Limitare l'accesso con controllo dell'accesso a livello di colonna

Questa pagina spiega come utilizzare controllo dell'accesso a livello di colonna BigQuery per limitare l'accesso ai dati BigQuery a livello di colonna. Per informazioni generali sul controllo dell'accesso a livello di colonna, consulta Introduzione al controllo dell'accesso a livello di colonna di BigQuery.

Le istruzioni in questa pagina utilizzano sia BigQuery sia Data Catalog.

Per impostare un tag di criteri su una colonna, devi aggiornare lo schema della tabella. Puoi utilizzare la console Google Cloud, lo strumento a riga di comando bq e l'API BigQuery per impostare un tag di criteri su una colonna. Inoltre, puoi creare una tabella, specificare lo schema e specificare i tag dei criteri all'interno di un'operazione utilizzando le seguenti tecniche:

  • I comandi bq mk e bq load dello strumento a riga di comando bq.
  • Il metodo dell'API tables.insert.
  • La pagina Crea tabella nella console Google Cloud. Se utilizzi la console Google Cloud, devi selezionare Modifica come testo quando aggiungi o modifichi lo schema.

Per migliorare controllo dell'accesso a livello di colonna, puoi eventualmente utilizzare il mascheramento dinamico dei dati. La mascheratura dei dati ti consente di mascherare i dati sensibili sostituendo contenuti null, predefiniti o sottoposti ad hashing al posto del valore effettivo della colonna.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Data Catalog and BigQuery Data Policy APIs.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Data Catalog and BigQuery Data Policy APIs.

    Enable the APIs

  8. BigQuery viene attivato automaticamente nei nuovi progetti, ma potrebbe essere necessario attivarlo in un progetto esistente.

    Enable the BigQuery API.

    Enable the API

Ruoli e autorizzazioni

Esistono diversi ruoli relativi ai tag dei criteri per gli utenti e gli account di servizio.

  • Gli utenti o gli account di servizio che amministrano i tag delle norme devono disporre del ruolo Amministratore tag delle norme del catalogo di dati. Il ruolo Amministratore tag di criteri può gestire le tassonomie e i tag di criteri, nonché concedere o rimuovere i ruoli IAM associati ai tag di criteri.
  • Gli utenti o gli account di servizio che applicano il controllo dell'accesso per il controllo dell'accesso a livello di colonna devono disporre del ruolo Amministratore BigQuery o del ruolo Proprietario dati BigQuery. I ruoli BigQuery possono gestire i criteri dei dati, che vengono utilizzati per applicare controllo dell'accesso a una tassonomia.
  • Per visualizzare le tassonomie e i tag delle norme per tutti i progetti di un'organizzazione nella console Google Cloud, gli utenti devono disporre del ruolo Visualizzatore organizzazione. In caso contrario, la console mostra solo le tassonomie e i tag policy associati al progetto selezionato.
  • Gli utenti o gli account di servizio che eseguono query sui dati protetti dal controllo dell'accesso a livello di colonna devono disporre del ruolo Lettore granulare di Data Catalog per accedere a questi dati.

Per ulteriori informazioni su tutti i ruoli relativi ai tag di criteri, consulta Ruoli utilizzati con il controllo dell'accesso a livello di colonna.

Il ruolo Amministratore dei tag delle norme di Data Catalog

Il ruolo Amministratore tag di criteri di Data Catalog può creare e gestire i tag di criteri relativi ai dati.

Per concedere il ruolo Amministratore tag delle norme, devi disporre dell'autorizzazione resourcemanager.projects.setIamPolicy per il progetto per cui vuoi concedere il ruolo. Se non disponi dell'autorizzazioneresourcemanager.projects.setIamPolicy, chiedi a un Proprietario progetto di concedertela o di eseguire per tuo conto i passaggi che seguono.

  1. Nella console Google Cloud, vai alla pagina IAM.

    Apri la pagina IAM

  2. Se l'indirizzo email dell'utente a cui concedere il ruolo è nell'elenco, selezionalo e fai clic su Modifica. Viene visualizzato il riquadro Modifica accesso. Fai clic su Aggiungi un altro ruolo.

