Usar tags de política para controlar o acesso às colunas do BigQuery

As tags de política permitem controlar quem pode ver as colunas confidenciais nas tabelas do BigQuery. No Data Catalog, é possível adicionar ou remover tags de política de colunas diretamente na página de detalhes da entrada da tabela.

Antes de começar

  1. Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
  2. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  3. Ative as APIs Data Catalog and BigQuery.

    Ative as APIs

  4. Verifique se você tem os seguintes papéis na projeto: Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

    Verificar os papéis

    1. No Console do Cloud, acesse a página IAM.

      Acessar IAM
    2. Selecionar um projeto.
    3. Encontre a linha que contém seu endereço de e-mail na coluna Participante.

      Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.

    4. Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.

    Conceder os papéis

    1. No Console do Cloud, acesse a página IAM.

      Acesse o IAM
    2. Selecionar um projeto.
    3. Clique em Adicionar.
    4. No campo Novos participantes, digite seu endereço de e-mail.
    5. Na lista Selecionar um papel, escolha um.
    6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
    7. Clique em Save.
  5. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  6. Ative as APIs Data Catalog and BigQuery.

    Ative as APIs

  7. Verifique se você tem os seguintes papéis na projeto: Data Catalog > Policy Tag Admin, BigQuery > Data Viewer

    Verificar os papéis

    1. No Console do Cloud, acesse a página IAM.

      Acessar IAM
    2. Selecionar um projeto.
    3. Encontre a linha que contém seu endereço de e-mail na coluna Participante.

      Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.

    4. Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.

    Conceder os papéis

    1. No Console do Cloud, acesse a página IAM.

      Acesse o IAM
    2. Selecionar um projeto.
    3. Clique em Adicionar.
    4. No campo Novos participantes, digite seu endereço de e-mail.
    5. Na lista Selecionar um papel, escolha um.
    6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
    7. Clique em Save.

Papéis e permissões

Há vários papéis relacionados a tags de política para usuários e contas de serviço. Nesta página, os papéis discutidos são o Administrador de tags de política do Data Catalog e o Leitor refinado do Data Catalog

  • Os usuários ou as contas de serviço que administram as tags de política precisam ter o papel Administrador das tags de política do Data Catalog. Esse papel pode gerenciar taxonomias e tags de política, além de conceder ou remover políticas de ACL.

  • Usuários ou contas de serviço que consultam dados protegidos com tags de política precisam ter o papel Leitor refinado do Data Catalog. adicionado separadamente para cada tag de política.

Para mais informações sobre todos os papéis relacionados à tag de política, consulte Papéis usados com a segurança no nível da coluna.

Papel Administrador de tags de política

O papel Administrador de tags de política do Data Catalog pode criar e gerenciar tags de política de dados.

Para conceder o papel Administrador de tags de política do Data Catalog, é preciso ter permissões resourcemanager.projects.setIamPolicy no projeto a que você quer conceder o Administrador de tags de política. }. Se você não tiver a permissão resourcemanager.projects.setIamPolicy, peça que um proprietário do projeto conceda a você a permissão ou execute as etapas a seguir para você.

  1. No Console do Google Cloud, acesse a página do IAM.

    Abrir a página do IAM

  2. Se o endereço de e-mail do usuário a quem o papel será concedido estiver na lista, selecione o endereço de e-mail e clique em Editar (o ícone de lápis). Em seguida, clique em Adicionar outro papel.

    Se o endereço de e-mail do usuário não estiver na lista, clique em Adicionar e digite o endereço de e-mail na caixa Novos principais.

  3. Clique na lista suspensa Selecionar um papel.

  4. Clique em Data Catalog e em Administrador de tags de política.

  5. Clique em Save.

Para mais informações sobre esse papel, consulte Papéis usados com segurança no nível da coluna.

Criar uma taxonomia

Use o Data Catalog para criar uma taxonomia e adicionar tags de política aos seus dados.

A conta de usuário para as etapas a seguir é necessária para ter o papel de administrador de tags de política do Data Catalog.

  1. Abra a página Taxonomias do Data Catalog no Console do Cloud.

    Abrir a página Taxonomias

  2. Clique em Criar taxonomia.

  3. Na página Nova taxonomia:

    1. Em Nome da taxonomia, insira o nome da taxonomia que você quer criar.
    2. Em Descrição, insira uma descrição.
    3. Se necessário, altere o projeto listado em Projeto.
    4. Se necessário, altere o local listado em Local.
    5. Em Tags de política, insira o nome e a descrição da tag de política.
    6. Para adicionar uma tag de política filha a uma tag de política, clique em Adicionar tag de política filha.
    7. Para adicionar uma nova tag de política no mesmo nível de outra tag de política, clique no ícone +.

      Veja a seguir a página Nova taxonomia de um exemplo de taxonomia.

      Criar página de taxonomia.

    8. Continue adicionando tags de política e tags de política filha conforme necessário para sua taxonomia.

    9. Quando terminar de criar tags de política para sua hierarquia, clique em Salvar.

    10. Na página Taxonomia da tag de política, ative o controle deslizante Aplicar controle de acesso.

Os usuários que querem ver colunas marcadas com uma tag de política precisam do conjunto completo de permissões no conjunto de dados e da própria tag de política. Consulte o guia de segurança no nível da coluna do BigQuery para ver instruções detalhadas.

Conceder o papel Leitor de controle refinado

Os usuários que precisam de acesso a colunas protegidas por tags de política precisam do papel Leitor refinado do Data Catalog. Esse papel é atribuído individualmente em todas as tags de política.

Antes de executar as etapas a seguir, você precisa ter as permissões resourcemanager.projects.setIamPolicy no projeto em que você quer conceder o papel Leitor refinado. Se você não tiver a permissão resourcemanager.projects.setIamPolicy, peça ao proprietário do projeto que conceda a permissão ou execute as etapas a seguir para você.

  1. Acesse a página Data Catalog > Tags de política.

    Acessar as tags de política do Data Catalog

  2. Selecione a taxonomia da tag de política em que você quer conceder o papel.

  3. Na seção Tags de política, selecione a tag de política específica.

  4. No painel de informações da tag de política, clique em ADICIONAR PRINCIPAL.

    Se não for possível ver o painel de informações, clique em MOSTRAR PAINEL DE INFORMAÇÕES.

  5. No painel Adicionar participantes:

    1. Na caixa Novos participantes, digite o endereço de e-mail do usuário para conceder o papel.
    2. No menu Selecionar uma função, selecione Data Catalog > Leitor de controle refinado.
    3. Clique em Save.

Essa conta de usuário já pode ver todas as colunas protegidas por essa tag de política específica.

Para mais informações sobre esse papel, consulte Papéis usados com segurança no nível da coluna.

Adicionar uma tag de política a uma coluna

No Data Catalog, só é possível anexar uma tag de política a uma coluna por vez. Edite o esquema da tabela no BigQuery se quiser anexar tags de política a várias colunas em uma única operação. Veja Definir uma tag de política em uma coluna no BigQuery.

  1. Abra a página inicial do Data Catalog e encontre a tabela do BigQuery em que você quer anexar uma tag de política a uma coluna.

    Abrir a página inicial do Data Catalog

    Para mais informações sobre como encontrar recursos no Data Catalog, consulte Como pesquisar recursos de dados.

  2. Na página de recursos, role para baixo até a seção Esquema.

  3. Na tabela Esquema, encontre a linha que representa a coluna da tabela do BigQuery e, em Tags de política, clique em +.

  4. No painel Adicionar uma tag de política, selecione a tag de política que você quer aplicar à coluna.

  5. Na parte inferior do painel, clique em Selecionar. A tela deve ser semelhante a esta:

    Tag de política anexada ao Data Catalog.

A coluna agora está protegida com a tag de política. Para permitir que os usuários acessem esses dados, conceda a eles o papel Leitor refinado do Data Catalog nessa tag de política. Consulte O papel de leitor de controle refinado.

Limpar uma tag de política de uma coluna

  1. Abra a página inicial do Data Catalog e encontre a tabela do BigQuery em que você quer limpar uma tag de política de uma coluna.

    Abrir a página inicial do Data Catalog

    Para mais informações sobre como encontrar recursos no Data Catalog, consulte Como pesquisar recursos de dados.

  2. Na página de recursos, role para baixo até a seção Esquema.

  3. Na tabela Esquema, encontre a linha que representa a coluna do BigQuery. Na célula Tags de política, clique no X.

    Limpar tag de política.