Esta página foi traduzida pela API Cloud Translation.

Marcar tabelas, visualizações e conjuntos de dados

Neste documento, descrevemos como usar tags para aplicar condicionalmente as políticas do Identity and Access Management (IAM) a tabelas, visualizações e conjuntos de dados do BigQuery.

Também é possível usar tags para negar condicionalmente o acesso com políticas do IAM a tabelas, visualizações e conjuntos de dados do BigQuery (pré-lançamento). Para mais informações, consulte Políticas de negação.

Uma tag é um par de chave-valor que pode ser anexado diretamente a uma tabela, visualização ou conjunto de dados ou que uma tabela, visualização ou conjunto de dados pode herdar de outros recursosGoogle Cloud . É possível aplicar condicionalmente políticas baseadas em um recurso que tem uma tag específica. Por exemplo, é possível conceder condicionalmente o papel Leitor de dados do BigQuery a um principal em qualquer conjunto de dados com a tag environment:dev.

Para mais informações sobre o uso de tags na hierarquia de recursos Google Cloud, consulte Visão geral das tags.

Para conceder permissões a muitos recursos relacionados do BigQuery ao mesmo tempo, incluindo recursos que ainda não existem, considere usar as Condições do IAM.

Limitações

As tags de tabela não são compatíveis com tabelas do BigQuery Omni, tabelas em conjuntos de dados ocultos ou tabelas temporárias. As tags de conjuntos de dados não são compatíveis com os conjuntos de dados do BigQuery Omni. Além disso, as consultas entre regiões no BigQuery Omni não usam tags durante verificações de controle de acesso de tabelas em outras regiões.
É possível anexar no máximo 50 tags a uma tabela ou conjunto de dados.
Todas as tabelas referenciadas em uma consulta com caractere curinga precisam ter exatamente o mesmo conjunto de chaves e valores de tag.
Os usuários com acesso condicional a um conjunto de dados ou uma tabela não podem modificar as permissões desse recurso pelo console Google Cloud . As modificações de permissão têm suporte apenas pela ferramenta bq e pela API BigQuery.
Alguns serviços fora do BigQuery não podem verificar corretamente as condições da tag do IAM. Se a condição da tag for positiva, ou seja, o usuário receberá um papel em um recurso somente se ele tiver uma tag específica, o acesso será negado ao recurso, independentemente das tags anexadas a ele. Se a condição da tag for negativa, ou seja, um usuário recebe um papel em um recurso somente se ele não tiver uma tag específica, a condição da tag não será verificada.

Por exemplo, o Data Catalog não pode verificar as condições da tag do IAM em conjuntos de dados e tabelas do BigQuery. Suponha que haja uma política condicional do IAM que forneça a um estagiário o papel de leitor de dados do BigQuery em conjuntos de dados com a tag employee_type=intern. Como essa é uma condição de tag positiva, o estagiário não pode visualizar conjuntos de dados pesquisando no Data Catalog, mesmo que esses conjuntos tenham a tag employee_type=intern. Se a condição da tag fosse alterada para negativa, para que o estagiário só pudesse ver os conjuntos de dados que não têm a tag employee_type=intern, a verificação seria ignorada, e o estagiário poderia ver os conjuntos de dados que normalmente não poderiam acessar no BigQuery.

Prática recomendada: use condições positivas da tag do IAM em vez de negativas para evitar a concessão não intencional de papéis.

Funções exigidas

Você precisa conceder papéis do IAM que forneçam aos usuários as permissões necessárias para realizar cada tarefa neste documento.

Os dois papéis predefinidos do IAM incluem todas as permissões necessárias do BigQuery:

Proprietário de dados do BigQuery (roles/bigquery.dataOwner)
Administrador do BigQuery (roles/bigquery.admin)

As permissões do Resource Manager para adicionar e remover tags estão incluídas no papel de usuário da tag (roles/resourcemanager.tagUser).

Permissões necessárias

Para usar tags no BigQuery, é necessário ter as seguintes permissões:

Operação	Interfaces do BigQuery (API, CLI, console) e Terraform	API Cloud Resource Manager ou gcloud
Anexar uma tag a uma tabela ou visualização	permissão `bigquery.tables.createTagBinding` na tabela ou visualização Permissão `resourcemanager.tagValueBindings.create` no valor da tag Permissão `bigquery.tables.create` para anexar uma tag ao criar uma tabela ou visualização Permissão `bigquery.tables.update` para anexar uma tag ao atualizar uma tabela ou visualização	permissão `bigquery.tables.createTagBinding` na tabela ou visualização Permissão `resourcemanager.tagValueBindings.create` no valor da tag
Remover uma tag de uma tabela ou visualização	permissão `bigquery.tables.deleteTagBinding` na tabela ou visualização Permissão `resourcemanager.tagValueBindings.delete` no valor da tag Permissão `bigquery.tables.update` para remover uma tag ao atualizar uma tabela ou visualização	permissão `bigquery.tables.deleteTagBinding` na tabela ou visualização Permissão `resourcemanager.tagValueBindings.delete` no valor da tag
Anexar uma tag a um conjunto de dados	Permissão `bigquery.datasets.createTagBinding` no conjunto de dados Permissão `resourcemanager.tagValueBindings.create` no valor da tag Permissão `bigquery.datasets.create` para anexar uma tag ao criar um conjunto de dados Permissão `bigquery.datasets.update` para anexar uma tag ao atualizar um conjunto de dados	Permissão `bigquery.datasets.createTagBinding` no conjunto de dados Permissão `resourcemanager.tagValueBindings.create` no valor da tag
Remover uma tag de um conjunto de dados	Permissão `bigquery.datasets.deleteTagBinding` no conjunto de dados Permissão `resourcemanager.tagValueBindings.delete` no valor da tag Permissão `bigquery.datasets.update` para remover uma tag ao atualizar um conjunto de dados	Permissão `bigquery.datasets.deleteTagBinding` no conjunto de dados Permissão `resourcemanager.tagValueBindings.delete` no valor da tag

Para listar chaves e valores de chaves no console Google Cloud , você precisa das seguintes permissões:

Para listar as chaves de tag associadas a uma organização ou um projeto pai, você precisa da permissão resourcemanager.tagKeys.list no nível pai da chave de tag e da permissão resourcemanager.tagKeys.get para cada chave de tag. Para conferir a lista de chaves de tag no console do BigQuery, clique no nome do conjunto de dados e em Editar detalhes ou clique no nome da tabela ou visualização e em Detalhes > Editar detalhes.
Para listar os valores de tag das chaves associadas a uma organização ou um projeto pai, você precisa da permissão resourcemanager.tagValues.list no nível pai do valor da tag e da permissão resourcemanager.tagValues.get para cada valor. Para conferir a lista de valores de chave de tag no console do BigQuery, clique no nome do conjunto de dados e em Editar detalhes ou clique no nome da tabela ou visualização e em Detalhes > Editar detalhes.

