정책 태그를 사용하여 BigQuery에서 열 액세스 제어

정책 태그를 사용하면 BigQuery 테이블에서 민감한 열을 볼 수 있는 사용자를 제어할 수 있습니다. Data Catalog에서는 테이블 항목 세부정보 페이지의 열에 정책 태그를 직접 추가하거나 삭제할 수 있습니다.

시작하기 전에

  1. Google Cloud 계정에 로그인합니다. Google Cloud를 처음 사용하는 경우 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.

  2. Google Cloud Console의 프로젝트 선택기 페이지에서 Google Cloud 프로젝트를 선택하거나 만듭니다.

    프로젝트 선택기로 이동

  3. API Data Catalog and BigQuery 사용 설정

    API 사용 설정

  4. 프로젝트에 다음 역할이 있는지 확인합니다. Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

    역할 확인

    1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

      IAM으로 이동
    2. 프로젝트를 선택합니다.

    3. 주 구성원 열에서 이메일 주소가 있는 행을 찾습니다.

      이메일 주소가 열에 없으면 역할이 없는 것입니다.

    4. 이메일 주소가 있는 행에 대해 역할 열에서 역할 목록에 필요한 역할이 있는지 확인합니다.

    역할 부여

    1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

      IAM으로 이동
    2. 프로젝트를 선택합니다.
    3. 액세스 권한 부여를 클릭합니다.
    4. 새 주 구성원 필드에 이메일 주소를 입력합니다.
    5. 역할 선택 목록에서 역할을 선택합니다.
    6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
    7. 저장을 클릭합니다.

  5. Google Cloud Console의 프로젝트 선택기 페이지에서 Google Cloud 프로젝트를 선택하거나 만듭니다.

    프로젝트 선택기로 이동

  6. API Data Catalog and BigQuery 사용 설정

    API 사용 설정

  7. 프로젝트에 다음 역할이 있는지 확인합니다. Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

    역할 확인

    1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

      IAM으로 이동
    2. 프로젝트를 선택합니다.

    3. 주 구성원 열에서 이메일 주소가 있는 행을 찾습니다.

      이메일 주소가 열에 없으면 역할이 없는 것입니다.

    4. 이메일 주소가 있는 행에 대해 역할 열에서 역할 목록에 필요한 역할이 있는지 확인합니다.

    역할 부여

    1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

      IAM으로 이동
    2. 프로젝트를 선택합니다.
    3. 액세스 권한 부여를 클릭합니다.
    4. 새 주 구성원 필드에 이메일 주소를 입력합니다.
    5. 역할 선택 목록에서 역할을 선택합니다.
    6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
    7. 저장을 클릭합니다.

역할 및 권한

사용자 및 서비스 계정의 정책 태그와 관련된 몇 가지 역할이 있습니다. 이 페이지에서는 Data Catalog 정책 태그 관리자세분화된 권한의 리더 역할을 설명합니다.

  • 정책 태그를 관리하는 사용자 또는 서비스 계정에는 Data Catalog 정책 태그 관리자 역할이 있어야 합니다. 이 역할은 분류 및 정책 태그를 관리할 수 있으며 ACL 정책을 부여하거나 삭제할 수 있습니다.

  • 정책 태그로 보호된 데이터를 쿼리하는 사용자 또는 서비스 계정에는 각 정책 태그에 대해 세분화된 권한의 리더 역할이 별도로 추가되어야 합니다.

모든 정책 태그 관련 역할에 대한 자세한 내용은 열 수준 보안에서 사용되는 역할을 참조하세요.

정책 태그 관리자 역할

Data Catalog 정책 태그 관리자 역할은 데이터 정책 태그를 만들고 관리할 수 있습니다.

Data Catalog 정책 태그 관리자 역할을 부여하려면 정책 태그 관리자 역할을 부여할 프로젝트에 resourcemanager.projects.setIamPolicy 권한이 있어야 합니다. resourcemanager.projects.setIamPolicy 권한이 없는 경우, 프로젝트 소유자에게 권한 부여를 요청하거나 다음 단계를 수행하도록 요청하세요.

  1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

    IAM 페이지 열기

  2. 역할을 부여할 사용자의 이메일 주소가 목록에 있는 경우 이메일 주소를 선택하고 수정(연필 아이콘)을 클릭합니다. 그런 다음 다른 역할 추가를 클릭합니다.

    사용자 이메일 주소가 목록에 없으면 추가를 클릭한 다음 새 주 구성원 상자에 이메일 주소를 입력합니다.

  3. 역할 선택 드롭다운 목록을 클릭합니다.

  4. Data Catalog를 클릭한 다음 정책 태그 관리자를 클릭합니다.

  5. 저장을 클릭합니다.

이 역할에 대한 자세한 내용은 열 수준 보안에 사용되는 역할을 참조하세요.

분류 만들기

Data Catalog를 사용하여 분류를 만들고 데이터에 대한 정책 태그를 추가합니다.

다음 단계에서는 사용자 계정에 Data Catalog 정책 태그 관리자 역할이 있어야 합니다.

