Controlla l'accesso alle risorse con IAM
Questo documento descrive come visualizzare il criterio di accesso corrente di una risorsa, come concedere l'accesso a una risorsa e come revocare l'accesso a una risorsa.
Questo documento presuppone la conoscenza del sistema Identity and Access Management (IAM) in Google Cloud.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per modificare i criteri IAM per le risorse,
chiedi all'amministratore di concederti il ruolo IAM Proprietario dati BigQuery (roles/bigquery.dataOwner
) nel progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene le autorizzazioni necessarie per modificare i criteri IAM per le risorse. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per modificare i criteri IAM per le risorse sono necessarie le seguenti autorizzazioni:
-
Per ottenere i criteri di accesso di un set di dati:
bigquery.datasets.get
-
Per impostare i criteri di accesso di un set di dati:
bigquery.datasets.update
-
Per ottenere il criterio di accesso di un set di dati (solo console Google Cloud):
bigquery.datasets.getIamPolicy
-
Per impostare i criteri di accesso di un set di dati (solo console):
bigquery.datasets.setIamPolicy
-
Per ottenere il criterio di una tabella o di una vista:
bigquery.tables.getIamPolicy
-
Per impostare il criterio di una tabella o di una vista:
bigquery.tables.setIamPolicy
-
Per creare lo strumento bq o i job BigQuery SQL (facoltativo):
bigquery.jobs.create
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Visualizzare il criterio di accesso di una risorsa
Le seguenti sezioni descrivono come visualizzare i criteri di accesso di diverse risorse.
Visualizzare il criterio di accesso di un set di dati
Seleziona una delle seguenti opzioni:
Console
Vai alla pagina BigQuery.
Nel riquadro Explorer, espandi il progetto e seleziona un set di dati.
Fai clic su > Autorizzazioni.
CondivisioneI criteri di accesso ai set di dati vengono visualizzati nel riquadro Autorizzazioni set di dati.
bq
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Per recuperare un criterio esistente e stamparlo in un file locale in JSON, utilizza il comando
bq show
in Cloud Shell:bq show \ --format=prettyjson \ PROJECT_ID:DATASET > PATH_TO_FILE
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto
- DATASET: il nome del set di dati
- PATH_TO_FILE: il percorso del file JSON sul computer locale
API
Per visualizzare il criterio di accesso di un set di dati, chiama il metodo
datasets.get
con una
risorsa dataset
definita.
Il criterio è disponibile nella proprietà access
della risorsa dataset
rimessa.
Visualizzare il criterio di accesso di una tabella o una visualizzazione
Seleziona una delle seguenti opzioni:
Console
Vai alla pagina BigQuery.
Nel riquadro Explorer, espandi il progetto e seleziona una tabella o una vista.
Fai clic su
Condividi.I criteri di accesso alla tabella o alla visualizzazione vengono visualizzati nel riquadro Condividi.
bq
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Per recuperare un criterio di accesso esistente e stamparlo in un file locale in JSON, utilizza il comando
bq get-iam-policy
in Cloud Shell:bq get-iam-policy \ --table=true \ PROJECT_ID:DATASET.RESOURCE > PATH_TO_FILE
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto
- DATASET: il nome del set di dati
- RESOURCE: il nome della tabella o della vista di cui vuoi visualizzare il criterio
- PATH_TO_FILE: il percorso del file JSON sul computer locale
API
Per recuperare il criterio corrente, chiama il
metodo tables.getIamPolicy
.
Concedere l'accesso a una risorsa
Le seguenti sezioni descrivono come concedere l'accesso a risorse diverse.
Concedere l'accesso a un set di dati
Seleziona una delle seguenti opzioni:
Console
Vai alla pagina BigQuery.
Nel riquadro Explorer, espandi il progetto e seleziona un set di dati da condividere.
Fai clic su > Autorizzazioni.
CondivisioneFai clic su
Aggiungi entità.Nel campo Nuovi principali, inserisci un principale.
Nell'elenco Seleziona un ruolo, seleziona un ruolo predefinito o un ruolo personalizzato.
Fai clic su Salva.
