro, fai clic su Seleziona. La schermata visualizzata dovrebbe essere simile alla seguente:

    Tag di criteri associato in Data Catalog.

La colonna è ora protetta con il tag di criteri. Per consentire agli utenti di accedere a questi dati, assegna loro il ruolo Lettore granulare su questo tag di criteri. Consulta Il ruolo Lettore granulare.

Cancellare un tag di criteri da una colonna

  1. Apri la pagina di ricerca di Dataplex e trova la tabella BigQuery in cui vuoi cancellare un tag di criteri da una colonna.

    Apri la pagina di ricerca di Dataplex

    Consulta l'articolo Come cercare gli asset di dati.

  2. Nella pagina degli asset, seleziona la scheda Tag schema e colonna.

  3. Nella tabella Schema, trova la riga che rappresenta la colonna BigQuery e nella cella Tag di criteri fai clic sulla X.

    Cancella tag criterio.