    Se l'indirizzo email dell'utente non è presente nell'elenco, fai clic su Aggiungi, quindi inserisci l'indirizzo email nella casella Nuovi principali.

  3. Fai clic sull'elenco a discesa Seleziona un ruolo.

  4. In Per prodotto o servizio, fai clic su Data Catalog. In Ruoli, fai clic su Amministratore tag norme.

  5. Fai clic su Salva.

I ruoli BigQuery Data Policy Admin, BigQuery Admin e BigQuery Data Owner

I ruoli BigQuery Data Policy Admin, BigQuery Admin e BigQuery Data Owner possono gestire le norme relative ai dati.

Per concedere uno di questi ruoli, devi avere l'autorizzazione resourcemanager.projects.setIamPolicy per il progetto per cui vuoi concedere il ruolo. Se non disponi dell'autorizzazioneresourcemanager.projects.setIamPolicy, chiedi a un Proprietario progetto di concedertela o di eseguire per tuo conto i passaggi che seguono.

  1. Nella console Google Cloud, vai alla pagina IAM.

    Apri la pagina IAM

  2. Se l'indirizzo email dell'utente a cui concedere il ruolo è nell'elenco, selezionalo e fai clic su Modifica. Poi, fai clic su Aggiungi un altro ruolo.

    Se l'indirizzo email dell'utente non è presente nell'elenco, fai clic su Aggiungi, quindi inserisci l'indirizzo email nella casella Nuovi principali.

  3. Fai clic sull'elenco a discesa Seleziona un ruolo.

  4. Fai clic su BigQuery e poi su BigQuery Data Policy Admin o BigQuery Admin o *BigQuery Data Owner.

  5. Fai clic su Salva.

Il ruolo Visualizzatore organizzazione

Il ruolo Visualizzatore dell'organizzazione consente agli utenti di visualizzare i dettagli della risorsa della loro organizzazione. Per concedere questo ruolo, devi disporre dell'autorizzazione resourcemanager.organizations.setIamPolicy per l'organizzazione.

Il ruolo Lettore granulare Data Catalog

Gli utenti che devono accedere ai dati protetti con il controllo dell'accesso a livello di colonna devono disporre del ruolo Lettore granulare di Data Catalog. Questo ruolo viene assegnato alle entità nell'ambito della configurazione di un tag di criteri.

Per concedere a un utente il ruolo Lettore granulare per un tag di criteri, devi disporre dell'autorizzazione datacatalog.taxonomies.setIamPolicy per il progetto che contiene la tassonomia del tag di criteri. Se non disponi dell'autorizzazionedatacatalog.taxonomies.setIamPolicy, chiedi a un Proprietario progetto di concedertela o di eseguire l'azione per tuo conto.

Per le istruzioni, consulta Impostare le autorizzazioni sui tag delle norme.

Configurare controllo dell'accesso a livello di colonna

Configura controllo dell'accesso a livello di colonna completando queste attività:

  • Crea una tassonomia di tag di criteri.
  • Associa le entità ai tag di criteri e concedi loro il ruolo Lettore granulare Data Catalog.
  • Associa i tag di criteri alle colonne della tabella BigQuery.
  • Applica controllo dell'accesso alla tassonomia contenente i tag criterio.

Creazione tassonomie

All'account utente o di servizio che crea una tassonomia deve essere concesso il ruolo Amministratore dei tag dei criteri del catalogo di dati.

Console

  1. Apri la pagina Tassonomie di tag di criteri nella console Google Cloud.

    Apri la pagina Tassonomie di tag di criteri

  2. Fai clic su Crea tassonomia.
  3. Nella pagina Nuova tassonomia:

    1. In Nome tassonomia, inserisci il nome della tassonomia che vuoi creare.
    2. In Descrizione, inserisci una descrizione.
    3. Se necessario, modifica il progetto elencato in Progetto.
    4. Se necessario, modifica la località indicata in Posizione.
    5. In Tag delle norme, inserisci un nome e una descrizione per tag di criteri.
    6. Per aggiungere un tag di criteri figlio per un tag di criteri, fai clic su Aggiungi sottotag.
    7. Per aggiungere un nuovo tag di criteri allo stesso livello di un altro tag di criteri, fai clic su + Aggiungi tag di criteri.
    8. Continua ad aggiungere tag di criteri e tag di criteri figlio in base alle esigenze della tua tassonomia.
    9. Quando hai finito di creare i tag criterio per la gerarchia, fai clic su Crea.