Para usar tags na API Cloud Resource Manager ou na gcloud, você precisa das seguintes permissões:

Para listar as tags anexadas a uma tabela ou visualização com a API Cloud Resource Manager ou a CLI gcloud, você precisa da permissão do IAM bigquery.tables.listTagBindings.
Para listar as tags efetivas de uma tabela ou visualização, você precisa da permissão bigquery.tables.listEffectiveTags do IAM.
Para listar as tags anexadas a um conjunto de dados com a API Cloud Resource Manager ou a gcloud CLI, você precisa do bigquery.datasets.listTagBindings do IAM.
Para listar as tags efetivas para um conjunto de dados, você precisa do argumento bigquery.datasets.listEffectiveTags do IAM.

Criar chaves e valores de tags

É possível criar uma tag antes de anexá-la a um recurso do BigQuery ou criar uma tag manualmente ao criar o recurso usando o consoleGoogle Cloud .

Para saber como criar chaves e valores de tag, consulte Como criar uma tag e Como adicionar valores de tag na documentação do Resource Manager.

Conjuntos de dados de tags

As seções a seguir descrevem como anexar tags a conjuntos de dados novos e atuais, listar tags anexadas a um conjunto de dados e remover tags de um conjunto de dados.

Anexar tags ao criar um conjunto de dados novo

Depois de criar uma tag, é possível anexá-la a um novo conjunto de dados do BigQuery. É possível anexar somente um valor de tag a um conjunto de dados para qualquer chave de tag. É possível anexar no máximo 50 tags a um conjunto de dados.

Console

No console Google Cloud , acesse a página BigQuery.

Acessar o BigQuery
No painel Explorador, selecione o projeto em que você quer criar o conjunto de dados.
Clique em Conferir ações > Criar conjunto de dados.
Insira as informações do novo conjunto de dados. Para mais detalhes, consulte Criar conjuntos de dados.
Abra a seção Tags.
1. Para aplicar uma tag, faça o seguinte:
  1. Clique na seta suspensa ao lado de Selecionar escopo e escolha Escopo atual: Selecionar organização atual ou Selecionar projeto atual.
    
    Como alternativa, clique em Selecionar escopo para pesquisar um recurso ou conferir uma lista de recursos atuais.
  2. Para Chave 1 e Valor 1, escolha os valores adequados nas listas.
2. Para inserir uma nova tag manualmente, faça o seguinte:
  1. Clique na seta para baixo ao lado de Selecionar um escopo e escolha Inserir IDs manualmente > Organização, Projeto ou Tags.
  2. Se você estiver criando uma tag para seu projeto ou organização, na caixa de diálogo, insira PROJECT_ID ou ORGANIZATION_ID e clique em Salvar.
  3. Para Chave 1 e Valor 1, escolha os valores adequados nas listas.
3. Opcional: para adicionar outras tags à tabela, clique em Adicionar tag e siga as etapas anteriores.
Clique em Criar conjunto de dados.

SQL

Use a instrução CREATE SCHEMA.

No console Google Cloud , acesse a página BigQuery.

Acessar o BigQuery
No editor de consultas, digite a seguinte instrução:
```
CREATE SCHEMA PROJECT_ID.DATASET_ID
OPTIONS (
  tags = [('TAG_KEY_1', 'TAG_VALUE_1'), ('TAG_KEY_2', 'TAG_VALUE_2')];)
```
Substitua:
- PROJECT_ID: o ID do projeto.
- DATASET_ID: o ID do conjunto de dados que você está criando.
- TAG_KEY_1: o nome da chave com namespace que você quer definir como a primeira tag no conjunto de dados, por exemplo, 'my-project/env' ou '556741164180/department'.
- TAG_VALUE_1: o nome abreviado do valor da tag, por exemplo, 'prod' ou 'sales'.
- TAG_KEY_2: o nome da chave com namespace da segunda tag.
- TAG_VALUE_2: o nome abreviado do valor da segunda tag.
Clique em Executar.

Para mais informações sobre como executar consultas, acesse Executar uma consulta interativa.

bq

Use o comando bq mk --dataset com a sinalização --add_tags.

bq mk --dataset \
    --add_tags=TAG \
    PROJECT_ID:DATASET_ID

Substitua:

TAG: a tag que você está anexando ao novo conjunto de dados. Várias tags são separadas por vírgulas. Por exemplo, 556741164180/env:prod,myProject/department:sales. Cada tag precisa ter o nome da chave com namespace e o nome curto do valor.
PROJECT_ID: o ID do projeto em que você está criando um conjunto de dados.
DATASET_ID: o ID do novo conjunto de dados.

Terraform

Use o recurso google_bigquery_dataset.

Para autenticar no BigQuery, configure o Application Default Credentials. Para mais informações, acesse Configurar a autenticação para bibliotecas de cliente.

O exemplo a seguir cria um conjunto de dados chamado my_dataset e anexa tags a ele preenchendo o campo resource_tags:


# Create tag keys and values
data "google_project" "default" {}

resource "google_tags_tag_key" "env_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "env2"
}

resource "google_tags_tag_key" "department_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "department2"
}

resource "google_tags_tag_value" "env_tag_value" {
  parent     = "tagKeys/${google_tags_tag_key.env_tag_key.name}"
  short_name = "prod"
}

resource "google_tags_tag_value" "department_tag_value" {
  parent     = "tagKeys/${google_tags_tag_key.department_tag_key.name}"
  short_name = "sales"
}

# Create a dataset
resource "google_bigquery_dataset" "default" {
  dataset_id                      = "my_dataset"
  default_partition_expiration_ms = 2592000000  # 30 days
  default_table_expiration_ms     = 31536000000 # 365 days
  description                     = "dataset description"
  location                        = "US"
  max_time_travel_hours           = 96 # 4 days

  # Attach tags to the dataset
  resource_tags = {
    (google_tags_tag_key.env_tag_key.namespaced_name) : google_tags_tag_value.env_tag_value.short_name,
    (google_tags_tag_key.department_tag_key.namespaced_name) : google_tags_tag_value.department_tag_value.short_name
  }
}

Para aplicar a configuração do Terraform a um projeto do Google Cloud , siga as etapas nas seções a seguir.

