Controllare l'accesso con le condizioni IAM

Questo documento descrive come utilizzare le condizioni IAM per controllare l'accesso alle risorse BigQuery.

Le condizioni IAM ti consentono di concedere l'accesso alle risorse BigQuery solo se sono soddisfatte le condizioni specificate. Ad esempio, puoi concedere l'accesso a una risorsa per una durata limitata o periodicamente per determinate ore del giorno. Puoi aggiungere condizioni IAM a livello di organizzazione, cartella, progetto e set di dati delle risorse. I criteri di autorizzazione con condizioni vengono ereditati dalle risorse figlio. Per ulteriori informazioni sui livelli delle risorse, consulta gerarchie delle risorse.

Le condizioni IAM sono utili per concedere le autorizzazioni Identity and Access Management (IAM) a molte risorse correlate contemporaneamente, incluse le risorse che non esistono ancora. Per concedere le autorizzazioni a gruppi non correlati di risorse BigQuery, valuta la possibilità di utilizzare i tag IAM.

Prima di iniziare

1. Concedi agli utenti ruoli IAM che contengono le autorizzazioni necessarie per eseguire ogni attività descritta in questo documento.
2. Abilita l'API IAM.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per applicare le condizioni IAM alle risorse BigQuery, chiedi all'amministratore di concederti i seguenti ruoli IAM:

• Per i progetti: Project IAM Admin (roles/resourcemanager.projectIamAdmin)
• Per i set di dati: Proprietario dati BigQuery (roles/bigquery.dataOwner)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per applicare le condizioni IAM alle risorse BigQuery. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Per saperne di più sui ruoli e sulle autorizzazioni IAM in BigQuery, consulta Introduzione a IAM.

Abilita l'API IAM

Per abilitare l'API IAM, seleziona una delle seguenti opzioni:

gcloud services enable iam.googleapis.com

Visualizzare i criteri di accesso condizionale per un set di dati

Seleziona una delle seguenti opzioni:

bq show --format=prettyjson PROJECT_ID:DATASET > PATH_TO_FILE

Modificare l'accesso condizionale alle risorse

Le sezioni seguenti descrivono come aggiungere o rimuovere l'accesso condizionale a diverse risorse.

Aggiungere condizioni a un'organizzazione, una cartella o un progetto

Per aggiungere l'accesso condizionale a un'organizzazione, una cartella o un progetto in BigQuery, consulta Policy di autorizzazione con condizioni. Quando crei le condizioni, fai riferimento alle tabelle dei formati degli attributi.

Aggiungere l'accesso condizionale al set di dati

Per aggiungere condizioni a un set di dati, seleziona uno dei seguenti metodi. Quando crei le condizioni, fai riferimento alle tabelle dei formati degli attributi.

"access": [
  {
    "role": "roles/bigquery.dataViewer",
    "userByEmail": "cloudysanfrancisco@gmail.com",
    "condition": {
      "title": "Grant roles/bigquery.dataViewer until 2033",
      "description": "Role expires on December 31, 2032.",
      "expression": "request.time < timestamp('2032-12-31T12:00:00Z')"
    }
  }
]

Rimuovere l'accesso condizionale dai set di dati

Per rimuovere le condizioni da un set di dati, seleziona uno dei seguenti metodi. Quando crei le condizioni, fai riferimento alle tabelle dei formati degli attributi.

Attributi di condizione

Puoi impostare le condizioni IAM sulle risorse BigQuery in base ai seguenti attributi:

• request.time: l'ora in cui l'utente tenta di accedere a una risorsa BigQuery. Per maggiori dettagli ed esempi, vedi Attributo data/ora.
• resource.name: il percorso della risorsa BigQuery. Per il formato, consulta le tabelle in Formati degli attributi.
• resource.type: il tipo di risorsa BigQuery. Per il formato, consulta le tabelle in Formati degli attributi.
• resource.service: il Google Cloud servizio utilizzato dalla risorsa BigQuery. Per il formato, consulta le tabelle in Formati degli attributi.
• resource.tags: i tag collegati alla risorsa BigQuery. I tag sono supportati solo per le risorse di set di dati, tabelle e viste BigQuery. Per il formato, consulta le tabelle in Formati degli attributi e nella documentazione di IAM.