API

Per utilizzare le tassonomie esistenti, chiama taxonomies.import al posto dei primi due passaggi della procedura che segue.

  1. Chiama taxonomies.create per creare una tassonomia.
  2. Chiama taxonomies.policytag.create per creare un tag di criteri.

Impostare le autorizzazioni per i tag delle norme

All'account utente o di servizio che crea una tassonomia deve essere concesso il ruolo Amministratore dei tag dei criteri del catalogo di dati.

Console

  1. Apri la pagina Tassonomie di tag di criteri nella console Google Cloud.

    Apri la pagina Tassonomie di tag di criteri

  2. Fai clic sul nome della tassonomia contenente i tag criterio pertinenti.

  3. Seleziona uno o più tag di criteri.

  4. Se il riquadro Informazioni è nascosto, fai clic su Mostra riquadro Informazioni.

  5. Nel riquadro Informazioni, puoi vedere i ruoli e le entità per i tag delle norme selezionati. Aggiungi il ruolo Amministratore tag policy agli account che creano e gestiscono i tag policy. Aggiungi il ruolo Lettore granulare agli account che devono avere accesso ai dati protetti dal controllo dell'accesso a livello di colonna. Puoi utilizzare questo riquadro anche per rimuovere i ruoli dagli account o modificare altre autorizzazioni.

  6. Fai clic su Salva.

API

Chiama taxonomies.policytag.setIamPolicy per concedere l'accesso a un tag di criteri assegnando le entità ai ruoli appropriati.

Impostare i tag di policy sulle colonne

L'account utente o di servizio che imposta un tag di criteri deve disporre delle autorizzazioni datacatalog.taxonomies.get e bigquery.tables.setCategory. datacatalog.taxonomies.get è incluso nei ruoli Amministratore dei tag delle norme e Visualizzatore progetto di Data Catalog. bigquery.tables.setCategory è incluso nei ruoli BigQuery Admin (roles/bigquery.admin) e BigQuery Data Owner (roles/bigquery.dataOwner).

Per visualizzare le tassonomie e i tag delle norme in tutti i progetti di un'organizzazione nella console Google Cloud, gli utenti devono disporre dell'autorizzazione resourcemanager.organizations.get, inclusa nel ruolo Visualizzatore organizzazione.

Console

Imposta il tag di criteri modificando uno schema utilizzando la console Google Cloud.

  1. Apri la pagina BigQuery nella console Google Cloud.

    Vai alla pagina BigQuery

  2. In BigQuery Explorer, individua e seleziona la tabella che vuoi aggiornare. Si apre lo schema della tabella.

  3. Fai clic su Modifica schema.

  4. Nella schermata Schema attuale, seleziona la colonna di destinazione e fai clic su Aggiungi tag delle norme.

  5. Nella schermata Aggiungi un tag delle norme, individua e seleziona il tag di criteri da applicare alla colonna.

  6. Fai clic su Seleziona. La schermata dovrebbe essere simile a questa:

    Modifica lo schema.

  7. Fai clic su Salva.

bq

  1. Scrivi lo schema in un file locale.

    bq show --schema --format=prettyjson \
       project-id:dataset.table > schema.json

    dove:

    • project-id è l'ID progetto.
    • dataset è il nome del set di dati contenente la tabella che stai aggiornando.
    • table è il nome della tabella che stai aggiornando.
  2. Modifica schema.json per impostare un tag di criteri su una colonna. Per il valore del names campo di policyTags, utilizza il nome della risorsa tag policy.

