הגבלת הגישה באמצעות בקרת גישה ברמת העמודה

בדף הזה מוסבר איך להשתמש בבקרת גישה ברמת העמודה ב-BigQuery כדי להגביל את הגישה לנתוני BigQuery ברמת העמודה. מידע כללי על בקרת גישה ברמת העמודה זמין במאמר מבוא לבקרת גישה ברמת העמודה ב-BigQuery.

ההוראות בדף הזה מתייחסות לשימוש ב-BigQuery וב-Data Catalog.

כדי להגדיר תג מדיניות בעמודה, צריך לעדכן את סכימת הטבלה. אפשר להשתמש ב Google Cloud מסוף, בכלי שורת הפקודה של BigQuery וב-BigQuery API כדי להגדיר תג מדיניות בעמודה. בנוסף, אפשר ליצור טבלה, לציין את הסכימה ולציין תגי מדיניות בפעולה אחת, באמצעות הטכניקות הבאות:

  • הפקודות bq mk ו-bq load בכלי שורת הפקודה של bq.
  • ה-Method ב-API‏ tables.insert.
  • הדף Create table במסוף Google Cloud . אם משתמשים בGoogle Cloud מסוף, צריך לבחור באפשרות עריכה כטקסט כשמוסיפים או עורכים את הסכימה.

כדי לשפר את בקרת הגישה ברמת העמודה, אפשר להשתמש באנונימיזציה דינמית של נתונים. הסתרת נתונים מאפשרת לכם להסתיר מידע אישי רגיש על ידי החלפת הערך בפועל של העמודה בתוכן מסוג null, בערך ברירת מחדל או בערך מגובב.

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Data Catalog and BigQuery Data Policy APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Data Catalog and BigQuery Data Policy APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.
  8. ‫BigQuery מופעל באופן אוטומטי בפרויקטים חדשים, אבל יכול להיות שתצטרכו להפעיל אותו בפרויקט קיים.

    מפעילים את BigQuery API.

    תפקידים שנדרשים להפעלת ממשקי API

    כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים

    להפעלת ה-API

תפקידים והרשאות

יש כמה תפקידים שקשורים לתגי מדיניות למשתמשים ולחשבונות שירות.

  • משתמשים או חשבונות שירות שמנהלים תגי מדיניות צריכים לקבל את התפקיד 'אדמין של תגי מדיניות' ב-Data Catalog. בעלי התפקיד Policy Tag Admin (אדמין של תגי מדיניות) יכולים לנהל טקסונומיות ותגי מדיניות, ויכולים להעניק או להסיר תפקידי IAM שמשויכים לתגי מדיניות.
  • משתמשים או חשבונות שירות שמחילים בקרת גישה לבקרת גישה ברמת העמודה צריכים לקבל את התפקיד 'אדמין של BigQuery' או 'הבעלים של נתוני BigQuery'. התפקידים ב-BigQuery יכולים לנהל מדיניות נתונים, שמשמשת לאכיפת בקרת גישה בטקסונומיה.
  • כדי לראות את הטקסונומיות ותגי המדיניות של כל הפרויקטים בארגון במסוףGoogle Cloud , המשתמשים צריכים לקבל את התפקיד 'צפייה בארגון'. אחרת, במסוף מוצגים רק טקסונומיות ותגי מדיניות שמשויכים לפרויקט שנבחר.
  • משתמשים או חשבונות שירות שמבצעים שאילתות על נתונים שמוגנים על ידי בקרת גישה ברמת העמודה צריכים לקבל את התפקיד Data Catalog Fine-Grained Reader כדי לגשת לנתונים האלה.

מידע נוסף על כל התפקידים שקשורים לתגי מדיניות זמין במאמר תפקידים שמשמשים לבקרת גישה ברמת העמודה.

תפקיד האדמין של תגי מדיניות ב-Data Catalog

התפקיד 'אדמין של תגי מדיניות ב-Data Catalog' מאפשר ליצור ולנהל תגי מדיניות לנתונים.

כדי להעניק את התפקיד 'אדמין של תגי מדיניות', צריך לקבל את ההרשאה resourcemanager.projects.setIamPolicy בפרויקט שבו רוצים להעניק את התפקיד. אם אין לכם את ההרשאה resourcemanager.projects.setIamPolicy, בקשו מ-Project Owner להעניק לכם את ההרשאה או לבצע בשבילכם את השלבים הבאים.

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף IAM

  2. אם כתובת האימייל של המשתמש שרוצים להעניק לו את התפקיד מופיעה ברשימה, בוחרים את כתובת האימייל ולוחצים על עריכה. נפתחת החלונית עריכת הגישה. לוחצים על הוספת תפקיד נוסף.

    אם כתובת האימייל של המשתמש לא מופיעה ברשימה, לוחצים על הוספה ומזינים את כתובת האימייל בתיבה New principals.

  3. לוחצים על הרשימה הנפתחת Select a role (בחירת תפקיד).

  4. בקטע By product or service (לפי מוצר או שירות), לוחצים על Data Catalog (קטלוג נתונים). בקטע Roles (תפקידים), לוחצים על Policy Tag Admin (אדמין של תגי מדיניות).

  5. לוחצים על Save.

התפקידים BigQuery Data Policy Admin,‏ BigQuery Admin ו-BigQuery Data Owner

התפקידים BigQuery Data Policy Admin, ‏ BigQuery Admin ו-BigQuery Data Owner יכולים לנהל מדיניות נתונים.

כדי להקצות אחד מהתפקידים האלה, צריך את ההרשאה resourcemanager.projects.setIamPolicy בפרויקט שבו רוצים להקצות את התפקיד. אם אין לכם את ההרשאה resourcemanager.projects.setIamPolicy, בקשו מ-Project Owner להעניק לכם את ההרשאה או לבצע בשבילכם את השלבים הבאים.

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף IAM

  2. אם כתובת האימייל של המשתמש שרוצים להעניק לו את התפקיד מופיעה ברשימה, בוחרים את כתובת האימייל ולוחצים על עריכה. אחר כך לוחצים על הוספת תפקיד נוסף.

    אם כתובת האימייל של המשתמש לא מופיעה ברשימה, לוחצים על הוספה ומזינים את כתובת האימייל בתיבה New principals.

  3. לוחצים על הרשימה הנפתחת Select a role (בחירת תפקיד).

  4. לוחצים על BigQuery ואז על BigQuery Data Policy Admin (אדמין של מדיניות נתונים ב-BigQuery), על BigQuery Admin (אדמין של BigQuery) או על BigQuery Data Owner (הבעלים של נתוני BigQuery).

  5. לוחצים על Save.

התפקיד 'צפייה בארגון'

התפקיד 'צפייה בארגון' מאפשר למשתמשים לצפות בפרטים על משאב הארגון שלהם. כדי להקצות את התפקיד הזה, צריכה להיות לכם ההרשאה resourcemanager.organizations.setIamPolicy בארגון.

תפקיד הקורא עם הרשאות גישה ברמת גרנולריות גבוהה ב-Data Catalog

משתמשים שזקוקים לגישה לנתונים שמוגנים באמצעות בקרת גישה ברמת העמודה צריכים את התפקיד Data Catalog Fine-Grained Reader או כל תפקיד אחר עם ההרשאה datacatalog.categories.fineGrainedGet. התפקיד הזה מוקצה לחשבונות משתמשים כחלק מהגדרת תג מדיניות.

כדי להעניק למשתמש את התפקיד Fine-Grained Reader (קורא עם הרשאות גישה מפורטות) בתג מדיניות, צריכה להיות לכם ההרשאה datacatalog.taxonomies.setIamPolicy בפרויקט שמכיל את הטקסונומיה של תג המדיניות הזה. אם אין לכם datacatalog.taxonomies.setIamPolicy הרשאה, בקשו מ-Project Owner להעניק לכם את ההרשאה, או לבצע את הפעולה בשבילכם.

הוראות מפורטות זמינות במאמר בנושא הגדרת הרשאות לתגי מדיניות.

הגדרה של בקרת גישה ברמת העמודה

כדי להגדיר בקרת גישה ברמת העמודה, צריך לבצע את המשימות הבאות:

  • יוצרים טקסונומיה של תגי מדיניות.
  • משייכים חשבונות משתמשים לתגי המדיניות ומעניקים להם את התפקיד 'קריאה עם הרשאות גישה מדויקות' ב-Data Catalog.
  • משייכים את תגי המדיניות לעמודות בטבלת BigQuery.
  • אכיפת בקרת גישה בטקסונומיה שמכילה את תגי המדיניות.

יצירת טקסונומיות

למשתמש או לחשבון השירות שיוצרים טקסונומיה צריך להקצות את התפקיד Data Catalog Policy Tag Admin.

המסוף

  1. פותחים את הדף Policy tag taxonomies במסוףGoogle Cloud .

    פתיחת הדף Policy tag taxonomies

  2. לוחצים על יצירת טקסונומיה.

  3. בדף New taxonomy:

    1. בשדה שם הטקסונומיה, מזינים את השם של הטקסונומיה שרוצים ליצור.
    2. בקטע תיאור, מזינים תיאור.
    3. אם צריך, משנים את הפרויקט שמופיע בקטע Project.
    4. אם צריך, משנים את המיקום שמופיע בקטע מיקום.
    5. בקטע תגי מדיניות, מזינים שם ותיאור של תג מדיניות.
    6. כדי להוסיף תג מדיניות משני לתג מדיניות, לוחצים על הוספת תג משני.
    7. כדי להוסיף תג מדיניות חדש באותה רמה של תג מדיניות אחר, לוחצים על + הוספת תג מדיניות.
    8. ממשיכים להוסיף תגי מדיניות ותגי מדיניות לילדים לפי הצורך לטקסונומיה.
    9. כשמסיימים ליצור תגי מדיניות להיררכיה, לוחצים על יצירה.

API

כדי להשתמש בטקסונומיות קיימות, קוראים ל-taxonomies.import במקום שני השלבים הראשונים בתהליך הבא.

  1. מתקשרים אל taxonomies.create כדי ליצור טקסונומיה.
  2. מתקשרים אל taxonomies.policytag.create כדי ליצור תג מדיניות.

הגדרת הרשאות לתגי מדיניות

למשתמש או לחשבון השירות שיוצרים טקסונומיה צריך להקצות את התפקיד Data Catalog Policy Tag Admin.

המסוף

  1. פותחים את הדף Policy tag taxonomies במסוףGoogle Cloud .

    פתיחת הדף Policy tag taxonomies

  2. לוחצים על שם הטקסונומיה שמכילה את תגי המדיניות הרלוונטיים.

  3. בוחרים תג מדיניות אחד או יותר.

  4. אם חלונית המידע מוסתרת, לוחצים על הצגת חלונית המידע.

  5. בחלונית המידע אפשר לראות את התפקידים וה-principals של תגי המדיניות שבחרתם. מוסיפים את התפקיד Policy Tags Admin לחשבונות שיוצרים ומנהלים תגי מדיניות. מוסיפים את התפקיד Fine-Grained Reader לחשבונות שאמורה להיות להם גישה לנתונים שמוגנים על ידי בקרת גישה ברמת העמודה. אפשר גם להשתמש בחלונית הזו כדי להסיר תפקידים מחשבונות או לשנות הרשאות אחרות.

  6. לוחצים על Save.

API

קוראים ל-taxonomies.policytag.setIamPolicy כדי להעניק גישה לתג מדיניות על ידי הקצאת חשבונות משתמשים לתפקידים המתאימים.

הגדרת תגי מדיניות בעמודות

למשתמש או לחשבון השירות שמגדירים תג מדיניות צריכות להיות ההרשאות datacatalog.taxonomies.get ו-bigquery.tables.setCategory. datacatalog.taxonomies.get כלולה בתפקידים 'אדמין של תגי מדיניות ב-Data Catalog' ו'צפייה בפרויקט'. ‫bigquery.tables.setCategory נכלל בתפקידים BigQuery Admin ‏ (roles/bigquery.admin) ו-BigQuery Data Owner ‏ (roles/bigquery.dataOwner).

כדי להציג טקסונומיות ותגי מדיניות בכל הפרויקטים בארגון ב-Google Cloud console, המשתמשים צריכים את ההרשאה resourcemanager.organizations.get, שנכללת בתפקיד 'צפייה בארגון'. לא נדרשת הרשאה כזו כשמשתמשים ב-API או בכלי bq של שורת הפקודה.