  1. Google Cloud 콘솔에서 Dataplex 분류 페이지를 엽니다.

    분류 페이지 열기

  2. 분류 만들기를 클릭합니다.

  3. 새 분류 페이지에서 다음을 수행합니다.

    1. 분류 이름에 만들려는 분류의 이름을 입력합니다.
    2. 설명에 설명을 입력합니다.
    3. 필요한 경우 프로젝트 아래에 나열된 프로젝트를 변경합니다.
    4. 필요한 경우 위치 아래에 나열된 위치를 변경합니다.
    5. 정책 태그에 정책 태그 이름과 설명을 입력합니다.
    6. 정책 태그에 하위 정책 태그를 추가하려면 하위 정책 태그 추가를 클릭합니다.

    7. 다른 정책 태그와 동일한 수준의 새 정책 태그를 추가하려면 + 아이콘을 클릭합니다.

      다음은 예시 분류의 새 분류 페이지를 보여줍니다.

      분류 페이지 만들기

    8. 분류에 필요한 정책 태그와 하위 정책 태그를 계속 추가합니다.

    9. 계층 구조에 대한 정책 태그 만들기를 완료하면 저장을 클릭합니다.

    10. 정책 태그 분류 페이지에서 액세스 제어 적용 슬라이더를 전환합니다.

정책 태그가 지정된 열을 보려는 사용자에게는 데이터 세트에 대한 전체 권한과 정책 태그 자체가 필요합니다. 자세한 둘러보기는 BigQuery 열 수준 보안 가이드를 참조하세요.

세분화된 리더 역할 부여

정책 태그로 보호되는 열에 액세스해야 하는 사용자에게는 세분화된 권한의 리더 역할이 필요합니다. 이 역할은 모든 정책 태그에 개별적으로 할당됩니다.

다음 단계를 수행하려면 먼저 세분화된 리더 역할을 부여할 프로젝트에 resourcemanager.projects.setIamPolicy 권한이 있어야 합니다. resourcemanager.projects.setIamPolicy 권한이 없는 경우, 프로젝트 소유자에게 권한 부여를 요청하거나 다음 단계를 수행하도록 요청하세요.

  1. Dataplex > 정책 태그 페이지로 이동합니다.

    Dataplex 정책 태그로 이동

  2. 역할을 부여할 정책 태그 분류를 선택합니다.

  3. 정책 태그 섹션에서 특정 정책 태그를 선택합니다.

  4. 정책 태그 정보 창에서 주 구성원 추가를 클릭합니다.

    정보 창이 표시되지 않으면 정보 패널 표시를 클릭합니다.

  5. 주 구성원 추가 창에서 다음을 수행합니다.

    1. 새 주 구성원 상자에 역할을 부여할 사용자의 이메일 주소를 입력합니다.
    2. 역할 선택 메뉴에서 Data Catalog > 세분화된 리더를 선택합니다.
    3. 저장을 클릭합니다.

이제 이 사용자 계정은 특정 정책 태그로 보호되는 모든 열을 볼 수 있습니다.

이 역할에 대한 자세한 내용은 열 수준 보안에 사용되는 역할을 참조하세요.

열에 정책 태그 추가

Data Catalog에서는 한 번에 정책 태그 하나를 열 하나에만 연결할 수 있습니다. 단일 작업에서 여러 열에 정책 태그를 연결하려면 BigQuery에서 테이블 스키마를 수정합니다. BigQuery의 열에 정책 태그 설정을 참조하세요.

  1. Dataplex 검색 페이지를 열고 정책 태그를 열에 연결할 BigQuery 테이블을 찾습니다.

    Dataplex 검색 페이지 열기

    자세한 내용은 데이터 애셋 검색 방법을 참조하세요.

  2. 애셋 페이지에서 스키마 및 열 태그 탭을 선택합니다.

  3. 스키마 테이블에서 BigQuery 테이블 열을 나타내는 행을 찾고 정책 태그에서 +를 클릭합니다.

  4. 정책 태그 추가 패널에서 열에 적용하려는 정책 태그를 선택합니다.

  5. 패널 하단에 있는 선택을 클릭합니다. 다음과 같은 화면이 표시됩니다.

    Data Catalog에 연결된 정책 태그

이제 열이 정책 태그로 보호됩니다. 사용자가 이 데이터에 액세스할 수 있게 하려면 이 정책 태그에 대한 세분화된 리더 역할을 부여합니다. 세분화된 리더 역할을 참조하세요.

열에서 정책 태그 지우기

  1. Dataplex 검색 페이지를 열고 열에서 정책 태그를 삭제할 BigQuery 테이블을 찾습니다.

    Dataplex 검색 페이지 열기

    데이터 애셋 검색 방법을 참조하세요.

  2. 애셋 페이지에서 스키마 및 열 태그 탭을 선택합니다.

  3. 스키마 테이블에서 BigQuery 열을 나타내는 행을 찾고 정책 태그 셀에서 X를 클릭합니다.

    정책 태그 삭제