    [
     ...
     {
       "name": "ssn",
       "type": "STRING",
       "mode": "REQUIRED",
       "policyTags": {
         "names": ["projects/project-id/locations/location/taxonomies/taxonomy-id/policyTags/policytag-id"]
       }
     },
     ...
    ]
  3. Aggiorna lo schema.

    bq update \
       project-id:dataset.table schema.json

API

Per le tabelle esistenti, chiama tables.patch o, per le nuove tabelle, chiama tables.insert. Utilizza la proprietà schema dell'oggetto Table che passi per impostare un tag di criteri nella definizione dello schema. Consulta lo schema esempio della riga di comando per scoprire come impostare un tag di criteri.

Quando si lavora con una tabella esistente, è preferibile utilizzare il metodo tables.patch, poiché il metodo tables.update sostituisce l'intera risorsa tabella.

Altri modi per impostare i tag delle norme sulle colonne

Puoi anche impostare i tag delle norme quando:

  • Utilizza bq mk per creare una tabella. Passa uno schema da utilizzare per la creazione della tabella.
  • Utilizza bq load per caricare i dati in una tabella. Passa uno schema da utilizzare quando carichi la tabella.

Per informazioni generali sugli schemi, consulta Specificare uno schema.

Applica controllo di accesso

Segui queste istruzioni per attivare o disattivare l'applicazione del controllo dell'accesso'accesso.

L'applicazione del controllo dell'accesso'accesso richiede la creazione di un criterio relativo ai dati. Questa operazione viene eseguita automaticamente se applichi il controllo dell'accesso#39;accesso utilizzando la console Google Cloud. Se vuoi applicare il controllo dell'accesso dell'accesso utilizzando l'API BigQuery Data Policy, devi creare esplicitamente il criterio dei dati.

L'account utente o di servizio che applica controllo dell'accesso'accesso deve disporre del ruolo Amministratore BigQuery o del ruolo Proprietario dati BigQuery. Inoltre, devono disporre del ruolo Amministratore del catalogo di dati o del ruolo Visualizzatore del catalogo di dati.

Console

Per applicare controllo dell'accesso#39;accesso:

  1. Apri la pagina Tassonomie di tag di criteri nella console Google Cloud.

    Apri la pagina Tassonomie di tag di criteri

  2. Fai clic sulla tassonomia di cui vuoi applicare controllo dell'accesso a livello di colonna.

  3. Se l'opzione Applica controllo di accesso non è già attiva, fai clic su Applica controllo di accesso per attivarla.

Per interrompere l'applicazione del controllo dell'accesso, se è attivo, fai clic su Applica controllo di accesso per attivare/disattivare il controllo.

Se hai criteri dei dati associati a uno dei tag criterio nella tassonomia, devi eliminare tutti i criteri dei dati nella tassonomia prima di interrompere l'applicazione del controllo dell'accesso#39;accesso. Se elimini le norme sui dati utilizzando l'API BigQuery Data Policy, devi eliminare tutte le norme sui dati con un valore dataPolicyType pari a DATA_MASKING_POLICY. Per ulteriori informazioni, consulta Eliminare i criteri per l'eliminazione dei dati.

API

Per applicare controllo dell'accesso, chiama create e passa una DataPolicy risorsa in cui il campo dataPolicyType è impostato su COLUMN_LEVEL_SECURITY_POLICY.

Per interrompere l'applicazione del controllo dell'accesso, se è attivo, elimina il criterio relativo ai dati associato alla tassonomia. Per farlo, chiama il metodo delete per le norme relative ai dati in questione.

Se hai criteri relativi ai dati associati a uno dei tag criterio nella tassonomia, non puoi interrompere l'applicazione del controllo dell'accesso senza prima eliminare tutti i criteri relativi ai dati nella tassonomia. Per ulteriori informazioni, consulta Eliminare i criteri per l'eliminazione dei dati.

Utilizzare i tag di criteri

Utilizza questa sezione per scoprire come visualizzare, modificare ed eliminare i tag delle norme.

Visualizza i tag di criteri

Per visualizzare i tag criterio che hai creato per una tassonomia:

  1. Apri la pagina Tassonomie di tag di criteri nella console Google Cloud.

    Apri la pagina Tassonomie di tag di criteri

  2. Fai clic sulla tassonomia di cui vuoi visualizzare i tag di criteri. La pagina Tassonomie mostra i tag di criteri nella tassonomia.