Preparar o Cloud Shell

Inicie o Cloud Shell.
Defina o projeto Google Cloud padrão em que você quer aplicar as configurações do Terraform.

Você só precisa executar esse comando uma vez por projeto, e ele pode ser executado em qualquer diretório.
```
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
```
As variáveis de ambiente serão substituídas se você definir valores explícitos no arquivo de configuração do Terraform.

Preparar o diretório

Cada arquivo de configuração do Terraform precisa ter o próprio diretório, também chamado de módulo raiz.

No Cloud Shell, crie um diretório e um novo arquivo dentro dele. O nome do arquivo precisa ter a extensão .tf, por exemplo, main.tf. Neste tutorial, o arquivo é chamado de main.tf.
```
mkdir DIRECTORY && cd DIRECTORY && touch main.tf
```
Se você estiver seguindo um tutorial, poderá copiar o exemplo de código em cada seção ou etapa.

Copie o exemplo de código no main.tf recém-criado.

Se preferir, copie o código do GitHub. Isso é recomendado quando o snippet do Terraform faz parte de uma solução de ponta a ponta.
Revise e modifique os parâmetros de amostra para aplicar ao seu ambiente.
Salve as alterações.
Inicialize o Terraform. Você só precisa fazer isso uma vez por diretório.
```
terraform init
```
Opcionalmente, para usar a versão mais recente do provedor do Google, inclua a opção -upgrade:
```
terraform init -upgrade
```

Aplique as alterações

Revise a configuração e verifique se os recursos que o Terraform vai criar ou atualizar correspondem às suas expectativas:
```
terraform plan
```
Faça as correções necessárias na configuração.
Para aplicar a configuração do Terraform, execute o comando a seguir e digite yes no prompt:
```
terraform apply
```
Aguarde até que o Terraform exiba a mensagem "Apply complete!".
Abra o projeto Google Cloud para conferir os resultados. No console Google Cloud , navegue até seus recursos na UI para verificar se foram criados ou atualizados pelo Terraform.

API

Chame o método datasets.insert e adicione suas tags ao campo resource_tags.

Anexar tags a um conjunto de dados

Depois de criar uma tag, você pode anexá-la a um conjunto de dados já existente. É possível anexar somente um valor de tag a um conjunto de dados para qualquer chave de tag.

Console

No console Google Cloud , acesse a página BigQuery.

Acessar o BigQuery
No painel Explorer, expanda o projeto e selecione um conjunto de dados.
Na seção Informações do conjunto de dados, clique em Editar detalhes.
Abra a seção Tags.
1. Para aplicar uma tag, faça o seguinte:
  1. Clique na seta suspensa ao lado de Selecionar escopo e escolha Escopo atual: Selecionar organização atual ou Selecionar projeto atual.
    
    Como alternativa, clique em Selecionar escopo para pesquisar um recurso ou conferir uma lista de recursos atuais.
  2. Para Chave 1 e Valor 1, escolha os valores adequados nas listas.
2. Para inserir uma nova tag manualmente, faça o seguinte:
  1. Clique na seta para baixo ao lado de Selecionar um escopo e escolha Inserir IDs manualmente > Organização, Projeto ou Tags.
  2. Se você estiver criando uma tag para seu projeto ou organização, na caixa de diálogo, insira PROJECT_ID ou ORGANIZATION_ID e clique em Salvar.
  3. Para Chave 1 e Valor 1, escolha os valores adequados nas listas.
3. Opcional: para adicionar outras tags à tabela, clique em Adicionar tag e siga as etapas anteriores.
Clique em Salvar.

SQL

Use a instrução ALTER SCHEMA SET OPTIONS.

O exemplo a seguir substitui todas as tags de um conjunto de dados.

No console Google Cloud , acesse a página BigQuery.

Acessar o BigQuery
No editor de consultas, digite a seguinte instrução:
```
ALTER SCHEMA PROJECT_ID.DATASET_ID
SET OPTIONS (
  tags = [('TAG_KEY_1', 'TAG_VALUE_1'), ('TAG_KEY_2', 'TAG_VALUE_2')];)
```
Substitua:
- PROJECT_ID: o ID do projeto.
- DATASET_ID: o ID do conjunto de dados que contém a tabela.
- TABLE_ID: o nome da tabela que você está marcando.
- TAG_KEY_1: o nome da chave com namespace que você quer definir como a primeira tag na tabela, por exemplo, 'my-project/env' ou '556741164180/department'.
- TAG_VALUE_1: o nome abreviado do valor da tag, por exemplo, 'prod' ou 'sales'.
- TAG_KEY_2: o nome da chave com namespace da segunda tag.
- TAG_VALUE_2: o nome abreviado do valor da segunda tag.
Clique em Executar.

Para mais informações sobre como executar consultas, acesse Executar uma consulta interativa.

O exemplo a seguir usa o operador += para anexar tags a um conjunto de dados sem substituir as tags atuais. Se uma tag tiver a mesma chave, ela será substituída.

No console Google Cloud , acesse a página BigQuery.

Acessar o BigQuery
No editor de consultas, digite a seguinte instrução:
```
ALTER SCHEMA PROJECT_ID.DATASET_ID
SET OPTIONS (
  tags += [('TAG_KEY_1', 'TAG_VALUE_1'), ('TAG_KEY_2', 'TAG_VALUE_2')];)
```
Substitua:
- PROJECT_ID: o ID do projeto.
- DATASET_ID: o ID do conjunto de dados que contém a tabela.
- TABLE_ID: o nome da tabela que você está marcando.
- TAG_KEY_1: o nome da chave com namespace que você quer definir como a primeira tag na tabela, por exemplo, 'my-project/env' ou '556741164180/department'.
- TAG_VALUE_1: o nome abreviado do valor da tag, por exemplo, 'prod' ou 'sales'.
- TAG_KEY_2: o nome da chave com namespace da segunda tag.
- TAG_VALUE_2: o nome abreviado do valor da segunda tag.
Clique em Executar.