Per tornare alle informazioni del set di dati, fai clic su Chiudi.
SQL
Per concedere ai principali l'accesso ai set di dati, utilizza
l'istruzione DCL GRANT
:
Nella console Google Cloud, vai alla pagina BigQuery.
Nell'editor di query, inserisci la seguente istruzione:
GRANT `ROLE_LIST` ON SCHEMA RESOURCE_NAME TO "USER_LIST"
Sostituisci quanto segue:
ROLE_LIST
: un ruolo o un elenco di ruoli separati da virgole che vuoi concedereRESOURCE_NAME
: il nome della risorsa su cui vuoi concedere l'autorizzazioneUSER_LIST
: un elenco separato da virgole di utenti a cui viene concesso il ruoloPer un elenco dei formati validi, consulta
user_list
.
Fai clic su
Esegui.
Per ulteriori informazioni su come eseguire query, consulta Eseguire una query interattiva.
Nell'esempio seguente viene concesso il ruolo Visualizzatore dati al set di datimyDataset
:
GRANT `roles/bigquery.dataViewer`
ON SCHEMA `myProject`.myDataset
TO "user:raha@example-pet-store.com", "user:sasha@example-pet-store.com"
bq
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Per scrivere le informazioni esistenti del set di dati (inclusi i controlli di accesso) in un file JSON, utilizza il comando
bq show
:bq show \ --format=prettyjson \ PROJECT_ID:DATASET > PATH_TO_FILE
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto
- DATASET: il nome del set di dati
- PATH_TO_FILE: il percorso del file JSON sul computer locale
Apporta modifiche alla sezione
access
del file JSON. Puoi aggiungere a una delle vocispecialGroup
:projectOwners
,projectWriters
,projectReaders
eallAuthenticatedUsers
. Puoi anche aggiungere uno dei seguenti valori:userByEmail
,groupByEmail
edomain
.Ad esempio, la sezione
access
del file JSON di un set di dati sarà simile alla seguente:{ "access": [ { "role": "READER", "specialGroup": "projectReaders" }, { "role": "WRITER", "specialGroup": "projectWriters" }, { "role": "OWNER", "specialGroup": "projectOwners" }, { "role": "READER", "specialGroup": "allAuthenticatedUsers" }, { "role": "READER", "domain": "domain_name" }, { "role": "WRITER", "userByEmail": "user_email" }, { "role": "READER", "groupByEmail": "group_email" } ], ... }
Al termine delle modifiche, utilizza il comando
bq update
e includi il file JSON utilizzando il flag--source
. Se il set di dati si trova in un progetto diverso da quello predefinito, aggiungi l'ID progetto al nome del set di dati nel seguente formato:PROJECT_ID:DATASET
.bq update \ --source PATH_TO_FILE \ PROJECT_ID:DATASET
Per verificare le modifiche controllo dell'accesso, utilizza di nuovo il comando
bq show
senza scrivere le informazioni in un file:bq show --format=prettyjson PROJECT_ID:DATASET
Terraform
Utilizza le risorse google_bigquery_dataset_iam
per aggiornare l'accesso a un set di dati.
Impostare i criteri di accesso per un set di dati
L'esempio seguente mostra come utilizzare la
risorsa google_bigquery_dataset_iam_policy
per impostare il criterio IAM per il
mydataset
set di dati. Questo sostituisce qualsiasi criterio esistente già associato al set di dati:
# This file sets the IAM policy for the dataset created by # https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_dataset/main.tf. # You must place it in the same local directory as that main.tf file, # and you must have already applied that main.tf file to create # the "default" dataset resource with a dataset_id of "mydataset". data "google_iam_policy" "iam_policy" { binding { role = "roles/bigquery.admin" members = [ "user:hao@altostrat.com", ] } binding { role = "roles/bigquery.dataOwner" members = [ "group:dba@altostrat.com", ] } binding { role = "roles/bigquery.dataEditor" members = [ "serviceAccount:bqcx-1234567891011-12a3@gcp-sa-bigquery-condel.iam.gserviceaccount.com", ] } } resource "google_bigquery_dataset_iam_policy" "dataset_iam_policy" { dataset_id = google_bigquery_dataset.default.dataset_id policy_data = data.google_iam_policy.iam_policy.policy_data }
Impostare l'appartenenza a un ruolo per un set di dati
L'esempio seguente mostra come utilizzare la
risorsa google_bigquery_dataset_iam_binding
per impostare l'appartenenza a un determinato ruolo per il
mydataset
set di dati. Verrà sostituito qualsiasi appartenenza esistente a quel ruolo.
Gli altri ruoli all'interno del criterio IAM per il set di dati
vengono conservati:
# This file sets membership in an IAM role for the dataset created by # https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_dataset/main.tf. # You must place it in the same local directory as that main.tf file, # and you must have already applied that main.tf file to create # the "default" dataset resource with a dataset_id of "mydataset". resource "google_bigquery_dataset_iam_binding" "dataset_iam_binding" { dataset_id = google_bigquery_dataset.default.dataset_id role = "roles/bigquery.jobUser" members = [ "user:raha@altostrat.com", "group:analysts@altostrat.com" ] }
Impostare l'appartenenza al ruolo per un singolo principale
L'esempio seguente mostra come utilizzare la
risorsa google_bigquery_dataset_iam_member
per aggiornare il criterio IAM per il
mydataset
set di dati in modo da concedere un ruolo a un'entità. L'aggiornamento di questo
criterio IAM non influisce sull'accesso di altri principali
a cui è stato concesso questo ruolo per il set di dati.
# This file adds a member to an IAM role for the dataset created by # https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_dataset/main.tf. # You must place it in the same local directory as that main.tf file, # and you must have already applied that main.tf file to create # the "default" dataset resource with a dataset_id of "mydataset". resource "google_bigquery_dataset_iam_member" "dataset_iam_member" { dataset_id = google_bigquery_dataset.default.dataset_id role = "roles/bigquery.user" member = "user:yuri@altostrat.com" }
Per applicare la configurazione Terraform in un progetto Google Cloud, completa i passaggi nelle seguenti sezioni.
Prepara Cloud Shell
- Avvia Cloud Shell.
-
Imposta il progetto Google Cloud predefinito in cui vuoi applicare le configurazioni Terraform.
Devi eseguire questo comando una sola volta per progetto e puoi farlo in qualsiasi directory.
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione Terraform.
Prepara la directory
Ogni file di configurazione di Terraform deve avere una propria directory (chiamata anche modulo principale).
-
In Cloud Shell, crea una directory e un nuovo
file al suo interno. Il nome file deve avere l'estensione
.tf
, ad esempiomain.tf
. In questo tutorial, il file è denominatomain.tf
.mkdir DIRECTORY && cd DIRECTORY && touch main.tf
-
Se stai seguendo un tutorial, puoi copiare il codice campione in ogni sezione o passaggio.
Copia il codice campione nel
main.tf
appena creato.Se vuoi, copia il codice da GitHub. Questa opzione è consigliata quando lo snippet Terraform fa parte di una soluzione end-to-end.
- Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
- Salva le modifiche.
-
Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory.
terraform init
Se vuoi, per utilizzare la versione più recente del provider Google, includi l'opzione
-upgrade
:terraform init -upgrade
Applica le modifiche
-
Rivedi la configurazione e verifica che le risorse che Terraform sta per creare o
aggiornare corrispondano alle tue aspettative:
terraform plan
Apporta le correzioni necessarie alla configurazione.
-
Applica la configurazione di Terraform eseguendo il seguente comando e inserendo
yes
al prompt:terraform apply
Attendi che Terraform mostri il messaggio "Applicazione completata".
- Apri il tuo progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nell'interfaccia utente per assicurarti che Terraform le abbia create o aggiornate.
API
Per applicare i controlli di accesso al momento della creazione del set di dati, chiama il
metodo datasets.insert
con una
risorsa set di dati definita.
Per aggiornare i controlli di accesso, chiama il
metodo datasets.patch
e utilizza
la proprietà access
nella risorsa Dataset
.