Visualizzare i tag di criteri nello schema

Puoi visualizzare i tag di criteri applicati a una tabella quando esamini lo schema della tabella. Puoi visualizzare lo schema utilizzando la console Google Cloud, lo strumento a riga di comando bq, l'API BigQuery e le librerie client. Per informazioni dettagliate su come visualizzare lo schema, vedi Ottenere informazioni sulle tabelle.

Visualizzare le autorizzazioni per i tag di criteri

  1. Apri la pagina Tassonomie di tag di criteri nella console Google Cloud.

    Apri la pagina Tassonomie di tag di criteri

  2. Fai clic sul nome della tassonomia contenente i tag criterio pertinenti.

  3. Seleziona uno o più tag di criteri.

  4. Se il riquadro Informazioni è nascosto, fai clic su Mostra riquadro Informazioni.

  5. Nel riquadro Informazioni, puoi vedere i ruoli e le entità per i tag delle norme selezionati.

Aggiornare le autorizzazioni per i tag delle norme

All'account utente o di servizio che crea una tassonomia deve essere concesso il ruolo Amministratore dei tag dei criteri del catalogo di dati.

Console

  1. Apri la pagina Tassonomie di tag di criteri nella console Google Cloud.

    Apri la pagina Tassonomie di tag di criteri

  2. Fai clic sul nome della tassonomia contenente i tag criterio pertinenti.

  3. Seleziona uno o più tag di criteri.

  4. Se il riquadro Informazioni è nascosto, fai clic su Mostra riquadro Informazioni.

  5. Nel riquadro Informazioni, puoi vedere i ruoli e le entità per i tag delle norme selezionati. Aggiungi il ruolo Amministratore tag policy agli account che creano e gestiscono i tag policy. Aggiungi il ruolo Lettore granulare agli account che devono avere accesso ai dati protetti dal controllo dell'accesso a livello di colonna. Puoi utilizzare questo riquadro anche per rimuovere i ruoli dagli account o modificare altre autorizzazioni.

  6. Fai clic su Salva.

API

Chiama taxonomies.policytag.setIamPolicy per concedere l'accesso a un tag di criteri assegnando le entità ai ruoli appropriati.

Recupera i nomi delle risorse dei tag di criteri

Il nome della risorsa del tag di criteri è necessario quando applichi il tag di criteri a una colonna.

Per recuperare il nome della risorsa del tag di criteri:

  1. Visualizza i tag di criteri per la tassonomia che contiene il tag di criterio.

  2. Individua il tag di criteri di cui vuoi copiare il nome della risorsa.

  3. Fai clic sull'icona Copia nome risorsa tag criterio.

    Copia il nome della risorsa.

Cancellare i tag di criteri

Aggiorna lo schema della tabella per cancellare un tag di criteri da una colonna. Puoi utilizzare la console Google Cloud, lo strumento a riga di comando bq e il metodo dell'API BigQuery per cancellare un tag di criteri da una colonna.

Console

Nella pagina Schema attuale, fai clic su X in Tag di criteri.

Cancella il tag di criteri.

bq

  1. Recupera lo schema e salvalo in un file locale.

    bq show --schema --format=prettyjson \
       project-id:dataset.table > schema.json

    dove:

    • project-id è l'ID progetto.
    • dataset è il nome del set di dati contenente la tabella che stai aggiornando.
    • table è il nome della tabella che stai aggiornando.
  2. Modifica schema.json per cancellare un tag di criteri da una colonna.

    [
     ...
     {
       "name": "ssn",
       "type": "STRING",
       "mode": "REQUIRED",
       "policyTags": {
         "names": []
       }
     },
     ...
    ]
  3. Aggiorna lo schema.

    bq update \
       project-id:dataset.table schema.json

API

Chiama tables.patch e utilizza la proprietà schema per cancellare un tag di criteri nella definizione dello schema. Consulta lo schema di esempio della riga di comando per scoprire come cancellare un tag di criteri.

Poiché il metodo tables.update sostituisce l'intera risorsa tabella, è preferibile il metodo tables.patch.

