Utilizza i tag di criteri per controllare l'accesso alle colonne in BigQuery

I tag di criteri consentono di controllare chi può visualizzare le colonne sensibili nelle tabelle BigQuery. In Data Catalog, puoi aggiungere o rimuovere i tag di criteri nelle colonne direttamente nella pagina dei dettagli della voce della tabella.

Prima di iniziare

1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

2. Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

   Vai al selettore progetti

3. Abilita le API Data Catalog and BigQuery.

   Abilita le API

4. Assicurati di disporre dei seguenti ruoli nel progetto: Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

   Verifica i ruoli

   1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM
   2. Seleziona il progetto.

   3. Nella colonna Entità, individua la riga contenente il tuo indirizzo email.

      Se il tuo indirizzo email non è in questa colonna, significa che non disponi di alcun ruolo.

   4. Nella colonna Ruolo per la riga contenente il tuo indirizzo email, controlla se l'elenco dei ruoli include quelli richiesti.

   Concedi i ruoli

   1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM
   2. Seleziona il progetto.
   3. Fai clic su person_add Concedi l'accesso.
   4. Nel campo Nuove entità, inserisci il tuo indirizzo email.
   5. Nell'elenco Seleziona un ruolo, scegli un ruolo.
   6. Per concedere altri ruoli, fai clic su add Aggiungi un altro ruolo e aggiungi ciascun ruolo aggiuntivo.
   7. Fai clic su Salva.

5. Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

   Vai al selettore progetti

6. Abilita le API Data Catalog and BigQuery.

   Abilita le API

7. Assicurati di disporre dei seguenti ruoli nel progetto: Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

   Verifica i ruoli

   1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM
   2. Seleziona il progetto.

   3. Nella colonna Entità, individua la riga contenente il tuo indirizzo email.

      Se il tuo indirizzo email non è in questa colonna, significa che non disponi di alcun ruolo.

   4. Nella colonna Ruolo per la riga contenente il tuo indirizzo email, controlla se l'elenco dei ruoli include quelli richiesti.

   Concedi i ruoli

   1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM
   2. Seleziona il progetto.
   3. Fai clic su person_add Concedi l'accesso.
   4. Nel campo Nuove entità, inserisci il tuo indirizzo email.
   5. Nell'elenco Seleziona un ruolo, scegli un ruolo.
   6. Per concedere altri ruoli, fai clic su add Aggiungi un altro ruolo e aggiungi ciascun ruolo aggiuntivo.
   7. Fai clic su Salva.

Ruoli e autorizzazioni

Esistono diversi ruoli relativi ai tag di criteri per gli utenti e gli account di servizio. In questa pagina, i ruoli discussi sono il ruolo Amministratore tag di criteri Data Data e il ruolo Lettore granulare.

• Gli utenti o gli account di servizio che amministrano i tag di criteri devono disporre del ruolo Amministratore tag di criteri Data Catalog. Questo ruolo può gestire tassonomie e tag di criteri e può concedere o rimuovere criteri ACL.

• Agli utenti o agli account di servizio che eseguono query sui dati protetti con tag di criteri deve essere aggiunto separatamente il ruolo Lettore granulare per ciascun tag di criteri.

Per ulteriori informazioni su tutti i ruoli correlati ai tag di criteri, vedi Ruoli utilizzati con la sicurezza a livello di colonna.

Ruolo Amministratore tag di criteri

Il ruolo Tag tag criterio Data Catalog può creare e gestire i tag dei criteri dei dati.

Per concedere il ruolo Amministratore tag criteri dati, devi disporre delle autorizzazioni resourcemanager.projects.setIamPolicy per il progetto a cui vuoi concedere il ruolo Amministratore tag criteri. Se non hai l'autorizzazione resourcemanager.projects.setIamPolicy, chiedi a un proprietario del progetto di concederti l'autorizzazione o di eseguire la procedura che segue.

1. In Google Cloud Console, vai alla pagina IAM.

   Apri la pagina IAM

2. Se l'indirizzo email dell'utente a cui vuoi concedere il ruolo è nell'elenco, seleziona l'indirizzo email e fai clic su Modifica (l'icona a forma di matita). Fai clic su Aggiungi un altro ruolo.

   Se l'indirizzo email dell'utente non è nell'elenco, fai clic su person_add Aggiungi, quindi inserisci l'indirizzo email nella casella Nuove entità.

3. Fai clic sull'elenco a discesa Seleziona un ruolo.

4. Fai clic su Data Catalog, quindi su Policy Tag Admin.

5. Fai clic su Salva.

Per ulteriori informazioni su questo ruolo, consulta Ruoli utilizzati con la sicurezza a livello di colonna.

Creare una tassonomia

Puoi utilizzare Data Catalog per creare una tassonomia e aggiungere tag di criteri per i tuoi dati.

L'account utente per i seguenti passaggi deve disporre del ruolo Amministratore tag criterio Data Catalog.

1. Apri la pagina Tassonomie di Dataplex in Google Cloud Console.

   Apri la pagina Tassonomie

2. Fai clic su Crea tassonomia.

3. Nella pagina Nuova tassonomia:

   1. In Nome tassonomia, inserisci il nome della tassonomia che vuoi creare.
   2. In Descrizione, inserisci una descrizione.
   3. Se necessario, modifica il progetto elencato in Progetto.
   4. Se necessario, modifica la posizione elencata in Località.
   5. In Tag di criteri, inserisci un nome e una descrizione per il tag di criteri.
   6. Per aggiungere un tag di criteri secondari per un tag di criteri, fai clic su Aggiungi tag di criteri secondari.

   7. Per aggiungere un nuovo tag di criteri allo stesso livello di un altro tag di criteri, fai clic sull'icona +.
      
      Di seguito è riportata la pagina Nuova tassonomia per un esempio di tassonomia.

      

   8. Continua ad aggiungere tag di criteri e tag di criteri secondari in base alle tue esigenze per la tassonomia.

   9. Una volta creati i tag di criteri per la gerarchia, fai clic su Salva.

   10. Nella pagina Tassonomia dei tag di criteri, attiva il dispositivo di scorrimento Applica il controllo dell'accesso.

Gli utenti che vogliono visualizzare le colonne taggate con un tag di criteri devono avere l'insieme completo di autorizzazioni per il set di dati e il tag di criteri stesso. Per una procedura dettagliata, consulta la guida alla sicurezza a livello di colonna di BigQuery.

Concedi il ruolo Lettore granulare

Gli utenti che hanno bisogno di accedere alle colonne protette da tag di criteri devono avere il ruolo Lettore granulare. Questo ruolo viene assegnato individualmente per ogni tag di criteri.

Prima di eseguire i passaggi seguenti, devi disporre delle autorizzazioni resourcemanager.projects.setIamPolicy per il progetto a cui vuoi concedere il ruolo Lettore granulare. Se non hai l'autorizzazione resourcemanager.projects.setIamPolicy, chiedi a un proprietario del progetto di concederti l'autorizzazione o di eseguire la procedura che segue.

1. Vai alla pagina Dataplex > Tag di criteri.

   Vai ai tag di criteri Dataplex

2. Seleziona la tassonomia dei tag di criteri a cui vuoi concedere il ruolo.

3. Nella sezione Tag di criteri, seleziona il tag di criteri specifico.

4. Nel riquadro delle informazioni del tag criterio, fai clic su AGGIUNGI ENTITÀ.

   Se non vedi il riquadro delle informazioni, fai clic su MOSTRA PANNELLO INFORMAZIONI.

5. Nel riquadro Aggiungi entità:

   1. Nella casella Nuove entità, inserisci l'indirizzo email dell'utente a cui vuoi assegnare il ruolo.
   2. Nel menu Seleziona un ruolo, seleziona Catalogo dati > Lettore granulare.
   3. Fai clic su Salva.

Ora questo account utente può visualizzare tutte le colonne protette da quel tag di criteri specifico.

Per ulteriori informazioni su questo ruolo, consulta Ruoli utilizzati con la sicurezza a livello di colonna.

Aggiungere un tag di criteri a una colonna

In Data Catalog, puoi collegare un solo tag di criteri a una colonna alla volta. Modifica lo schema della tabella in BigQuery se vuoi collegare i tag di criteri a più colonne in una singola operazione. Consulta la sezione Impostare un tag di criteri su una colonna di BigQuery.

1. Apri la pagina di ricerca di Dataplex e individua la tabella BigQuery a cui vuoi collegare un tag di criteri a una colonna.

   Apri la pagina di ricerca di Dataplex

   Per saperne di più, consulta l'articolo Come cercare gli asset di dati.

2. Nella pagina degli asset, seleziona la scheda Tag schema e colonna.

3. Nella tabella Schema, individua la riga che rappresenta la colonna della tabella BigQuery e, in Tag criterio, fai clic su +.

4. Nel riquadro Aggiungi un tag di criteri, seleziona il tag di criteri che vuoi applicare alla colonna.

5. Nella parte inferiore del riquadro, fai clic su Seleziona. La schermata visualizzata dovrebbe essere simile alla seguente:

   

Ora la colonna è protetta con il tag di criteri. Per consentire agli utenti di accedere a questi dati, concedi loro il ruolo Lettore granulare in questo tag di criteri. Vedi Il ruolo Lettore granulare.

Cancellare un tag di criteri da una colonna

1. Apri la pagina di ricerca di Dataplex e trova la tabella BigQuery in cui vuoi cancellare un tag di criteri da una colonna.

   Apri la pagina di ricerca di Dataplex

   Consulta la pagina Come cercare gli asset di dati.

2. Nella pagina degli asset, seleziona la scheda Tag schema e colonna.

3. Nella tabella Schema, individua la riga che rappresenta la colonna BigQuery e fai clic sulla X nella cella Tag di criteri.