Para mais informações sobre como executar consultas, acesse Executar uma consulta interativa.

bq

Use o comando bq update com a sinalização --add_tags.

bq update \
    --add_tags=TAG \
    PROJECT_ID:DATASET_ID

Substitua:

TAG: a tag que você está anexando ao conjunto de dados. Várias tags são separadas por vírgulas. Por exemplo, 556741164180/env:prod,myProject/department:sales. Cada tag precisa ter o nome da chave com namespace e o nome curto do valor.
PROJECT_ID: o ID do projeto em que o conjunto de dados existente está localizado.
DATASET_ID: o ID do conjunto de dados.

gcloud

Para anexar uma tag a um conjunto de dados usando a linha de comando, crie um recurso de vinculação de tag usando o comando gcloud resource-manager tags bindings create:

gcloud resource-manager tags bindings create \
    --tag-value=TAG_VALUE_NAME \
    --parent=RESOURCE_ID \
    --location=LOCATION

Substitua:

TAG_VALUE_NAME: o ID permanente ou o nome do namespace do valor da tag a ser anexado, como tagValues/4567890123 ou 1234567/my_tag_key/my_tag_value
RESOURCE_ID: o ID completo do conjunto de dados, incluindo o nome de domínio da API (//bigquery.googleapis.com/) para identificar o tipo de recurso. Exemplo: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset
LOCATION: o local do conjunto de dados.

Terraform

Adicione tags ao campo resource_tags do conjunto de dados e aplique a configuração atualizada usando o recurso google_bigquery_dataset. Para mais informações, consulte o exemplo do Terraform em Anexar tags ao criar um novo conjunto de dados.

API

Chame o método datasets.get para receber o recurso do conjunto de dados, incluindo o campo resource_tags. Adicione suas tags no campo resource_tags e transmita o recurso do conjunto de dados atualizado usando método datasets.update.

Listar tags anexadas a um conjunto de dados

As etapas a seguir apresentam uma lista de vinculações de tag anexadas diretamente a um conjunto de dados. Esses métodos não retornam tags herdadas dos recursos pai.

Console

No console Google Cloud , acesse a página BigQuery.

Acessar o BigQuery
No painel Explorer, expanda o projeto e selecione um conjunto de dados.

As tags aparecem na seção Informações do conjunto de dados.

bq

Para listar as tags anexadas a um conjunto de dados, use o método comando bq show.

bq show PROJECT_ID:DATASET_ID

Substitua:

PROJECT_ID: o ID do projeto que contém esse conjunto de dados.
DATASET_ID: o ID do conjunto de dados para o qual você quer listar as tags.

gcloud

Para ver uma lista de vinculações de tags anexadas a um recurso, use o comando gcloud resource-manager tags bindings list:

gcloud resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Substitua:

RESOURCE_ID: o ID completo do conjunto de dados, incluindo o nome de domínio da API (//bigquery.googleapis.com/) para identificar o tipo de recurso. Por exemplo, //bigquery.googleapis.com/projects/my_project/datasets/my_dataset.
LOCATION: o local do conjunto de dados.

O resultado será assim:

name: tagBindings/%2F%2Fbigquery.googleapis.com%2Fprojects%2Fmy_project%2Fdatasets%2Fmy_dataset/tagValues/4567890123
parent: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset
tagValue: tagValues/4567890123

Terraform

Use o comando terraform state show para listar os atributos do conjunto de dados, incluindo o campo resource_tags. Execute esse comando no diretório em que o arquivo de configuração do Terraform do conjunto de dados foi executado.

terraform state show google_bigquery_dataset.default

API

Chame o Método datasets.get para receber o recurso do conjunto de dados. O recurso do conjunto de dados inclui tags anexadas ao conjunto de dados no campo resource_tags.

Visualizações

Use a visualização INFORMATION_SCHEMA.SCHEMATA_OPTIONS:

Por exemplo, a consulta a seguir mostra todas as tags anexadas a todos os conjuntos de dados de uma região. Esta consulta retorna uma tabela com colunas, incluindo schema_name (os nomes dos conjuntos de dados), option_name (sempre 'tags'), object_type (sempre ARRAY<STRUCT<STRING, STRING>>) e option_value, que contém matrizes de objetos STRUCT que representam tags associadas a cada conjunto de dados. Para conjuntos de dados sem tags atribuídas, a coluna option_value retorna uma matriz vazia.

SELECT * from region-REGION.INFORMATION_SCHEMA.SCHEMATA_OPTIONS
WHERE option_name='tags'

Substitua:

REGION: a região em que seus conjuntos de dados estão localizados.

Remover tags de um conjunto de dados

É possível desanexar uma tag de um recurso excluindo o recurso de vinculação de tags. Se você estiver excluindo uma tag, primeiro é necessário removê-la do conjunto de dados. Para mais informações, consulte Excluir tags.

Console

No console Google Cloud , acesse a página BigQuery.

Acessar o BigQuery
No painel Explorer, expanda o projeto e selecione um conjunto de dados.
Na seção Informações do conjunto de dados, clique em Editar detalhes.
Na seção Tags, clique em Excluir item ao lado da tag que você quer excluir.
Clique em Salvar.

SQL

Use a instrução ALTER SCHEMA SET OPTIONS.

O exemplo a seguir remove tags de um conjunto de dados usando o operador -=. Para separar todas as tags de um conjunto de dados, especifique tags=NULL ou tags=[].

No console Google Cloud , acesse a página BigQuery.

Acessar o BigQuery
No editor de consultas, digite a seguinte instrução:
```
ALTER TABLE PROJECT_ID.DATASET_ID.TABLE_ID
SET OPTIONS (
  tags -= [('TAG_KEY_1', 'TAG_VALUE_1'), ('TAG_KEY_2', 'TAG_VALUE_2')];)
```
Substitua:
- PROJECT_ID: o ID do projeto.
- DATASET_ID: o ID do conjunto de dados que contém a tabela.
- TABLE_ID: o nome da tabela de que você está desanexando as tags.
- TAG_KEY_1: o nome da chave com namespace da primeira tag que você quer desanexar, por exemplo, 'my-project/env' ou '556741164180/department'.
- TAG_VALUE_1: o nome abreviado do valor da tag que você quer desanexar, por exemplo, 'prod' ou 'sales'.
- TAG_KEY_2: o nome da chave com namespace da segunda tag que você está desconectando.
- TAG_VALUE_2: o nome abreviado do valor da segunda tag que você está desconectando.
Clique em Executar.