Eliminare i tag di criteri

Puoi eliminare uno o più tag di policy in una tassonomia oppure puoi eliminare la tassonomia e tutti i tag di policy in essa contenuti. L'eliminazione di un tag di criteri automaticamente l'associazione tra il tag di criteri e le colonne a cui è stato applicato.

Quando elimini un tag di criteri a cui è associato un criterio relativo ai dati, l'eliminazione del criterio relativo ai dati può richiedere fino a 30 minuti. Puoi eliminare direttamente il criterio relativo ai dati se vuoi che venga eliminato immediatamente.

Per eliminare uno o più tag policy in una tassonomia:

  1. Apri la pagina Tassonomie di tag di criteri nella console Google Cloud.

    Apri la pagina Tassonomie di tag di criteri

  2. Fai clic sul nome della tassonomia contenente i tag da eliminare.
  3. Fai clic su Modifica.
  4. Fai clic su accanto ai tag di policy da eliminare.
  5. Fai clic su Salva.
  6. Fai clic su Conferma.

Per eliminare un'intera tassonomia:

  1. Apri la pagina Tassonomie di tag di criteri nella console Google Cloud.

    Apri la pagina Tassonomie di tag di criteri

  2. Fai clic sul nome della tassonomia contenente i tag da eliminare.
  3. Fai clic su Elimina tassonomia dei tag di criteri.
  4. Digita il nome della tassonomia e fai clic su Elimina.

Esegui query sui dati con controllo dell'accesso a livello di colonna

Se un utente ha accesso al set di dati e dispone del ruolo Lettore granulare Data Catalog, i dati delle colonne sono disponibili per l'utente. L'utente esegue una query come di consueto.

Se un utente ha accesso al set di dati, ma non ha il ruolo Lettore granulare Data Catalog, i dati delle colonne non sono disponibili per l'utente. Se un utente di questo tipo esegue SELECT *, riceve un messaggio di errore che elenca le colonne a cui non può accedere. Per risolvere l'errore, puoi:

  • Modifica la query in modo da escludere le colonne a cui l'utente non può accedere. Ad esempio, se l'utente non ha accesso alla colonna ssn, ma ha accesso alle colonne rimanenti, può eseguire la seguente query:

    SELECT * EXCEPT (ssn) FROM ...

    Nell'esempio precedente, la clausola EXCEPT esclude la colonna ssn.

  • Chiedi a un amministratore di Data Catalog di aggiungere l'utente come Lettore granulare Data Catalog alla classe di dati pertinente. Il messaggio di errore fornisce il nome completo del tag di criteri per cui l'utente deve avere accesso.

Domande frequenti

La sicurezza a livello di colonna di BigQuery funziona per le viste?

Sì. Le viste vengono ricavate da una tabella sottostante. Lo stesso controllo dell'accesso a livello di colonna nella tabella si applica quando si accede alle colonne protette tramite una vista.

In BigQuery esistono due tipi di visualizzazioni: visualizzazioni logiche e visualizzazioni autorizzate. Entrambi i tipi di viste derivano da una tabella di origine e sono entrambi coerenti con il controllo dell'accesso a livello di colonna della tabella.

Controllo dell'accesso a livello di colonna funziona con le colonne STRUCT o RECORD?

Sì. Puoi applicare i tag di criteri solo ai campi a foglia e solo questi campi sono protetti.

Posso utilizzare sia l'SQL precedente sia GoogleSQL?

Puoi utilizzare GoogleSQL per eseguire query sulle tabelle protette dal controllo dell'accesso a livello di colonna.

Eventuali query SQL precedente vengono rifiutate se sono presenti tag criterio nelle tabelle di destinazione.

Le query vengono registrate in Cloud Logging?

Il controllo dei tag di criteri viene registrato in Logging. Per ulteriori informazioni, consulta la sezione Log di controllo per controllo dell'accesso a livello di colonna.

La copia di una tabella è interessata dal controllo dell'accesso a livello di colonna?

Sì. Non puoi copiare le colonne se non hai accesso.

Le seguenti operazioni verificano le autorizzazioni a livello di colonna.

Quando copio i dati in una nuova tabella, i tag delle norme vengono propagati automaticamente?