המסוף

מגדירים את תג המדיניות על ידי שינוי סכימה באמצעות מסוףGoogle Cloud .

  1. פותחים את הדף BigQuery במסוף Google Cloud .

    לדף BigQuery

  2. ב-BigQuery Explorer, מאתרים את הטבלה שרוצים לעדכן ובוחרים אותה. תיפתח סכימת הטבלה של הטבלה הזו.

  3. לוחצים על עריכת סכימה.

  4. במסך הסכימה הנוכחית, בוחרים את עמודת היעד ולוחצים על הוספת תג מדיניות.

  5. במסך הוספת תג מדיניות, מאתרים את תג המדיניות שרוצים להחיל על העמודה ובוחרים אותו.

  6. לוחצים על בחירה. המסך שלכם אמור להיראות כמו בדוגמה הבאה:

    עריכת הסכימה.

  7. לוחצים על Save.

BQ

  1. כותבים את הסכימה לקובץ מקומי.

    bq show --schema --format=prettyjson \
   project-id:dataset.table > schema.json

    where:

    • project-id הוא מזהה הפרויקט.
    • dataset הוא שם מערך הנתונים שמכיל את הטבלה שאתם מעדכנים.
    • table הוא השם של הטבלה שאתם מעדכנים.

  2. משנים את schema.json כדי להגדיר תג מדיניות בעמודה. כדי להגדיר את הערך של השדה names של policyTags, משתמשים בשם המשאב של תג המדיניות.

    [
 ...
 {
   "name": "ssn",
   "type": "STRING",
   "mode": "REQUIRED",
   "policyTags": {
     "names": ["projects/project-id/locations/location/taxonomies/taxonomy-id/policyTags/policytag-id"]
   }
 },
 ...
]

  3. מעדכנים את הסכימה.

    bq update \
   project-id:dataset.table schema.json

API

אם יש לכם טבלאות קיימות, התקשרו למספר tables.patch. אם אתם רוצים ליצור טבלאות חדשות, התקשרו למספר tables.insert. משתמשים במאפיין schema של האובייקט Table שמעבירים כדי להגדיר תג מדיניות בהגדרת הסכימה. כדי לראות איך מגדירים תג מדיניות, אפשר לעיין בסכימה של דוגמה לשורת פקודה.

כשעובדים עם טבלה קיימת, עדיף להשתמש ב-method‏ tables.patch, כי ה-method‏ tables.update מחליף את כל משאב הטבלה.

דרכים אחרות להגדיר תגי מדיניות בעמודות

אפשר גם להגדיר תגי מדיניות כשמבצעים את הפעולות הבאות:

  • אפשר להשתמש ב-bq mk כדי ליצור טבלה. מעבירים סכימה לשימוש ביצירת הטבלה.
  • משתמשים ב-bq load כדי לטעון נתונים לטבלה. מעבירים סכימה לשימוש כשמעלים את הטבלה.

מידע כללי על סכימות זמין במאמר ציון סכימה.

אכיפת בקרת גישה

כדי להפעיל או להשבית את האכיפה של בקרת הגישה, פועלים לפי ההוראות הבאות.

כדי לאכוף את בקרת הגישה, צריך ליצור מדיניות נתונים. אם אתם אוכפים בקרת גישה באמצעותGoogle Cloud המסוף, הפעולה הזו מתבצעת בשבילכם. אם רוצים לאכוף בקרת גישה באמצעות BigQuery Data Policy API, צריך ליצור במפורש את מדיניות הנתונים.

למשתמש הראשי שמחיל את בקרת הגישה צריך להיות תפקיד אדמין של BigQuery או תפקיד בעלים של נתונים ב-BigQuery. לחשבון המשתמש צריך להיות גם התפקיד Data Catalog Admin או התפקיד Data Catalog Viewer.

כדי להפסיק את האכיפה של בקרת הגישה אם היא מופעלת, לוחצים על Enforce access control כדי להחליף את מצב הבקרה.

