在 BigQuery 中使用政策標記的最佳做法

本頁面說明在 BigQuery 中使用政策標記的最佳做法。使用政策標記,在您使用資料欄層級存取權控管機制動態資料遮蓋時,定義資料存取權。

如要瞭解如何在資料欄上設定政策標記,請參閱「在資料欄上設定政策標記」。

建構資料類別階層

建立符合業務需求的資料類別階層。

首先,請考量貴機構處理哪些類型的資料。通常機構管理的資料類別數量不多。舉例來說,機構組織可能會有以下資料類別:

  • 個人識別資訊資料
  • 財務資料
  • 查看客戶訂單記錄

單一資料類別可透過政策代碼套用至多個資料欄。您應利用這層級的抽象化,只需使用少數政策標記即可有效管理多個資料欄。

其次,請思考是否有群組需要不同的資料類別存取權。舉例來說,某個群組需要存取業務敏感資料,例如收入和客戶記錄。另一個群組則需要存取電話號碼和地址等個人識別資料 (PII)。

請注意,您可以在樹狀結構中將政策代碼分組。有時建立包含所有其他政策標記的根政策標記會很有幫助。

下圖為分類法範例。這個階層會將所有資料類型分組為三個頂層政策代碼:「高」、「中」和「低」

資料階層。

每個頂層政策標記都包含葉節政策標記。舉例來說,政策代碼包含信用卡政府身分證生物特徵政策代碼。 也同樣有葉政策標記。

這種結構有幾項優點:

  • 您可以一次授予整個政策代碼群組存取權。舉例來說,您可以授予Data Catalog 精細讀取者角色,並將其設為層級。

  • 您可以將政策標記從一個層級移至另一個層級。舉例來說,您可以將「Address」從「Low」等級移至「Medium」等級,進一步限制存取權,而無須重新分類所有「Address」欄。

  • 透過這項精細的存取權,您只需控制少數幾個資料分類政策標記,即可管理多個資料欄的存取權。

如要進一步瞭解 BigQuery 中的政策標記,請參閱: