מבוא לאבטחה ולאמצעי בקרת גישה ב-BigQuery

במסמך הזה מובאת סקירה כללית של אמצעי בקרת הגישה ב-BigQuery באמצעות ניהול זהויות והרשאות גישה (IAM). בעזרת IAM תוכלו לתת גישה פרטנית למשאבים ספציפיים ב-BigQuery, ולמנוע גישה למשאבים אחרים. ממשק IAM עוזר ליישם את עקרון האבטחה של הרשאות מינימליות, שלפיו לאף חשבון משתמש ב-IAM לא יהיו יותר הרשאות ממה שנדרש לו בפועל.

כשחשבון משתמש ב-IAM, כמו משתמש, קבוצה או חשבון שירות, קורא ל-API, לחשבון המשתמש הזה צריכות להיות הרשאות ה-IAM המינימליות שנדרשות לשימוש במשאב. Google Cloud כדי לתת לישות מורשית את ההרשאות הנדרשות, מקצים לה תפקיד IAM.

במאמר הזה מוסבר איך אפשר להשתמש בתפקידי IAM מוגדרים מראש ובהתאמה אישית כדי לאפשר לחשבונות משתמשים לגשת למשאבים של BigQuery.

כדי להבין איך מנוהלת הגישה ב- Google Cloud, אפשר לקרוא את הסקירה הכללית על IAM.

סוגי תפקידים ב-IAM

תפקיד הוא אוסף של הרשאות שאפשר להעניק לישות ב-IAM. אפשר להשתמש בסוגי התפקידים הבאים ב-IAM כדי להעניק גישה למשאבי BigQuery:

• תפקידים מוגדרים מראש מנוהלים על ידי Google Cloud ומתאימים לתרחישים נפוצים לדוגמה ולדפוסי בקרת גישה.
• תפקידים בהתאמה אישית מאפשרים גישה בהתאם לרשימת ההרשאות שנבחרו על ידי המשתמש. במאמר יצירה וניהול של תפקידים בהתאמה אישית בחומרי העזר של IAM מוסבר איך יוצרים תפקידים בהתאמה אישית.

כדי לבדוק אם תפקיד IAM מוגדר מראש כולל הרשאה אחת או יותר, אפשר להשתמש באחת מהשיטות הבאות:

• הפניה לתפקידים ולהרשאות של IAM ב-BigQuery
• אינדקס התפקידים וההרשאות ב-IAM
• הפקודה gcloud iam roles describe
• השיטה roles.get() ב-API של IAM

תפקידי IAM ב-BigQuery

ההרשאות לא מוקצות ישירות למשתמשים, לקבוצות או לחשבונות שירות. במקום זאת, למשתמשים, לקבוצות או לחשבונות שירות מוקצים תפקידים מוגדרים מראש או תפקידים בהתאמה אישית, שמעניקים להם הרשאות לבצע פעולות במשאבים. אתם מקצים את התפקידים האלה למשאב מסוים, אבל הם חלים גם על כל המשאבים שנמצאים מתחתיו בהיררכיית המשאבים.

כשמקצים למשתמש כמה סוגי תפקידים, ההרשאות שהוא מקבל הן איחוד של ההרשאות של כל תפקיד.

אפשר להעניק גישה למשאבים הבאים ב-BigQuery:

• מערכי נתונים והמשאבים האלה בתוך מערכי נתונים:
  • טבלאות ותצוגות
  • תרחישים
• חיבורים
• שאילתות שמורות
• קנבסים של נתונים
• תהליכי הכנת נתונים
• פייפליינים
• מאגרים

הענקת גישה למשאבים של Resource Manager

אפשר להגדיר גישה למשאבי BigQuery באמצעות מנהל המשאבים על ידי הענקת תפקיד BigQuery לישות מורשית, ולאחר מכן הענקת התפקיד הזה בארגון, בתיקייה או בפרויקט.

כשנותנים תפקידים למשאבים ב-מנהל המשאבים, כמו ארגונים ופרויקטים, אתם נותנים הרשאות לכל המשאבים ב-BigQuery בארגון או בפרויקט.

מידע נוסף על שימוש ב-IAM לניהול גישה למשאבים של מנהל המשאבים זמין במאמר איך מנהלים את הגישה לפרויקטים, לתיקיות ולארגונים במסמכי העזרה של IAM.

הענקת גישה למערכי נתונים

אתם יכולים להקצות תפקידים ברמת מערך הנתונים כדי לספק גישה למערך נתונים ספציפי, בלי לספק גישה מלאה למשאבים האחרים של הפרויקט. בהיררכיית המשאבים של IAM, מערכי נתונים של BigQuery הם משאבי צאצא של פרויקטים. מידע נוסף על הקצאת תפקידים ברמת מערך הנתונים זמין במאמר שליטה בגישה למשאבים באמצעות IAM.

הענקת גישה למשאבים ספציפיים במערכי נתונים

אתם יכולים להעניק לתפקידים גישה לסוגים מסוימים של משאבים במערכי נתונים, בלי להעניק גישה מלאה למשאבים של מערך הנתונים.

אפשר להחיל תפקידים על המשאבים הבאים במערכי נתונים:

• טבלאות ותצוגות
• תרחישים

מידע נוסף על הקצאת תפקידים ברמת הטבלה, התצוגה או השגרה זמין במאמר שליטה בגישה למשאבים באמצעות IAM.

המאמרים הבאים

• במאמר בקרת גישה למשאבים באמצעות IAM יש מידע נוסף על הקצאת תפקידים למשאבי BigQuery.
• רשימה של תפקידים מוגדרים מראש והרשאות ב-IAM ב-BigQuery מופיעה במאמר תפקידים והרשאות של IAM ב-BigQuery.