Questa pagina è stata tradotta dall'API Cloud Translation.

Controllare l'accesso alle singole tabelle con IAM

Questo documento mostra come concedere e revocare i ruoli di Identity and Access Management (IAM) di BigQuery per singole tabelle e viste di Dataform.

Dataform e BigQuery utilizzano IAM per il controllo dell'accesso. Per ulteriori informazioni sui ruoli e sulle autorizzazioni di Dataform in IAM, consulta Controllare l'accesso con IAM.

Quando Dataform esegue una tabella o una vista, crea la risorsa in BigQuery. Durante lo sviluppo in Dataform, puoi concedere ruoli BigQuery a singole tabelle e viste per controllarne l'accesso in BigQuery dopo l'esecuzione.

Per ulteriori informazioni su come concedere e revocare l'accesso alle risorse, consulta Concedere l'accesso a una risorsa.

Prima di iniziare

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the BigQuery and Dataform APIs.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the BigQuery and Dataform APIs.

Enable the APIs

Concedi i ruoli BigQuery a una tabella o una vista

Puoi concedere i ruoli BigQuery a una tabella o una visualizzazione in Dataform aggiungendo un blocco post_operations con l'istruzione DCL GRANT al file di definizione .sqlx della tabella o della visualizzazione selezionata.

Per concedere i ruoli BigQuery a una tabella o una visualizzazione selezionata:

Nella Google Cloud console, vai alla pagina Dataform.

Vai alla pagina Dataform
Seleziona un repository e poi uno spazio di lavoro.
Nel riquadro File, espandi la directory definitions/.
Seleziona il file di definizione .sqlx della tabella o della vista per cui vuoi concedere l'accesso.
Nel file, inserisci il seguente snippet di codice:
```
post_operations {
    GRANT "ROLE_LIST"
    ON "RESOURCE_TYPE" ${self()}
    TO "USER_LIST"
}
```
Sostituisci quanto segue:
- ROLE_LIST: il ruolo BigQuery o l'elenco di ruoli BigQuery separati da virgole che vuoi concedere.
- RESOURCE_TYPE: TABLE o VIEW.
- USER_LIST: l'elenco separato da virgole degli utenti a cui viene concesso il ruolo.
  
  Per un elenco dei formati validi, consulta user_list.
(Facoltativo) Fai clic su Formato.
Esegui la tabella o la vista.
Se hai concesso l'accesso a una tabella incrementale, rimuovi l'istruzione GRANT dal file di definizione della tabella dopo la prima esecuzione.

Il seguente esempio di codice mostra il ruolo Visualizzatore BigQuery concesso a un utente in una tabella:

config { type: "table" }

SELECT ...

post_operations {
  GRANT `roles/bigquery.dataViewer`
  ON TABLE ${self()}
  TO "user:222larabrown@gmail.com"
}

Revocare i ruoli BigQuery da una tabella o una visualizzazione

Puoi revocare i ruoli BigQuery da una tabella o una visualizzazione aggiungendo un blocco post_operations con l'istruzione DCL REVOKE al file di definizione .sqlx della tabella o della visualizzazione selezionata.

Per revocare i ruoli BigQuery da una tabella o una visualizzazione selezionata:

Nella Google Cloud console, vai alla pagina Dataform.

Vai alla pagina Dataform
Seleziona un repository e poi uno spazio di lavoro.
Nel riquadro File, espandi la directory definitions/.
Seleziona il file di definizione .sqlx della tabella o della vista per cui vuoi revocare l'accesso.
Nel blocco post_operations, inserisci la seguente istruzione REVOKE:
```
    REVOKE "ROLE_LIST"
    ON "RESOURCE_TYPE" ${self()}
    FROM "USER_LIST"
```
Sostituisci quanto segue:
- ROLE_LIST: il ruolo BigQuery o l'elenco di ruoli BigQuery separati da virgole che vuoi revocare.
- RESOURCE_TYPE: TABLE o VIEW.
- USER_LIST: l'elenco separato da virgole degli utenti a cui viene revocato il ruolo. Per un elenco dei formati validi, consulta user_list.
Per revocare l'accesso concesso in un'istruzione GRANT nel file, sostituisci l'istruzione GRANT con un'istruzione REVOKE.

Avviso: la rimozione dell'istruzione GRANT senza aggiungere l'istruzione REVOKE non revoca l'accesso.
(Facoltativo) Fai clic su Formato.
Esegui la tabella o la vista.
Se hai revocato l'accesso a una tabella incrementale, rimuovi l'istruzione REVOKE dal file di definizione della tabella dopo la prima esecuzione.

Il seguente esempio di codice mostra il ruolo Visualizzatore BigQuery revocato da un utente in una tabella:

config { type: "table" }

SELECT ...

post_operations {
  REVOKE `roles/bigquery.dataViewer`
  ON TABLE ${self()}
  FROM "user:222larabrown@gmail.com"
}

Gestire collettivamente i ruoli BigQuery per tabelle e viste

Per controllare l'accesso di BigQuery a singole tabelle e viste in un'unica posizione, puoi creare un file type: "operations" dedicato con istruzioni DCL GRANT e REVOKE.

Per gestire l'accesso alle tabelle BigQuery in un unico file type: "operations":

Nella Google Cloud console, vai alla pagina Dataform.

Vai alla pagina Dataform
Seleziona un repository e poi uno spazio di lavoro.
Nel riquadro File, accanto a definitions/, fai clic sul menu Altro.
Fai clic su Crea file.
Nel campo Aggiungi un percorso del file, inserisci il nome del file seguito da .sqlx dopo definitions/. Ad esempio: definitions/table-access.sqlx.

I nomi dei file possono includere solo numeri, lettere, trattini e trattini bassi.
Fai clic su Crea file.
Nel riquadro File, espandi la directory definitions/ e seleziona il file appena creato.
Nel file, inserisci il seguente snippet di codice:
```
  config { type: "operations" }

  GRANT "ROLE_LIST"
  ON RESOURCE_TYPE RESOURCE_NAME
  TO "USER_LIST"

  REVOKE "ROLE_LIST"
  ON { "<var>" }}RESOURCE_TYPE RESOURCE_NAME
  TO "USER_LIST"
```
Sostituisci quanto segue:
- ROLE_LIST: il ruolo BigQuery o l'elenco di ruoli BigQuery separati da virgole che vuoi concedere o revocare.
- RESOURCE_TYPE: TABLE o VIEW.
- RESOURCE_NAME: il nome della tabella o della visualizzazione.
- USER_LIST: l'elenco separato da virgole di utenti a cui viene concesso o revocato il ruolo. Per un elenco dei formati validi, consulta user_list.
Aggiungi le istruzioni GRANT e REVOKE se necessarie.
1. Per revocare l'accesso concesso in un'istruzione GRANT nel file, sostituisci l'istruzione GRANT con un'istruzione REVOKE.
  
  La rimozione dell'istruzione GRANT senza aggiungere l'istruzione REVOKE non comporta la revoca dell'accesso.
(Facoltativo) Fai clic su Formato.
Esegui il file dopo ogni aggiornamento.
1. Se hai concesso o revocato l'accesso a una tabella incrementale, rimuovi l'istruzione GRANT o REVOKE dal file dopo la prima esecuzione dell'istruzione.

Passaggi successivi

Per scoprire di più su IAM, consulta la panoramica di IAM.
Per scoprire di più su ruoli e autorizzazioni, consulta la sezione Informazioni sui ruoli.
Per scoprire di più sulla gestione dell'accesso alle risorse, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.