Poiché il metodo datasets.update
sostituisce l'intera risorsa del set di dati,
datasets.patch
è il metodo preferito per aggiornare i controlli di accesso.
Vai
Prima di provare questo esempio, segui le istruzioni di configurazione Go riportate nella guida rapida all'utilizzo di BigQuery con le librerie client. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API BigQuery Go.
Per autenticarti in BigQuery, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Java
Prima di provare questo esempio, segui le istruzioni di configurazione Java riportate nella guida rapida all'utilizzo di BigQuery con le librerie client. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API BigQuery Java.
Per autenticarti in BigQuery, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Python
Prima di provare questo esempio, segui le istruzioni di configurazione Python riportate nella guida rapida all'utilizzo di BigQuery con le librerie client. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API BigQuery Python.
Per autenticarti in BigQuery, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Imposta la proprietàdataset.access_entries
con i controlli di accesso per un set di dati. Quindi, chiama la
funzione client.update_dataset()
per aggiornare la proprietà.
Concedere l'accesso a una tabella o una vista
Seleziona una delle seguenti opzioni:
Console
Vai alla pagina BigQuery.
Nel riquadro Explorer, espandi il progetto e seleziona una tabella o una vista da condividere.
Fai clic su
Condividi.Fai clic su
Aggiungi entità.Nel campo Nuovi principali, inserisci un principale.
Nell'elenco Seleziona un ruolo, seleziona un ruolo predefinito o un ruolo personalizzato.
Fai clic su Salva.
Per tornare alla tabella o visualizzare i dettagli, fai clic su Chiudi.
SQL
Per concedere ai principali l'accesso a tabelle o viste, utilizza
GRANT
l'istruzione DCL:
Nella console Google Cloud, vai alla pagina BigQuery.
Nell'editor di query, inserisci la seguente istruzione:
GRANT `ROLE_LIST` ON RESOURCE_TYPE RESOURCE_NAME TO "USER_LIST"
Sostituisci quanto segue:
ROLE_LIST
: un ruolo o un elenco di ruoli separati da virgole che vuoi concedereRESOURCE_TYPE
: il tipo di risorsa a cui viene applicato il ruoloI valori supportati includono
TABLE
,VIEW
,MATERIALIZED VIEW
eEXTERNAL TABLE
.RESOURCE_NAME
: il nome della risorsa su cui vuoi concedere l'autorizzazioneUSER_LIST
: un elenco separato da virgole di utenti a cui viene concesso il ruoloPer un elenco dei formati validi, consulta
user_list
.
Fai clic su
Esegui.
Per ulteriori informazioni su come eseguire query, consulta Eseguire una query interattiva.
L'esempio seguente concede il ruolo Visualizzatore dati alla tabellamyTable
:
GRANT `roles/bigquery.dataViewer`
ON TABLE `myProject`.myDataset.myTable
TO "user:raha@example-pet-store.com", "user:sasha@example-pet-store.com"
bq
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Per concedere l'accesso a una tabella o una vista, utilizza il comando
bq add-iam-policy-binding
:bq add-iam-policy-binding --member=MEMBER_TYPE:MEMBER --role=ROLE --table=true RESOURCE
Sostituisci quanto segue:
- MEMBER_TYPE: il tipo di membro, ad esempio
user
,group
,serviceAccount
odomain
. - MEMBER: l'indirizzo email o il nome di dominio del membro.
- ROLE: il ruolo che vuoi assegnare al membro.
- RESOURCE: il nome della tabella o della vista di cui vuoi aggiornare il criterio.
- MEMBER_TYPE: il tipo di membro, ad esempio
Terraform
Utilizza le risorse
google_bigquery_table_iam
per aggiornare l'accesso a una tabella.
Impostare il criterio di accesso per una tabella
L'esempio seguente mostra come utilizzare la
risorsa google_bigquery_table_iam_policy
per impostare il criterio IAM per la tabellamytable
. Questo sostituisce qualsiasi criterio esistente già associato alla tabella:
# This file sets the IAM policy for the table created by # https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_table/main.tf. # You must place it in the same local directory as that main.tf file, # and you must have already applied that main.tf file to create # the "default" table resource with a table_id of "mytable". data "google_iam_policy" "iam_policy" { binding { role = "roles/bigquery.dataOwner" members = [ "user:raha@altostrat.com", ] } } resource "google_bigquery_table_iam_policy" "table_iam_policy" { dataset_id = google_bigquery_table.default.dataset_id table_id = google_bigquery_table.default.table_id policy_data = data.google_iam_policy.iam_policy.policy_data }
Impostare l'appartenenza ai ruoli per una tabella
L'esempio seguente mostra come utilizzare la
risorsa google_bigquery_table_iam_binding
per impostare l'appartenenza a un determinato ruolo per la tabella
mytable
. Verrà sostituito qualsiasi appartenenza esistente a quel ruolo.
Gli altri ruoli all'interno del criterio IAM per la tabella vengono conservati.
# This file sets membership in an IAM role for the table created by # https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_table/main.tf. # You must place it in the same local directory as that main.tf file, # and you must have already applied that main.tf file to create # the "default" table resource with a table_id of "mytable". resource "google_bigquery_table_iam_binding" "table_iam_binding" { dataset_id = google_bigquery_table.default.dataset_id table_id = google_bigquery_table.default.table_id role = "roles/bigquery.dataOwner" members = [ "group:analysts@altostrat.com", ] }
Impostare l'appartenenza al ruolo per un singolo principale
L'esempio seguente mostra come utilizzare la
risorsa google_bigquery_table_iam_member
per aggiornare il criterio IAM per la tabella
mytable
in modo da concedere un ruolo a un'entità. L'aggiornamento di questo
criterio IAM non influisce sull'accesso di altri principali
a cui è stato concesso questo ruolo per il set di dati.
# This file adds a member to an IAM role for the table created by # https://github.com/terraform-google-modules/terraform-docs-samples/blob/main/bigquery/bigquery_create_table/main.tf. # You must place it in the same local directory as that main.tf file, # and you must have already applied that main.tf file to create # the "default" table resource with a table_id of "mytable". resource "google_bigquery_table_iam_member" "table_iam_member" { dataset_id = google_bigquery_table.default.dataset_id table_id = google_bigquery_table.default.table_id role = "roles/bigquery.dataEditor" member = "serviceAccount:bqcx-1234567891011-12a3@gcp-sa-bigquery-condel.iam.gserviceaccount.com" }
Per applicare la configurazione Terraform in un progetto Google Cloud, completa i passaggi nelle seguenti sezioni.
Prepara Cloud Shell
- Avvia Cloud Shell.
-
Imposta il progetto Google Cloud predefinito in cui vuoi applicare le configurazioni Terraform.
Devi eseguire questo comando una sola volta per progetto e puoi farlo in qualsiasi directory.
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione Terraform.
Prepara la directory
Ogni file di configurazione di Terraform deve avere una propria directory (chiamata anche modulo principale).
-
In Cloud Shell, crea una directory e un nuovo
file al suo interno. Il nome file deve avere l'estensione
.tf
, ad esempiomain.tf
. In questo tutorial, il file è denominatomain.tf
.mkdir DIRECTORY && cd DIRECTORY && touch main.tf
-
Se stai seguendo un tutorial, puoi copiare il codice campione in ogni sezione o passaggio.
Copia il codice campione nel
main.tf
appena creato.Se vuoi, copia il codice da GitHub. Questa opzione è consigliata quando lo snippet Terraform fa parte di una soluzione end-to-end.
- Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
- Salva le modifiche.
-
Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory.
terraform init
Se vuoi, per utilizzare la versione più recente del provider Google, includi l'opzione
-upgrade
:terraform init -upgrade
Applica le modifiche
-
Rivedi la configurazione e verifica che le risorse che Terraform sta per creare o
aggiornare corrispondano alle tue aspettative:
terraform plan
Apporta le correzioni necessarie alla configurazione.
-
Applica la configurazione di Terraform eseguendo il seguente comando e inserendo
yes
al prompt:terraform apply
Attendi che Terraform mostri il messaggio "Applicazione completata".
- Apri il tuo progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nell'interfaccia utente per assicurarti che Terraform le abbia create o aggiornate.
API
- Per recuperare il criterio corrente, chiama il
metodo
tables.getIamPolicy
. Modifica il criterio per aggiungere membri o associazioni o entrambi. Per il formato richiesto per le norme, consulta l'argomento di riferimento Norme.
Chiama
tables.setIamPolicy
per scrivere il criterio aggiornato. Nota: le associazioni vuote senza membri non sono consentite e generano un errore.
Java
Prima di provare questo esempio, segui le istruzioni di configurazione Java riportate nella guida rapida all'utilizzo di BigQuery con le librerie client. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API BigQuery Java.
Per autenticarti in BigQuery, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Python
Prima di provare questo esempio, segui le istruzioni di configurazione Python riportate nella guida rapida all'utilizzo di BigQuery con le librerie client. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API BigQuery Python.
Per autenticarti in BigQuery, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Revocare l'accesso a una risorsa
Le seguenti sezioni descrivono come revocare l'accesso a diverse risorse.
Revocare l'accesso a un set di dati
Seleziona una delle seguenti opzioni:
Console
Vai alla pagina BigQuery.
Nel riquadro Spazio di esplorazione, espandi il progetto e seleziona un set di dati.
Nel riquadro dei dettagli, fai clic su Condivisione > Autorizzazioni.
Nella finestra di dialogo Autorizzazioni set di dati, espandi l'entità di cui vuoi revocare l'accesso.
Fai clic su
Rimuovi proprietario.Nella finestra di dialogo Vuoi rimuovere il ruolo dall'entità?, fai clic su Rimuovi.
Per tornare ai dettagli del set di dati, fai clic su Chiudi.
SQL
Per rimuovere l'accesso ai set di dati dai principali, utilizza
l'istruzione DCL REVOKE
:
Nella console Google Cloud, vai alla pagina BigQuery.
Nell'editor di query, inserisci la seguente istruzione:
REVOKE `ROLE_LIST` ON SCHEMA RESOURCE_NAME FROM "USER_LIST"
Sostituisci quanto segue:
ROLE_LIST
: un ruolo o un elenco di ruoli separati da virgole che vuoi revocareRESOURCE_NAME
: il nome della risorsa per la quale vuoi revocare l'autorizzazioneUSER_LIST
: un elenco separato da virgole di utenti a cui verranno revocati i ruoliPer un elenco dei formati validi, consulta
user_list
.
Fai clic su
Esegui.
Per ulteriori informazioni su come eseguire query, consulta Eseguire una query interattiva.
L'esempio seguente revoca il ruolo Amministratore nel set di dati
myDataset
:
REVOKE `roles/bigquery.admin`
ON SCHEMA `myProject`.myDataset
FROM "group:example-team@example-pet-store.com", "serviceAccount:user@test-project.iam.gserviceaccount.com"
bq
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Per scrivere le informazioni esistenti del set di dati (inclusi i controlli di accesso) in un file JSON, utilizza il comando
bq show
:bq show \ --format=prettyjson \ PROJECT_ID:DATASET > PATH_TO_FILE
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto
- DATASET: il nome del set di dati
- PATH_TO_FILE: il percorso del file JSON sul computer locale
Apporta modifiche alla sezione
access
del file JSON. Puoi rimuovere una delle vocispecialGroup
:projectOwners
,projectWriters
,projectReaders
eallAuthenticatedUsers
. Puoi anche rimuovere uno dei seguenti elementi:userByEmail
,groupByEmail
edomain
.Ad esempio, la sezione
access
del file JSON di un set di dati sarà simile alla seguente:{ "access": [ { "role": "READER", "specialGroup": "projectReaders" }, { "role": "WRITER", "specialGroup": "projectWriters" }, { "role": "OWNER", "specialGroup": "projectOwners" }, { "role": "READER", "specialGroup": "allAuthenticatedUsers" }, { "role": "READER", "domain": "domain_name" }, { "role": "WRITER", "userByEmail": "user_email" }, { "role": "READER", "groupByEmail": "group_email" } ], ... }
Al termine delle modifiche, utilizza il comando
bq update
e includi il file JSON utilizzando il flag--source
. Se il set di dati si trova in un progetto diverso da quello predefinito, aggiungi l'ID progetto al nome del set di dati nel seguente formato:PROJECT_ID:DATASET
.bq update \ --source PATH_TO_FILE \ PROJECT_ID:DATASET
Per verificare le modifiche controllo dell'accesso, utilizza di nuovo il comando
show
senza scrivere le informazioni in un file:bq show --format=prettyjson PROJECT_ID:DATASET
API
Chiama datasets.patch
e
utilizza la proprietà access
nella risorsa Dataset
per aggiornare i controlli dell'accesso.
Poiché il metodo datasets.update
sostituisce l'intera risorsa del set di dati,
datasets.patch
è il metodo preferito per aggiornare i controlli di accesso.
Vai
Prima di provare questo esempio, segui le istruzioni di configurazione Go riportate nella guida rapida all'utilizzo di BigQuery con le librerie client. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API BigQuery Go.
Per autenticarti in BigQuery, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Python
Prima di provare questo esempio, segui le istruzioni di configurazione Python riportate nella guida rapida all'utilizzo di BigQuery con le librerie client. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API BigQuery Python.
Per autenticarti in BigQuery, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Imposta la proprietàdataset.access_entries
con i controlli di accesso per un set di dati. Quindi, chiama la
funzione client.update_dataset()
per aggiornare la proprietà.
Revocare l'accesso a una tabella o una visualizzazione
Seleziona una delle seguenti opzioni:
Console
Vai alla pagina BigQuery.
Nel riquadro Explorer, espandi il progetto e seleziona una tabella o una vista.
Nel riquadro dei dettagli, fai clic su Condividi.
Nella finestra di dialogo Condividi, espandi l'entità di cui vuoi revocare l'accesso.
Fai clic su
Elimina.Nella finestra di dialogo Vuoi rimuovere il ruolo dall'entità?, fai clic su Rimuovi.
Per tornare alla tabella o visualizzare i dettagli, fai clic su Chiudi.
SQL
Per rimuovere l'accesso a tabelle o viste dai principali, utilizza
l'istruzione DCL REVOKE
:
Nella console Google Cloud, vai alla pagina BigQuery.
Nell'editor di query, inserisci la seguente istruzione:
REVOKE `ROLE_LIST` ON RESOURCE_TYPE RESOURCE_NAME FROM "USER_LIST"
Sostituisci quanto segue:
ROLE_LIST
: un ruolo o un elenco di ruoli separati da virgole che vuoi revocareRESOURCE_TYPE
: il tipo di risorsa da cui viene revocato il ruoloI valori supportati includono
TABLE
,VIEW
,MATERIALIZED VIEW
eEXTERNAL TABLE
.RESOURCE_NAME
: il nome della risorsa per la quale vuoi revocare l'autorizzazioneUSER_LIST
: un elenco separato da virgole di utenti a cui verranno revocati i ruoliPer un elenco dei formati validi, consulta
user_list
.
Fai clic su
Esegui.
Per ulteriori informazioni su come eseguire query, consulta Eseguire una query interattiva.
L'esempio seguente revoca il ruolo Amministratore per la tabella
myTable
:
REVOKE `roles/bigquery.admin`
ON TABLE `myProject`.myDataset.myTable
FROM "group:example-team@example-pet-store.com", "serviceAccount:user@test-project.iam.gserviceaccount.com"
bq
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Per revocare l'accesso a una tabella o una vista, utilizza il comando
bq remove-iam-policy-binding
:bq remove-iam-policy-binding --member=MEMBER_TYPE:MEMBER --role=ROLE --table=true RESOURCE
Sostituisci quanto segue:
- MEMBER_TYPE: il tipo di membro, ad esempio
user
,group
,serviceAccount
odomain
. - MEMBER: l'indirizzo email o il nome di dominio del membro.
- ROLE: il ruolo che vuoi revocare al membro.
- RESOURCE: il nome della tabella o della vista di cui vuoi aggiornare il criterio.