Para mais informações sobre como executar consultas, acesse Executar uma consulta interativa.

bq

Use o comando bq update com a sinalização --remove_tags.

bq update \
    --remove_tags=REMOVED_TAG \
    PROJECT_ID:DATASET_ID

Substitua:

REMOVED_TAG: a tag que você está removendo do conjunto de dados. Várias tags são separadas por vírgulas. Aceita apenas chaves sem pares de valor. Por exemplo, 556741164180/env,myProject/department. Cada tag deve ter o nome da chave com namespace.
PROJECT_ID: o ID do projeto que contém seu conjunto de dados.
DATASET_ID: o ID do conjunto de dados do qual remover as tags. .

Como alternativa, para remover todas as tags de um conjunto de dados, use o método comando bq update com a flag --clear_all_tags:

bq update \
    --clear_all_tags
    PROJECT_ID:DATASET_ID

gcloud

Para remover uma tag de um conjunto de dados usando a linha de comando, exclua a vinculação de tag usando o comando gcloud resource-manager tags bindings delete:

gcloud resource-manager tags bindings delete \
    --tag-value=TAG_VALUE_NAME \
    --parent=RESOURCE_ID \
    --location=LOCATION

Substitua:

TAG_VALUE_NAME: o ID permanente ou o nome do namespace do valor da tag a ser removido ,como tagValues/4567890123 ou 1234567/my_tag_key/my_tag_value
RESOURCE_ID: o ID completo do conjunto de dados, incluindo o nome de domínio da API para identificar o tipo de recurso (//bigquery.googleapis.com/). Por exemplo, //bigquery.googleapis.com/projects/my_project/datasets/my_dataset.
LOCATION: o local do conjunto de dados.

Terraform

Remova as tags do campo resource_tags do conjunto de dados e aplique a configuração atualizada usando o recurso google_bigquery_dataset.

API

Chame o método datasets.get para receber o recurso do conjunto de dados, incluindo o campo resource_tags. Remova suas tags do campo resource_tags e transmita o recurso de conjunto de dados atualizado usando o método datasets.update.

Tabelas de tags

As seções a seguir descrevem como anexar tags a tabelas novas e atuais, listar tags anexadas a uma tabela e remover tags de uma tabela.

Anexar tags ao criar uma tabela

Depois de criar uma tag, você pode anexá-la a uma nova tabela. É possível anexar somente um valor de tag a uma tabela para qualquer chave de tag. É possível anexar no máximo 50 tags a uma tabela.

Console

No console Google Cloud , acesse a página BigQuery.

Acessar o BigQuery
No painel Explorer, expanda seu projeto e selecione um conjunto de dados.
Na seção Informações do conjunto de dados, clique em Criar tabela.
Insira as informações da nova tabela. Para mais detalhes, consulte Criar e usar tabelas.
Abra a seção Tags.
1. Para aplicar uma tag, faça o seguinte:
  1. Clique na seta suspensa ao lado de Selecionar escopo e escolha Escopo atual: Selecionar organização atual ou Selecionar projeto atual.
    
    Como alternativa, clique em Selecionar escopo para pesquisar um recurso ou conferir uma lista de recursos atuais.
  2. Para Chave 1 e Valor 1, escolha os valores adequados nas listas.
2. Para inserir uma nova tag manualmente, faça o seguinte:
  1. Clique na seta para baixo ao lado de Selecionar um escopo e escolha Inserir IDs manualmente > Organização, Projeto ou Tags.
  2. Se você estiver criando uma tag para seu projeto ou organização, na caixa de diálogo, insira PROJECT_ID ou ORGANIZATION_ID e clique em Salvar.
  3. Para Chave 1 e Valor 1, escolha os valores adequados nas listas.
3. Opcional: para adicionar outras tags à tabela, clique em Adicionar tag e siga as etapas anteriores.
Clique em Criar tabela.

SQL

Use a instrução CREATE TABLE.

No console Google Cloud , acesse a página BigQuery.

Acessar o BigQuery
No editor de consultas, digite a seguinte instrução:
```
CREATE TABLE PROJECT_ID.DATASET_ID.TABLE_ID
OPTIONS (
  tags = [('TAG_KEY_1', 'TAG_VALUE_1'), ('TAG_KEY_2', 'TAG_VALUE_2')];)
```
Substitua:
- PROJECT_ID: o ID do projeto.
- DATASET_ID: o ID do conjunto de dados em que você está criando a tabela.
- TABLE_ID: o nome da nova tabela.
- TAG_KEY_1: o nome da chave com namespace que você quer definir como a primeira tag na tabela, por exemplo, 'my-project/env' ou '556741164180/department'.
- TAG_VALUE_1: o nome abreviado do valor da tag, por exemplo, 'prod' ou 'sales'.
- TAG_KEY_2: o nome da chave com namespace da segunda tag.
- TAG_VALUE_2: o nome abreviado do valor da segunda tag.
Clique em Executar.

Para mais informações sobre como executar consultas, acesse Executar uma consulta interativa.

bq

Use o comando bq mk --table com a sinalização --add_tags.

bq mk --table \
    --schema=SCHEMA \
    --add_tags=TAG \
    PROJECT_ID:DATASET_ID.TABLE_ID

Substitua:

SCHEMA: a definição do esquema in-line.
TAG: a tag que você está anexando à nova tabela. Várias tags são separadas por vírgulas. Por exemplo, 556741164180/env:prod,myProject/department:sales. Cada tag precisa ter o nome da chave com namespace e o nome curto do valor.
PROJECT_ID: o ID do projeto em que você está criando uma tabela.
DATASET_ID: o ID do conjunto de dados em que você está criando uma tabela.
TABLE_ID: o ID da nova tabela.

Terraform

Use o recurso google_bigquery_table.

Para autenticar no BigQuery, configure o Application Default Credentials. Para mais informações, acesse Configurar a autenticação para bibliotecas de cliente.

O exemplo a seguir cria uma tabela chamada mytable e anexa tags a ela preenchendo o campo resource_tags:


# Create tag keys and values
data "google_project" "default" {}

resource "google_tags_tag_key" "env_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "env3"
}

resource "google_tags_tag_key" "department_tag_key" {
  parent     = "projects/${data.google_project.default.project_id}"
  short_name = "department3"
}

resource "google_tags_tag_value" "env_tag_value" {
  parent     = "tagKeys/${google_tags_tag_key.env_tag_key.name}"
  short_name = "prod"
}

resource "google_tags_tag_value" "department_tag_value" {
  parent     = "tagKeys/${google_tags_tag_key.department_tag_key.name}"
  short_name = "sales"
}

# Create a dataset
resource "google_bigquery_dataset" "default" {
  dataset_id                      = "MyDataset"
  default_partition_expiration_ms = 2592000000  # 30 days
  default_table_expiration_ms     = 31536000000 # 365 days
  description                     = "dataset description"
  location                        = "US"
  max_time_travel_hours           = 96 # 4 days
}

# Create a table
resource "google_bigquery_table" "default" {
  dataset_id          = google_bigquery_dataset.default.dataset_id
  table_id            = "mytable"
  description         = "table description"
  deletion_protection = false # set to "true" in production

  # Attach tags to the table
  resource_tags = {
    (google_tags_tag_key.env_tag_key.namespaced_name) : google_tags_tag_value.env_tag_value.short_name,
    (google_tags_tag_key.department_tag_key.namespaced_name) : google_tags_tag_value.department_tag_value.short_name
  }
}

Para aplicar a configuração do Terraform a um projeto do Google Cloud , siga as etapas nas seções a seguir.

Preparar o Cloud Shell

Inicie o Cloud Shell.
Defina o projeto Google Cloud padrão em que você quer aplicar as configurações do Terraform.

Você só precisa executar esse comando uma vez por projeto, e ele pode ser executado em qualquer diretório.
```
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
```
As variáveis de ambiente serão substituídas se você definir valores explícitos no arquivo de configuração do Terraform.

Preparar o diretório

Cada arquivo de configuração do Terraform precisa ter o próprio diretório, também chamado de módulo raiz.

No Cloud Shell, crie um diretório e um novo arquivo dentro dele. O nome do arquivo precisa ter a extensão .tf, por exemplo, main.tf. Neste tutorial, o arquivo é chamado de main.tf.
```
mkdir DIRECTORY && cd DIRECTORY && touch main.tf
```
Se você estiver seguindo um tutorial, poderá copiar o exemplo de código em cada seção ou etapa.

Copie o exemplo de código no main.tf recém-criado.

Se preferir, copie o código do GitHub. Isso é recomendado quando o snippet do Terraform faz parte de uma solução de ponta a ponta.
Revise e modifique os parâmetros de amostra para aplicar ao seu ambiente.
Salve as alterações.
Inicialize o Terraform. Você só precisa fazer isso uma vez por diretório.
```
terraform init
```
Opcionalmente, para usar a versão mais recente do provedor do Google, inclua a opção -upgrade:
```
terraform init -upgrade
```

Aplique as alterações

Revise a configuração e verifique se os recursos que o Terraform vai criar ou atualizar correspondem às suas expectativas:
```
terraform plan
```
Faça as correções necessárias na configuração.
Para aplicar a configuração do Terraform, execute o comando a seguir e digite yes no prompt:
```
terraform apply
```
Aguarde até que o Terraform exiba a mensagem "Apply complete!".
Abra o projeto Google Cloud para conferir os resultados. No console Google Cloud , navegue até seus recursos na UI para verificar se foram criados ou atualizados pelo Terraform.

API

Chame o método tables.insert com um recurso de tabela definido e inclua as tags no campo resource_tags.

Anexar tags a uma tabela

Depois de criar uma tag, você pode anexá-la a uma tabela já existente. É possível anexar somente um valor de tag a uma tabela para qualquer chave de tag.

Console

No console Google Cloud , acesse a página BigQuery.

Acessar o BigQuery
No painel Explorer, expanda seu projeto e conjunto de dados e, em seguida, selecione uma tabela.
Clique na guia Detalhes e em Editar detalhes.
Abra a seção Tags.
1. Para aplicar uma tag, faça o seguinte:
  1. Clique na seta suspensa ao lado de Selecionar escopo e escolha Escopo atual: Selecionar organização atual ou Selecionar projeto atual.
    
    Como alternativa, clique em Selecionar escopo para pesquisar um recurso ou conferir uma lista de recursos atuais.
  2. Para Chave 1 e Valor 1, escolha os valores adequados nas listas.
2. Para inserir uma nova tag manualmente, faça o seguinte:
  1. Clique na seta para baixo ao lado de Selecionar um escopo e escolha Inserir IDs manualmente > Organização, Projeto ou Tags.
  2. Se você estiver criando uma tag para seu projeto ou organização, na caixa de diálogo, insira PROJECT_ID ou ORGANIZATION_ID e clique em Salvar.
  3. Para Chave 1 e Valor 1, escolha os valores adequados nas listas.
3. Opcional: para adicionar outras tags à tabela, clique em Adicionar tag e siga as etapas anteriores.
Clique em Salvar.

SQL

Use a instrução ALTER TABLE SET OPTIONS.

O exemplo a seguir substitui todas as tags de uma tabela.

No console Google Cloud , acesse a página BigQuery.

Acessar o BigQuery
No editor de consultas, digite a seguinte instrução:
```
ALTER TABLE PROJECT_ID.DATASET_ID.TABLE_ID
SET OPTIONS (
  tags = [('TAG_KEY_1', 'TAG_VALUE_1'), ('TAG_KEY_2', 'TAG_VALUE_2')];)
```
Substitua:
- PROJECT_ID: o ID do projeto.
- DATASET_ID: o ID do conjunto de dados que contém a tabela.
- TABLE_ID: o nome da tabela que você está marcando.
- TAG_KEY_1: o nome da chave com namespace que você quer definir como a primeira tag na tabela, por exemplo, 'my-project/env' ou '556741164180/department'.
- TAG_VALUE_1: o nome abreviado do valor da tag, por exemplo, 'prod' ou 'sales'.
- TAG_KEY_2: o nome da chave com namespace da segunda tag.
- TAG_VALUE_2: o nome abreviado do valor da segunda tag.
Clique em Executar.