אם יש לכם מדיניות נתונים שמשויכת לתגי מדיניות כלשהם בטקסונומיה, אתם צריכים למחוק את כל מדיניות הנתונים בטקסונומיה לפני שתפסיקו את האכיפה של בקרת הגישה. אם מוחקים את מדיניות הנתונים באמצעות BigQuery Data Policy API, צריך למחוק את כל מדיניות הנתונים עם dataPolicyType של DATA_MASKING_POLICY. מידע נוסף מופיע במאמר בנושא מדיניות למחיקת נתונים.

יצירת מדיניות נתונים

כדי ליצור מדיניות בנושא נתונים:

המסוף

כדי לאכוף את בקרת הגישה, פועלים לפי השלבים הבאים:

  1. פותחים את הדף Policy tag taxonomies במסוףGoogle Cloud .

    פתיחת הדף Policy tag taxonomies

  2. לוחצים על הטקסונומיה שרוצים לאכוף את בקרת הגישה ברמת העמודה שלה.

  3. אם האפשרות החלת בקרת גישה לא מופעלת, לוחצים על החלת בקרת גישה כדי להפעיל אותה.

API

משתמשים בשיטה create ומעבירים משאב DataPolicy שבו השדה dataPolicyType מוגדר לערך COLUMN_LEVEL_SECURITY_POLICY.

קבלת מדיניות בנושא נתונים

כדי לקבל מידע על מדיניות בנושא נתונים:

Node.js

לפני שמנסים את הדוגמה הזו, צריך לפעול לפי Node.jsהוראות ההגדרה שבמדריך למתחילים של BigQuery באמצעות ספריות לקוח. מידע נוסף מופיע במאמרי העזרה של BigQuery Node.js API.

כדי לבצע אימות ב-BigQuery, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לספריות לקוח. 

const {DataPolicyServiceClient} =
  require('@google-cloud/bigquery-datapolicies').v2;
const {status} = require('@grpc/grpc-js');

const client = new DataPolicyServiceClient();

/**
 * Gets a specific data policy from the BigQuery Data Policy API by its name.
 *
 * This sample demonstrates how to fetch the details of an existing data policy.
 * Data policies are used to define rules for data masking or row-level security
 * on BigQuery tables.
 *
 * @param {string} projectId The Google Cloud project ID (for example, 'example-project-id')
 * @param {string} [location='us'] The Google Cloud location of the data policy (For example, 'us', 'europe-west2').
 * @param {string} [dataPolicyId='example-data-policy'] The ID of the data policy to retrieve.
 */
async function getDataPolicy(
  projectId,
  location = 'us',
  dataPolicyId = 'example-data-policy',
) {
  const name = client.dataPolicyPath(projectId, location, dataPolicyId);

  const request = {
    name,
  };

  try {
    const [dataPolicy] = await client.getDataPolicy(request);
    console.log('Successfully retrieved data policy:');
    console.log(`  Name: ${dataPolicy.name}`);
    console.log(`  Type: ${dataPolicy.dataPolicyType}`);
    if (dataPolicy.dataMaskingPolicy) {
      console.log(
        `  Data Masking Policy: ${dataPolicy.dataMaskingPolicy.predefinedExpression || dataPolicy.dataMaskingPolicy.routine}`,
      );
    }
    if (dataPolicy.grantees && dataPolicy.grantees.length > 0) {
      console.log(`  Grantees: ${dataPolicy.grantees.join(', ')}`);
    }
  } catch (err) {
    if (err.code === status.NOT_FOUND) {
      console.error(
        `Error: Data policy '${dataPolicyId}' not found in location '${location}' for project '${projectId}'.`,
      );
      console.error(
        'Make sure the data policy ID, project ID, and location are correct.',
      );
    } else {
      console.error('Error retrieving data policy:', err.message);
    }
  }
}

Python

לפני שמנסים את הדוגמה הזו, צריך לפעול לפי Pythonהוראות ההגדרה שבמדריך למתחילים של BigQuery באמצעות ספריות לקוח. מידע נוסף מופיע במאמרי העזרה של BigQuery Python API.

כדי לבצע אימות ב-BigQuery, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לספריות לקוח. 

from google.api_core import exceptions
from google.cloud import bigquery_datapolicies_v2

client = bigquery_datapolicies_v2.DataPolicyServiceClient()


def get_data_policy(
    project_id: str,
    location: str,
    data_policy_id: str,
) -> None:
    """Gets a specific data policy from the BigQuery Data Policy API by its name.