- MEMBER_TYPE: il tipo di membro, ad esempio
API
- Per recuperare il criterio corrente, chiama il
metodo
tables.getIamPolicy
. Modifica il criterio per rimuovere membri o associazioni o entrambi. Per il formato richiesto per le norme, consulta l'argomento di riferimento Norme.
Chiama
tables.setIamPolicy
per scrivere il criterio aggiornato. Nota: le associazioni vuote senza membri non sono consentite e generano un errore.
Java
Prima di provare questo esempio, segui le istruzioni di configurazione Java riportate nella guida rapida all'utilizzo di BigQuery con le librerie client. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API BigQuery Java.
Per autenticarti in BigQuery, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Rifiutare l'accesso a una risorsa
I criteri di rifiuto IAM ti consentono di impostare sistemi di protezione per gli accessi alle risorse BigQuery. Puoi definire regole di negazione che impediscono a determinate entità di utilizzare determinate autorizzazioni, indipendentemente dai ruoli loro concessi.
Per informazioni su come creare, aggiornare ed eliminare i criteri di rifiuto, consulta Negare l'accesso alle risorse.
Casi speciali
Considera i seguenti scenari quando crei criteri di rifiuto IAM su alcune autorizzazioni BigQuery:
L'accesso alle risorse autorizzate (visualizzazioni, routine, set di dati o procedure archiviate) ti consente di creare, eliminare o manipolare una tabella, nonché di leggere e modificare i dati della tabella, anche se non disponi dell'autorizzazione diretta per eseguire queste operazioni. Inoltre, può recuperare i dati o i metadati del modello e richiamare altre procedure memorizzate sulla tabella sottostante. Questa funzionalità implica che le risorse autorizzate dispongano delle seguenti autorizzazioni:
bigquery.tables.get
bigquery.tables.list
bigquery.tables.getData
bigquery.tables.updateData
bigquery.tables.create
bigquery.tables.delete
bigquery.routines.get
bigquery.routines.list
bigquery.datasets.get
bigquery.models.getData
bigquery.models.getMetadata
Per negare l'accesso a queste risorse autorizzate, aggiungi uno dei seguenti valori al campo
deniedPrincipal
quando crei il criterio di rifiuto:Valore Caso d'uso principalSet://goog/public:all
Blocca tutti i principali, incluse le risorse autorizzate. principalSet://bigquery.googleapis.com/projects/PROJECT_NUMBER/*
Blocca tutte le risorse BigQuery autorizzate nel progetto specificato. PROJECT_NUMBER
è un identificatore univoco generato automaticamente per il tuo progetto di tipoINT64
.Per esentare determinate entità dal criterio di rifiuto, specificale nel campo
exceptionPrincipals
del criterio di rifiuto. Ad esempio:exceptionPrincipals: "principalSet://bigquery.googleapis.com/projects/1234/*"
.BigQuery memorizza nella cache i risultati delle query di un proprietario di job per 24 ore, a cui il proprietario può accedere senza dover disporre dell'autorizzazione
bigquery.tables.getData
per la tabella contenente i dati. Di conseguenza, l'aggiunta di un criterio di negazione IAM all'autorizzazionebigquery.tables.getData
non blocca l'accesso ai risultati memorizzati nella cache per il proprietario del job fino alla scadenza della cache. Per bloccare l'accesso del proprietario del job ai risultati memorizzati nella cache, crea un criterio di rifiuto separato per l'autorizzazionebigquery.jobs.create
.Per impedire l'accesso non intenzionale ai dati quando utilizzi i criteri di rifiuto per bloccare le operazioni di lettura dei dati, ti consigliamo di esaminare e revocare anche eventuali iscrizioni esistenti al set di dati.
Per creare un criterio di rifiuto IAM per la visualizzazione dei controlli di accesso ai set di dati, rifiuta le seguenti autorizzazioni:
bigquery.datasets.get
bigquery.datasets.getIamPolicy
Per creare un criterio di rifiuto IAM per aggiornare i controlli dell'accesso ai set di dati, nega le seguenti autorizzazioni:
bigquery.datasets.update
bigquery.datasets.setIamPolicy