Para mais informações sobre como executar consultas, acesse Executar uma consulta interativa.

O exemplo a seguir usa o operador += para anexar uma tag a uma tabela sem substituir as tags atuais. Se uma tag tiver a mesma chave, ela será substituída.

No console Google Cloud , acesse a página BigQuery.

Acessar o BigQuery
No editor de consultas, digite a seguinte instrução:
```
ALTER TABLE PROJECT_ID.DATASET_ID.TABLE_ID
SET OPTIONS (
  tags += [('TAG_KEY_1', 'TAG_VALUE_1'), ('TAG_KEY_2', 'TAG_VALUE_2')];)
```
Substitua:
- PROJECT_ID: o ID do projeto.
- DATASET_ID: o ID do conjunto de dados que contém a tabela.
- TABLE_ID: o nome da tabela que você está marcando.
- TAG_KEY_1: o nome da chave com namespace que você quer definir como a primeira tag na tabela, por exemplo, 'my-project/env' ou '556741164180/department'.
- TAG_VALUE_1: o nome abreviado do valor da tag, por exemplo, 'prod' ou 'sales'.
- TAG_KEY_2: o nome da chave com namespace da segunda tag.
- TAG_VALUE_2: o nome abreviado do valor da segunda tag.
Clique em Executar.

Para mais informações sobre como executar consultas, acesse Executar uma consulta interativa.

bq

Use o comando bq update com a sinalização --add_tags.

bq update \
    --add_tags=TAG \
    PROJECT_ID:DATASET_ID.TABLE_ID

Substitua:

TAG: a tag que você está anexando à tabela. Várias tags são separadas por vírgulas. Por exemplo, 556741164180/env:prod,myProject/department:sales. Cada tag precisa ter o nome da chave com namespace e o nome curto do valor.
PROJECT_ID: o ID do projeto que contém seus artefatos.
DATASET_ID: o ID do conjunto de dados que contém a tabela.
TABLE_ID: o ID da tabela que você está atualizando.

gcloud

Para anexar uma tag a uma tabela usando a linha de comando, crie um recurso de vinculação de tag usando o comando gcloud resource-manager tags bindings create:

gcloud resource-manager tags bindings create \
    --tag-value=TAG_VALUE_NAME \
    --parent=RESOURCE_ID \
    --location=LOCATION

Substitua:

TAG_VALUE_NAME: o ID permanente ou o nome do namespace do valor da tag a ser anexado, como tagValues/4567890123 ou 1234567/my_tag_key/my_tag_value
RESOURCE_ID: o ID completo da tabela, incluindo o nome de domínio da API (//bigquery.googleapis.com/) para identificar o tipo de recurso. Exemplo: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset/tables/my_table.
LOCATION: o local da sua tabela.

Terraform

Adicione tags ao campo resource_tags da tabela e aplique a configuração atualizada usando o recurso google_bigquery_table. Para mais informações, consulte o exemplo do Terraform em Anexar tags ao criar uma nova tabela.

API

Chame o método tables.update com um recurso de tabela definido e inclua as tags no campo resource_tags.

Listar tags anexadas a uma tabela

É possível listar as tags anexadas diretamente a uma tabela. Esse processo não lista as tags herdadas dos recursos pai.

Console

No console Google Cloud , acesse a página BigQuery.

Acessar o BigQuery
No painel Explorer, expanda seu projeto e conjunto de dados e, em seguida, selecione uma tabela.

As tags aparecem na guia Detalhes.

bq

Use o comando bq show e procure a coluna tags. Se não houver tags na tabela, a coluna tags não será exibida.

bq show \
    PROJECT_ID:DATASET_ID.TABLE_ID

Substitua:

PROJECT_ID: o ID do projeto que contém seus artefatos.
DATASET_ID: o ID do conjunto de dados que contém a tabela.
TABLE_ID: o ID da tabela.

gcloud

Para ver uma lista de vinculações de tags anexadas a um recurso, use o comando gcloud resource-manager tags bindings list:

gcloud resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=LOCATION

Substitua:

RESOURCE_ID: o ID completo da tabela, incluindo o nome de domínio da API (//bigquery.googleapis.com/) para identificar o tipo de recurso. Por exemplo, //bigquery.googleapis.com/projects/my_project/datasets/my_dataset/tables/my_table.
LOCATION: o local do conjunto de dados.

O resultado será assim:

name: tagBindings/%2F%2Fbigquery.googleapis.com%2Fprojects%2Fmy_project%2Fdatasets%2Fmy_dataset/tagValues/4567890123
parent: //bigquery.googleapis.com/projects/my_project/datasets/my_dataset
tagValue: tagValues/4567890123

Terraform

Use o comando terraform state show para listar os atributos da tabela, incluindo o campo resource_tags. Execute esse comando no diretório em que o arquivo de configuração do Terraform da tabela foi executado.

terraform state show google_bigquery_table.default

API

Chame o método tables.get com um recurso de tabela definido e procure o campo resource_tags.

Visualizações

Use a visualização INFORMATION_SCHEMA.TABLE_OPTIONS:

Por exemplo, a consulta a seguir mostra todas as tags anexadas a todas as tabelas em um conjunto de dados. Esta consulta retorna uma tabela com colunas, incluindo schema_name (o nome dos conjuntos de dados), option_name (sempre 'tags'), object_type (sempre ARRAY<STRUCT<STRING, STRING>>) e option_value, que contém matrizes de objetos STRUCT que representam tags associadas a cada conjunto de dados. Para tabelas de dados sem tags atribuídas, a coluna option_value retorna uma matriz vazia.

SELECT * from DATASET_ID.INFORMATION_SCHEMA.TABLE_OPTIONS
WHERE option_name='tags'

Substitua DATASET_ID pelo ID do conjunto de dados que contém sua tabela.

Remover tags de uma tabela

Para remover uma associação de tag de uma tabela, exclua a vinculação. Se você estiver excluindo uma tag, ela precisa ser removida da tabela antes da exclusão. Para mais informações, consulte Excluir tags.