    Args:
        project_id: The Google Cloud project ID.
        location: The geographic location of the data policy (for example, "us", "eu").
        data_policy_id: The user-assigned ID of the data policy.
    """
    client = bigquery_datapolicies_v2.DataPolicyServiceClient()

    data_policy_name = client.data_policy_path(
        project=project_id,
        location=location,
        data_policy=data_policy_id,
    )

    try:
        response = client.get_data_policy(name=data_policy_name)

        print(f"Successfully retrieved data policy: {response.name}")
        print(f"  Data Policy ID: {response.data_policy_id}")
        print(f"  Data Policy Type: {response.data_policy_type.name}")
        if response.policy_tag:
            print(f"  Policy Tag: {response.policy_tag}")
        if response.grantees:
            print(f"  Grantees: {', '.join(response.grantees)}")
        if response.data_masking_policy:
            masking_policy = response.data_masking_policy
            if masking_policy.predefined_expression:
                print(
                    f"  Data Masking Predefined Expression: {masking_policy.predefined_expression.name}"
                )
            elif masking_policy.routine:
                print(f"  Data Masking Routine: {masking_policy.routine}")

    except exceptions.NotFound:
        print(f"Error: Data policy '{data_policy_name}' not found.")
        print("Make sure the data policy ID, project ID, and location are correct.")
    except Exception as e:
        print(f"An unexpected error occurred: {e}")

קבלת המדיניות של ניהול הזהויות והרשאות הגישה (IAM) עבור מדיניות נתונים

כדי לקבל את מדיניות IAM למדיניות נתונים:

Node.js

לפני שמנסים את הדוגמה הזו, צריך לפעול לפי Node.jsהוראות ההגדרה שבמדריך למתחילים של BigQuery באמצעות ספריות לקוח. מידע נוסף מופיע במאמרי העזרה של BigQuery Node.js API.

כדי לבצע אימות ב-BigQuery, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לספריות לקוח. 

const {DataPolicyServiceClient} =
  require('@google-cloud/bigquery-datapolicies').v2;
const {status} = require('@grpc/grpc-js');

const client = new DataPolicyServiceClient();

/**
 * Get the IAM policy for a specified data policy resource from the BigQuery Data Policy API.
 * This is useful for auditing which members have which roles on the policy.
 *
 *
 * @param {string} projectId Google Cloud Project ID (For example, 'example-project-id')
 * @param {string} location Google Cloud Location (For example, 'us-central1')
 * @param {string} dataPolicyId The ID of the data policy (For example, 'example-data-policy-id')
 */
async function getIamPolicy(projectId, location, dataPolicyId) {
  const resourceName = client.dataPolicyPath(projectId, location, dataPolicyId);

  const request = {
    resource: resourceName,
  };

  try {
    const [policy] = await client.getIamPolicy(request);
    console.log(
      'Successfully retrieved IAM policy for data policy %s:',
      resourceName,
    );
    console.log(JSON.stringify(policy, null, 2));
  } catch (err) {
    if (err.code === status.NOT_FOUND) {
      console.error(
        `Error: Data Policy '${dataPolicyId}' not found in location '${location}' of project '${projectId}'. ` +
          'Make sure the data policy exists and the resource name is correct.',
      );
    } else {
      console.error(
        `Error getting IAM policy for data policy '${dataPolicyId}':`,
        err,
      );
    }
  }
}

Python

לפני שמנסים את הדוגמה הזו, צריך לפעול לפי Pythonהוראות ההגדרה שבמדריך למתחילים של BigQuery באמצעות ספריות לקוח. מידע נוסף מופיע במאמרי העזרה של BigQuery Python API.

כדי לבצע אימות ב-BigQuery, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לספריות לקוח. 

from google.api_core import exceptions
from google.cloud import bigquery_datapolicies_v2
from google.iam.v1 import iam_policy_pb2

client = bigquery_datapolicies_v2.DataPolicyServiceClient()


def get_data_policy_iam_policy(
    project_id: str,
    location: str,
    data_policy_id: str,
) -> None:
    """Get the IAM policy for a specified data policy resource from the BigQuery Data Policy API.
    This is useful for auditing which members have which roles on the policy.

