Gestione dei tag di criteri in varie località

Questo documento descrive come gestire i tag di criteri nelle località regionali per la sicurezza a livello di colonna e il mascheramento dei dati dinamici in BigQuery.

BigQuery fornisce controllo di accesso granulare e mascheramento dinamico dei dati per le colonne delle tabelle sensibili tramite i tag di criteri, supportando la classificazione dei dati basata sul tipo.

Dopo aver creato una tassonomia di classificazione dei dati e aver applicato i tag di criteri ai tuoi dati, puoi gestire ulteriormente i tag di criteri nelle varie località.

Considerazioni sulla località

Le tassonomie sono risorse regionali, come i set di dati e le tabelle BigQuery. Quando crei una tassonomia, devi specificare la regione o la posizione per la tassonomia.

Puoi creare una tassonomia e applicare i tag criterio alle tabelle in tutte le regioni in cui è disponibile BigQuery. Tuttavia, per applicare i tag di criteri da una tassonomia a una colonna di una tabella, la tassonomia e la tabella devono trovarsi nella stessa posizione regionale.

Sebbene non sia possibile applicare un tag di criteri a una colonna di una tabella esistente in un'altra posizione, puoi copiare la tassonomia in un'altra posizione replicandola esplicitamente.

Utilizzo delle tassonomie in più località

Puoi copiare (o replicare) esplicitamente una classificazione e le relative definizioni dei tag di criteri in altre località senza dover creare manualmente una nuova classificazione in ogni località. Quando replichi le classificazioni, puoi utilizzare gli stessi tag dei criteri per la sicurezza a livello di colonna in più posizioni, semplificandone la gestione.

Quando li replichi, i tag delle norme e della tassonomia mantengono gli stessi ID in ogni località.

I tag di tassonomia e di criteri possono essere sincronizzati di nuovo per mantenerli uniformi in più località. La replica esplicita di una tassonomia viene eseguita tramite una chiamata all'API Data Catalog. Le sincronizzazioni future della classificazione replicata utilizzano lo stesso comando API, che sovrascrive la classificazione precedente.

Per facilitare la sincronizzazione della tassonomia, puoi utilizzare Cloud Scheduler per eseguire periodicamente una sincronizzazione della tassonomia tra le regioni, in base a una pianificazione impostata o premendo un pulsante manualmente. Per utilizzare Cloud Scheduler, devi configurare un account di servizio.

Replicare una tassonomia in una nuova posizione

Autorizzazioni obbligatorie

Le credenziali utente o l'account di servizio che esegue la replica della tassonomia devono disporre del ruolo Amministratore dei tag delle norme del catalogo di dati.

Scopri di più sull'assegnazione del ruolo Amministratore dei tag di criteri in Limitazione dell'accesso con la sicurezza a livello di colonna di BigQuery.

Per ulteriori informazioni sui ruoli e sulle autorizzazioni IAM in BigQuery, consulta Ruoli e autorizzazioni predefiniti.

Per replicare una tassonomia in più località:

API

Chiama il metodo projects.locations.taxonomies.import dell'API Data Catalog, fornendo una richiesta POST e il nome del progetto e della posizione di destinazione nella stringa HTTP.

POST https://datacatalog.googleapis.com/{parent}/taxonomies:import

Il parametro path parent è il progetto e la posizione di destinazione in cui vuoi copiare la tassonomia. Esempio: projects/MyProject/locations/eu

Sincronizzazione di una tassonomia replicata

Per sincronizzare una tassonomia già replicata nelle varie località, ripeti la chiamata dell'API Data Catalog come descritto in Replicare una tassonomia in una nuova località.

In alternativa, puoi utilizzare un account di servizio e Cloud Scheduler per sincronizzare la classificazione in base a una pianificazione specificata. La configurazione di un account di servizio in Cloud Scheduler ti consente anche di attivare una sincronizzazione on demand (non pianificata) tramite la pagina Cloud Scheduler nella console Google Cloud o con Google Cloud CLI.

Sincronizzazione di una tassonomia replicata con Cloud Scheduler

Per sincronizzare una tassonomia replicata tra le località con Cloud Scheduler, hai bisogno di un account di servizio.

Account di servizio

Puoi concedere le autorizzazioni per la sincronizzazione della replica a un account di servizio esistente o creare un nuovo account di servizio.

Per creare un nuovo account di servizio, consulta Creare account di servizio.

Autorizzazioni obbligatorie

  1. L'account di servizio che sincronizza la tassonomia deve avere il ruolo Amministratore dei tag delle norme del catalogo di dati. Per ulteriori informazioni, consulta Concedere il ruolo di amministratore dei tag di criteri.

  2. Abilita l'API Cloud Scheduler

Configurazione di una sincronizzazione della tassonomia con Cloud Scheduler

Per sincronizzare una tassonomia replicata tra le località con Cloud Scheduler:

Console

Innanzitutto, crea il job di sincronizzazione e la relativa pianificazione.

  1. Segui le istruzioni per creare un job in Cloud Scheduler.

  2. In Frequenza, inserisci l'intervallo che vuoi tra le sincronizzazioni automatiche.

  3. Per Destinazione, consulta le istruzioni riportate in Creare un job di pianificazione con autenticazione.

    Creare un job Scheduler (parte 2)

Aggiungi poi l'autenticazione necessaria per la sincronizzazione pianificata.

  1. Fai clic su MOSTRA ALTRO per visualizzare i campi di autenticazione.

  2. Per Intestazione di autenticazione, seleziona "Aggiungi token OAuth".

  3. Aggiungi le informazioni del tuo account di servizio.

  4. Per Ambito, inserisci "https://www.googleapis.com/auth/cloud-platform".

  5. Fai clic su Crea per salvare la sincronizzazione pianificata.

    Creare un job Scheduler (parte 2)

Ora verifica che il job sia configurato correttamente.

  1. Dopo aver creato il job, fai clic su Esegui ora per verificare che sia configurato correttamente. Successivamente, Cloud Scheduler attiva la richiesta HTTP in base alla pianificazione specificata.

    Testare un job Scheduler

gcloud

Sintassi:

  gcloud scheduler jobs create http "JOB_ID" --schedule="FREQUENCY" --uri="URI" --oath-service-account-email="CLIENT_SERVICE_ACCOUNT_EMAIL" --time-zone="TIME_ZONE" --message-body-from-file="MESSAGE_BODY"
  

Sostituisci quanto segue:

  1. ${JOB_ID} è un nome per il job. Deve essere univoco nel progetto. Tieni presente che non puoi riutilizzare il nome di un job in un progetto anche se elimini il job associato.
  2. ${FREQUENCY} è la pianificazione, chiamata anche intervallo del job, della frequenza di esecuzione del job. Ad esempio, "ogni 3 ore". La stringa fornita qui può essere qualsiasi stringa compatibile con crontab. In alternativa, gli sviluppatori che hanno familiarità con i job cron di App Engine precedenti possono utilizzare la sintassi di cron di App Engine.
  3. ${URI} è l'URL completo dell'endpoint.
  4. --oauth-service-account-email definisce il tipo di token. Tieni presente che le API di Google ospitate su *.googleapis.com si aspettano un token OAuth.
  5. ${CLIENT_SERVICE_ACCOUNT_EMAIL} è l'indirizzo email dell'account di servizio del cliente.
  6. ${MESSAGE_BODY} è il percorso del file contenente il corpo della richiesta POST.

Sono disponibili altri parametri di opzione, descritti nel documento di riferimento di Google Cloud CLI.

Esempio:

  gcloud scheduler jobs create http cross_regional_copy_to_eu_scheduler --schedule="0 0 1 * *" --uri="https://datacatalog.googleapis.com/v1/projects/my-project/locations/eu/taxonomies:import" --oauth-service-account-email="policytag-manager-service-acou@my-project.iam.gserviceaccount.com" --time-zone="America/Los_Angeles" --message-body-from-file=request_body.json
  

Passaggi successivi