Formati degli attributi

Quando crei condizioni per i set di dati BigQuery, utilizza i seguenti formati:

Quando crei condizioni per tabelle e viste BigQuery, utilizza i seguenti formati:

Quando crei condizioni per le routine BigQuery, utilizza i seguenti formati:

Quando crei condizioni per i modelli BigQuery, utilizza i seguenti formati:

Sostituisci quanto segue:

• PROJECT_ID: l'ID del progetto che contiene le risorse a cui stai concedendo l'accesso
• DATASET_ID: l'ID del set di dati a cui stai concedendo l'accesso
• TABLE_ID: l'ID della tabella o della vista a cui stai concedendo l'accesso
• ROUTINE_ID: l'ID della routine a cui stai concedendo l'accesso
• MODEL_ID: l'ID del modello a cui stai concedendo l'accesso

Best practice per le condizioni

Quando crei condizioni in BigQuery, utilizza le seguenti best practice:

• Per una maggiore precisione, ti consigliamo di utilizzare condizioni positive per resource.type, resource.name e resource.service. Poiché i tipi non supportati sono rappresentati da una stringa vuota, le condizioni negative potrebbero corrispondere a un'ampia gamma di risorse. Per ulteriori informazioni, consulta la sezione Condizioni negative.
• Le condizioni IAM a livello di set di dati devono essere utilizzate solo per i ruoli che si applicano alle risorse all'interno del set di dati, come tabelle, viste, modelli e routine. Non devono essere utilizzati per concedere ruoli che operano a livello di set di dati o progetto, come bigquery.user o bigquery.jobUser.
• Non utilizzare la condizione resource.type == 'bigquery.googleapis.com/Dataset' per le norme a livello di set di dati, perché non ha alcun effetto sull'autorizzazione. Questo attributo ha lo scopo di controllare l'accesso alle risorse del set di dati secondario come tabelle, viste, routine e modelli.
• Includi resource.type, resource.name e resource.service nella condizione, anche quando questo livello di specificità non è necessario. Questa pratica aiuta a mantenere le condizioni man mano che le risorse nel flusso di lavoro cambiano, in modo che altre risorse non vengano incluse involontariamente in futuro.
• Quando concedi le autorizzazioni, includi il set di autorizzazioni più ristretto possibile per assicurarti di non concedere involontariamente un accesso eccessivamente permissivo.
• Usa resource.name.startsWith con cautela. I percorsi della tabella e della visualizzazione BigQuery sono preceduti dall'ID progetto e dall'ID set di dati padre. Condizioni non sufficientemente specifiche potrebbero concedere un accesso eccessivo. Tuttavia, puoi utilizzare l'attributo resource.name.startsWith per consentire agli utenti di eseguire query con caratteri jolly sulle tabelle. Ad esempio, l'accesso concesso utilizzando la condizione resource.name.startsWith("projects/my_project/datasets/my_dataset/tables/table_prefix") consente agli utenti di eseguire la query SELECT * FROM my_dataset.table_prefix*.
• Non aggiungere condizioni per le risorse BigQuery diverse da set di dati, tabelle, viste, routine e modelli.
• Verifica di concedere le autorizzazioni corrette sulla risorsa corretta. Ad esempio, l'autorizzazione per elencare le risorse (bigquery.RESOURCE.list) deve essere concessa a livello principale, mentre l'autorizzazione per eliminare le risorse (bigquery.RESOURCE.delete) deve essere concessa a livello di risorsa. L'eliminazione del set di dati, in cui vengono eliminate anche tutte le risorse contenute, richiede le autorizzazioni di eliminazione di tabelle, modelli e routine nel set di dati.
• Tieni presente che gli snapshot delle tabelle e lo spostamento nel tempo non hanno alcun effetto sulle autorizzazioni.

Condizioni negative

Condizioni negative come resource.name != resource possono concedere inavvertitamente un accesso eccessivamente permissivo. Le risorse BigQuery non supportate hanno attributi di risorsa vuoti, il che significa che corrispondono a tutte le condizioni negative. Anche le risorse nei servizi esterni a BigQuery potrebbero corrispondere a condizioni negative.

Inoltre, le condizioni negative creano problemi quando gli utenti eseguono query con caratteri jolly. Ad esempio, considera la condizione negativa resource.name != /projects/my_project/datasets/my_dataset/tables/secret. Questa condizione sembra concedere l'accesso a tutte le risorse, ad eccezione di una tabella denominata secret. Tuttavia, l'utente può comunque eseguire query sulla tabella utilizzando una query con caratteri jolly, ad esempio SELECT * from my_project.my_dataset.secre*;.

Inoltre, le condizioni negative su tabelle, routine e modelli potrebbero concedere un accesso eccessivamente permissivo ai relativi set di dati padre. Gli utenti potrebbero quindi essere in grado di eliminare queste risorse perché le autorizzazioni di eliminazione vengono gestite a livello di set di dati.