    Args:
        project_id: The Google Cloud project ID.
        location: The geographic location of the data policy (for example, "us").
        data_policy_id: The ID of the data policy.
    """

    resource_name = client.data_policy_path(
        project=project_id,
        location=location,
        data_policy=data_policy_id,
    )

    request = iam_policy_pb2.GetIamPolicyRequest(resource=resource_name)

    try:
        policy = client.get_iam_policy(request=request)

        print(f"Successfully retrieved IAM policy for data policy: {resource_name}")
        print("Policy Version:", policy.version)
        if policy.bindings:
            print("Policy Bindings:")
            for binding in policy.bindings:
                print(f"  Role: {binding.role}")
                print(f"  Members: {', '.join(binding.members)}")
                if binding.condition.expression:
                    print(f"  Condition: {binding.condition.expression}")
        else:
            print("No bindings found in the policy.")

    except exceptions.NotFound:
        print(f"Error: Data policy '{resource_name}' not found.")
        print("Make sure the project ID, location, and data policy ID are correct.")
    except exceptions.GoogleAPIError as e:
        print(f"An API error occurred: {e}")
    except Exception as e:
        print(f"An unexpected error occurred: {e}")

הצגת רשימה של כללי מדיניות בנושא נתונים

כדי לפרט את כללי המדיניות בנושא נתונים:

Node.js

לפני שמנסים את הדוגמה הזו, צריך לפעול לפי Node.jsהוראות ההגדרה שבמדריך למתחילים של BigQuery באמצעות ספריות לקוח. מידע נוסף מופיע במאמרי העזרה של BigQuery Node.js API.

כדי לבצע אימות ב-BigQuery, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לספריות לקוח. 

const {DataPolicyServiceClient} =
  require('@google-cloud/bigquery-datapolicies').v2;
const {status} = require('@grpc/grpc-js');

const client = new DataPolicyServiceClient();

/**
 * Lists all data policies in a given project and location.
 *
 * Data policies define rules for data masking, row-level security, or column-level security.
 *
 * @param {string} projectId The Google Cloud project ID. (for example, 'example-project-id')
 * @param {string} location The Google Cloud location of the data policies. (For example, 'us')
 */
async function listDataPolicies(projectId, location) {
  const parent = `projects/${projectId}/locations/${location}`;

  const request = {
    parent,
  };

  try {
    console.log(
      `Listing data policies for project: ${projectId} in location: ${location}`,
    );
    const [dataPolicies] = await client.listDataPolicies(request);

    if (dataPolicies.length === 0) {
      console.log(
        `No data policies found in location ${location} for project ${projectId}.`,
      );
      return;
    }

    console.log('Data Policies:');
    for (const dataPolicy of dataPolicies) {
      console.log(`  Data Policy Name: ${dataPolicy.name}`);
      console.log(`    ID: ${dataPolicy.dataPolicyId}`);
      console.log(`    Type: ${dataPolicy.dataPolicyType}`);
      if (dataPolicy.policyTag) {
        console.log(`    Policy Tag: ${dataPolicy.policyTag}`);
      }
      if (dataPolicy.grantees && dataPolicy.grantees.length > 0) {
        console.log(`    Grantees: ${dataPolicy.grantees.join(', ')}`);
      }
      if (dataPolicy.dataMaskingPolicy) {
        if (dataPolicy.dataMaskingPolicy.predefinedExpression) {
          console.log(
            `    Data Masking Predefined Expression: ${dataPolicy.dataMaskingPolicy.predefinedExpression}`,
          );
        } else if (dataPolicy.dataMaskingPolicy.routine) {
          console.log(
            `    Data Masking Routine: ${dataPolicy.dataMaskingPolicy.routine}`,
          );
        }
      }
    }

    console.log(`Successfully listed ${dataPolicies.length} data policies.`);
  } catch (err) {
    if (err.code === status.NOT_FOUND) {
      console.error(
        `Error: The project or location '${location}' for project '${projectId}' was not found. ` +
          'Make sure the project ID and location are correct and that the BigQuery Data Policy API is enabled.',
      );
    } else if (err.code === status.PERMISSION_DENIED) {
      console.error(
        `Error: Permission denied when listing data policies for project '${projectId}' in location '${location}'. ` +
          'Make sure the authenticated account has the necessary permissions (For example, bigquery.datapolicies.list).',
      );
    } else {
      console.error(`Error listing data policies: ${err.message}`);
    }
  }
}

Python

לפני שמנסים את הדוגמה הזו, צריך לפעול לפי Pythonהוראות ההגדרה שבמדריך למתחילים של BigQuery באמצעות ספריות לקוח. מידע נוסף מופיע במאמרי העזרה של BigQuery Python API.