Nella maggior parte dei casi, no. Se copi i risultati di una query in una nuova tabella, a quest'ultima non vengono assegnati automaticamente i tag dei criteri. Pertanto, la nuova tabella non ha un controllo dell'accesso a livello di colonna. Lo stesso vale se esporti i dati in Cloud Storage.

L'eccezione è se utilizzi un job di copia delle tabelle. Poiché i job di copia delle tabelle non applicano alcuna trasformazione dei dati, i tag dei criteri vengono propagati automaticamente alle tabelle di destinazione. Questa eccezione non si applica ai job di copia delle tabelle tra regioni, poiché non supportano la copia dei tag delle norme.

Controllo dell'accesso a livello di colonna è compatibile con Virtual Private Cloud?

Sì, controllo dell'accesso a livello di colonna e il VPC sono compatibili e complementari.

VPC sfrutta IAM per controllare l'accesso ai servizi, come BigQuery e Cloud Storage. Il controllo di accesso a livello di colonna fornisce sicurezza granulare delle singole colonne all'interno di BigQuery stesso.

Per applicare la VPC per i tag di criteri e i criteri dei dati per il controllo dell'accesso a livello di colonna e la mascheratura dei dati dinamici, devi limitare le seguenti API nel perimetro:

Risoluzione dei problemi

Non riesco a vedere i ruoli di Data Catalog

Se non riesci a vedere ruoli come Lettore granulare di Data Catalog, è possibile che non tu abbia abilitato l'API Data Catalog nel tuo progetto. Per scoprire come abilitare l'API Data Catalog, consulta Prima di iniziare. I ruoli di Data Catalog dovrebbero essere visualizzati diversi minuti dopo l'abilitazione dell'API Data Catalog.

Non riesco a visualizzare la pagina Taxonomies (Taxonomie)

Per visualizzare la pagina Taxonomie, devi disporre di autorizzazioni aggiuntive. Ad esempio, il ruolo Amministratore tag di criteri di Data Catalog ha accesso alla pagina Taxonomie.

Ho applicato i tag delle norme, ma sembra che non funzionino

Se continui a ricevere risultati di query per un account che non dovrebbe avere accesso, è possibile che l'account stia ricevendo risultati memorizzati nella cache. Nello specifico, se in precedenza hai eseguito correttamente la query e poi hai applicato i tag delle norme, potresti ottenere risultati dalla cache dei risultati della query. Per impostazione predefinita, i risultati delle query vengono memorizzati nella cache per 24 ore. La query dovrebbe fallire immediatamente se disattivi la cache dei risultati. Per ulteriori dettagli sulla memorizzazione nella cache, consulta Impatto del controllo dell'accesso a livello di colonna.

In genere, la propagazione degli aggiornamenti IAM richiede circa 30 secondi. La propagazione delle modifiche nella gerarchia dei tag di criteri può richiedere fino a 30 minuti.

Non ho l'autorizzazione per leggere da una tabella con sicurezza a livello di colonna

Devi disporre del ruolo Lettore granulare o del ruolo Lettore con maschera a diversi livelli, ad esempio organizzazione, cartella, progetto e tag di criteri. Il ruolo Lettore granulare concede l'accesso ai dati non elaborati, mentre il ruolo Lettore mascherato concede l'accesso ai dati mascherati. Puoi utilizzare lo strumento per la risoluzione dei problemi IAM per controllare questa autorizzazione a livello di progetto.

Ho impostato controllo dell'accesso granulare nella tassonomia dei tag di criteri, ma gli utenti vedono i dati protetti

Per risolvere il problema, verifica i seguenti dettagli:

  • Nella pagina Tassonomia dei tag di criteri, verifica che l'opzione di attivazione/disattivazione Applica il controllo dell'accesso sia impostata su On.
  • Assicurati che le query non utilizzino i risultati delle query memorizzati nella cache. Se utilizzi lo strumento dell'interfaccia a riga di comando bq per testare le query, devi utilizzare --nouse_cache flag per disattivare la cache delle query. Ad esempio:

    bq query --nouse_cache --use_legacy_sql=false "SELECT * EXCEPT (customer_pii) FROM my_table;"