Limitazioni

• Non puoi aggiungere concessioni di vista autorizzata, routine autorizzata o set di dati autorizzato con le condizioni IAM.
• Se viene utilizzato un accessPolicyVersion incompatibile durante la visualizzazione di una risorsa con condizioni, i binding potrebbero contenere withcond seguito da un valore hash. Per saperne di più, vedi Risoluzione dei problemi relativi a withcond in criteri e associazioni di ruoli.
• Gli utenti con accesso condizionale a un set di dati o a una tabella non possono modificare le autorizzazioni per quella risorsa tramite la console Google Cloud . Le modifiche delle autorizzazioni sono supportate solo tramite lo strumento bq e l'API BigQuery.
• Controllo dell'accesso a livello di riga e di colonna non è supportato direttamente tramite le condizioni IAM. Tuttavia, un utente con accesso condizionale può concedersi il ruolo Amministratore BigQuery (roles/bigquery.admin) nella tabella e poi modificare i criteri di accesso a righe e colonne.
• L'applicazione delle modifiche alle norme IAM può richiedere fino a cinque minuti.
• Gli utenti con accesso condizionale potrebbero non essere in grado di eseguire query sulle visualizzazioni INFORMATION_SCHEMA.
• Gli utenti con solo accesso condizionale alla tabella non possono eseguire funzioni jolly per le tabelle.

Esempi

Di seguito sono riportati alcuni esempi di casi d'uso per le condizioni IAM in BigQuery.

Concedere l'accesso in lettura a una tabella specifica

Questo esempio concede a cloudysanfrancisco@gmail.com il ruolo Visualizzatore dati BigQuery per la tabella table_1 nel set di dati dataset_1. Con questo ruolo, l'utente può interrogare la tabella e accedervi tramite lo strumento bq. L'utente non può visualizzare la tabella nella console Google Cloud perché non dispone dell'autorizzazione bigquery.tables.list per il set di dati.

{
  "members": [cloudysanfrancisco@gmail.com],
  "role": roles/bigquery.dataViewer,
  "condition": {
    "title": "Table dataset_1.table_1",
    "description": "Allowed to read table with name table_1 in dataset_1 dataset",
    "expression":
resource.name == projects/project_1/datasets/dataset_1/tables/table_1
&& resource.type == bigquery.googleapis.com/Table
  }
}

Concedere l'accesso all'elenco a un set di dati specifico

Questo esempio concede a cloudysanfrancisco@gmail.com il ruolo Visualizzatore metadati BigQuery sul set di dati dataset_2. Con questo ruolo, l'utente può elencare tutte le risorse nel set di dati, ma non può eseguire query su queste risorse.

{
  "members": [cloudysanfrancisco@gmail.com],
  "role": roles/bigquery.metadataViewer,
  "condition": {
    "title": "Dataset dataset_2",
    "description": "Allowed to list resources in dataset_2 dataset",
    "expression":
resource.name == projects/project_2/datasets/dataset_2
&& resource.type == bigquery.googleapis.com/Dataset
  }
}

Concedere l'accesso come proprietario a tutte le tabelle di tutti i set di dati con un prefisso specifico

Questo esempio concede a cloudysanfrancisco@gmail.com il ruolo Proprietario dati BigQuery su tutte le tabelle di tutti i set di dati che iniziano con il prefisso public_:

{
  "members": [cloudysanfrancisco@gmail.com],
  "role": roles/bigquery.dataOwner,
  "condition": {
    "title": "Tables public_",
    "description": "Allowed owner access to tables in datasets with public_ prefix",
    "expression":
resource.name.startsWith("projects/project_3/datasets/public_")
&& resource.type == bigquery.googleapis.com/Table
  }
}

Concedi l'accesso del proprietario a tutte le tabelle, i modelli e le routine in tutti i set di dati con un prefisso specifico

Questo esempio concede a cloudysanfrancisco@gmail.com il ruolo Proprietario dati BigQuery su tutte le tabelle, i modelli e le routine in tutti i set di dati che iniziano con il prefisso general_:

{
  "members": [cloudysanfrancisco@gmail.com],
  "role": roles/bigquery.dataOwner,
  "condition": {
    "title": "Tables general_",
    "description": "Allowed owner access to tables in datasets with general_ prefix",
    "expression":
resource.name.startsWith("projects/project_4/datasets/general_")
&& resource.type == bigquery.googleapis.com/Table
  }
},
{
  "members": [cloudysanfrancisco@gmail.com],
  "role": roles/bigquery.dataOwner,
  "condition": {
    "title": "Models general_",
    "description": "Allowed owner access to models in datasets with general_ prefix",
    "expression":
resource.name.startsWith("projects/project_4/datasets/general_")
&& resource.type == bigquery.googleapis.com/Model
  }
},
{
  "members": [cloudysanfrancisco@gmail.com],
  "role": roles/bigquery.dataOwner,
  "condition": {
    "title": "Routines general_",
    "description": "Allowed owner access to routines in datasets with general_ prefix",
    "expression":
resource.name.startsWith("projects/project_4/datasets/general_")
&& resource.type == bigquery.googleapis.com/Routine
  }
}

Passaggi successivi

• Scopri di più sulla configurazione dell'accesso temporaneo utilizzando le condizioni IAM.
• Scopri di più su come configurare l'accesso basato sulle risorse utilizzando le condizioni IAM.