Console

No console Google Cloud , acesse a página BigQuery.

Acessar o BigQuery
No painel Explorer, expanda seu projeto e conjunto de dados e, em seguida, selecione uma tabela.
Clique na guia Detalhes e em Editar detalhes.
Na seção Tags, clique em Excluir item ao lado da tag que você quer excluir.
Clique em Salvar.

SQL

Use a instrução ALTER TABLE SET OPTIONS.

O exemplo a seguir remove as tags de uma tabela usando o operador -=. Para separar todas as tags de uma tabela, especifique tags=NULL ou tags=[].

No console Google Cloud , acesse a página BigQuery.

Acessar o BigQuery
No editor de consultas, digite a seguinte instrução:
```
ALTER TABLE PROJECT_ID.DATASET_ID.TABLE_ID
SET OPTIONS (
  tags -= [('TAG_KEY_1', 'TAG_VALUE_1'), ('TAG_KEY_2', 'TAG_VALUE_2')];)
```
Substitua:
- PROJECT_ID: o ID do projeto.
- DATASET_ID: o ID do conjunto de dados que contém a tabela.
- TABLE_ID: o nome da tabela de que você está desanexando as tags.
- TAG_KEY_1: o nome da chave com namespace da primeira tag que você quer desanexar, por exemplo, 'my-project/env' ou '556741164180/department'.
- TAG_VALUE_1: o nome abreviado do valor da tag que você quer desanexar, por exemplo, 'prod' ou 'sales'.
- TAG_KEY_2: o nome da chave com namespace da segunda tag que você está desconectando.
- TAG_VALUE_2: o nome abreviado do valor da segunda tag que você está desconectando.
Clique em Executar.

Para mais informações sobre como executar consultas, acesse Executar uma consulta interativa.

bq

Para remover algumas tags de uma tabela, use o comando bq update com a sinalização --remove_tags:

bq update \
    --remove_tags=TAG_KEYS \
    PROJECT_ID:DATASET_ID.TABLE_ID

Substitua:

TAG_KEYS: as chaves de tag que você está removendo da tabela, separados por vírgulas. Por exemplo, 556741164180/env,myProject/department. Cada chave de tag precisa ter o nome de chave com namespace.
PROJECT_ID: o ID do projeto que contém seus artefatos.
DATASET_ID: o ID do conjunto de dados que contém a tabela.
TABLE_ID: o ID da tabela que você está atualizando.

Para remover todas as tags de uma tabela, use o comando bq update com a sinalização --clear_all_tags:

bq update \
    --clear_all_tags \
    PROJECT_ID:DATASET_ID.TABLE_ID

gcloud

Para remover uma associação de tag de uma tabela usando a linha de comando, exclua a vinculação de tags usando comando gcloud resource-manager tags bindings delete:

gcloud resource-manager tags bindings delete \
    --tag-value=TAG_VALUE_NAME \
    --parent=RESOURCE_ID \
    --location=LOCATION

Substitua:

TAG_VALUE_NAME: o ID permanente ou o nome do namespace do valor da tag a ser excluído, como tagValues/4567890123 ou 1234567/my_tag_key/my_tag_value
RESOURCE_ID: o ID completo da tabela, incluindo o nome de domínio da API (//bigquery.googleapis.com/) para identificar o tipo de recurso. Por exemplo, //bigquery.googleapis.com/projects/my_project/datasets/my_dataset/tables/my_table.
LOCATION: o local do conjunto de dados.

Terraform

Remova as tags do campo resource_tags da tabela e aplique a configuração atualizada usando o recurso google_bigquery_table.

API

Chame o método tables.update com um recurso de tabela definido e remova as tags no campo resource_tags. Para remover todas as tags, remova o campo resource_tags.

Marcar outros recursos semelhantes a tabelas

Você também pode marcar visualizações do BigQuery, visualizações materializadas, clones e snapshots.

Excluir tags

Não é possível excluir uma tag se ela for referenciada por uma tabela, visualização ou conjunto de dados. Remova todos os recursos de vinculação de tags antes de excluir a chave ou o valor da tag. Para excluir chaves e valores de tags, consulte Como excluir tags.

Exemplo

Digamos que você seja um administrador de uma organização. Todos os seus analistas de dados são membros do grupo analytics@example.com, que tem o papel do IAM de Leitor de dados do BigQuery no projeto userData. Um analista de dados estagiário é contratado e, de acordo com a política da empresa, precisa ter permissão apenas para visualizar o conjunto de dados anonymousData no projeto userData. É possível controlar o acesso dele usando tags.

Crie uma tag com a chave employee_type e o valor intern:
No console Google Cloud , acesse a página IAM.

Acessar IAM
Localize a linha que contém o estagiário a quem você quer restringir o acesso ao conjunto de dados e clique em Editar principal nessa linha.
No menu Papel, selecione Leitor de dados do BigQuery.
Clique em Adicionar condição.
Nos campos Título e Descrição, insira valores que descrevem a condição de tag do IAM que você quer criar.
Na guia Criador de condições, clique em Adicionar.
No menu Tipo de condição, selecione Recurso e, em seguida, selecione Tag.
No menu Operador, selecione tem valor.
No campo Caminho do valor, insira o caminho do valor da tag no formato ORGANIZATION/TAG_KEY/TAG_VALUE. Por exemplo, example.org/employee_type/intern.

Essa condição de tag do IAM restringe o acesso do estagiário aos conjuntos de dados que têm a tag intern.
Para salvar a condição de tag, clique em Salvar.
Para salvar as mudanças feitas no painel Editar permissões, clique em Salvar.

Para anexar o valor da tag intern ao conjunto de dados anonymousData, use a linha de comando para executar o comando gcloud resource-manager tags bindings create. Exemplo:

gcloud resource-manager tags bindings create \
    --tag-value=tagValues/4567890123 \
    --parent=//bigquery.googleapis.com/projects/userData/datasets/anonymousData \
    --location=US

A seguir

Para ter uma visão geral das tags em Google Cloud, consulte Visão geral sobre tags.
Para mais informações sobre como usar tags, consulte Como criar e gerenciar tags.
Para informações sobre como controlar o acesso aos recursos do BigQuery com as condições do IAM, consulte Controlar o acesso com as condições do IAM.