כדי לבצע אימות ב-BigQuery, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לספריות לקוח. 

import google.api_core.exceptions
from google.cloud import bigquery_datapolicies_v2

client = bigquery_datapolicies_v2.DataPolicyServiceClient()


def list_data_policies(project_id: str, location: str) -> None:
    """Lists all data policies in a specified project.

    Args:
        project_id: The Google Cloud project ID.
        location: The geographic location of the data policies (for example, "us", "us-central1").
    """

    parent = f"projects/{project_id}/locations/{location}"

    try:
        request = bigquery_datapolicies_v2.ListDataPoliciesRequest(parent=parent)

        print(
            f"Listing data policies for project '{project_id}' in location '{location}':"
        )
        page_result = client.list_data_policies(request=request)

        found_policies = False
        for data_policy in page_result:
            found_policies = True
            print(f"  Data Policy Name: {data_policy.name}")
            print(f"  Data Policy ID: {data_policy.data_policy_id}")
            print(f"  Data Policy Type: {data_policy.data_policy_type.name}")
            if data_policy.policy_tag:
                print(f"  Policy Tag: {data_policy.policy_tag}")
            if data_policy.grantees:
                print(f"  Grantees: {', '.join(data_policy.grantees)}")
            print("-" * 20)

        if not found_policies:
            print("No data policies found.")

    except google.api_core.exceptions.NotFound as e:
        print(f"Error: The specified project or location was not found or accessible.")
        print(f"Details: {e}")
        print(
            "Make sure the project ID and location are correct and you have the necessary permissions."
        )
    except Exception as e:
        print(f"An unexpected error occurred: {e}")

מחיקת מדיניות בנושא נתונים

כדי למחוק מדיניות נתונים:

Node.js

לפני שמנסים את הדוגמה הזו, צריך לפעול לפי Node.jsהוראות ההגדרה שבמדריך למתחילים של BigQuery באמצעות ספריות לקוח. מידע נוסף מופיע במאמרי העזרה של BigQuery Node.js API.

כדי לבצע אימות ב-BigQuery, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לספריות לקוח. 

const {DataPolicyServiceClient} =
  require('@google-cloud/bigquery-datapolicies').v2;
const {status} = require('@grpc/grpc-js');

const client = new DataPolicyServiceClient();

/**
 * Deletes a data policy from the BigQuery Data Policy API, which is identified by its project ID, location, and data policy ID.
 *
 * @param {string} projectId The Google Cloud project ID.
 * @param {string} location The Google Cloud location (For example, 'us').
 * @param {string} dataPolicyId The ID of the data policy to delete (For example, 'example-data-policy').
 */
async function deleteDataPolicy(projectId, location, dataPolicyId) {
  const name = client.dataPolicyPath(projectId, location, dataPolicyId);

  const request = {
    name,
  };

  try {
    await client.deleteDataPolicy(request);
    console.log(`Successfully deleted data policy: ${name}`);
  } catch (err) {
    if (err.code === status.NOT_FOUND) {
      console.error(
        `Data policy ${name} not found. Make sure the data policy ID and location are correct.`,
      );
    } else {
      console.error(`Error deleting data policy ${name}:`, err.message);
    }
  }
}

Python

לפני שמנסים את הדוגמה הזו, צריך לפעול לפי Pythonהוראות ההגדרה שבמדריך למתחילים של BigQuery באמצעות ספריות לקוח. מידע נוסף מופיע במאמרי העזרה של BigQuery Python API.

כדי לבצע אימות ב-BigQuery, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לספריות לקוח. 

from google.api_core import exceptions as core_exceptions
from google.cloud import bigquery_datapolicies_v2

client = bigquery_datapolicies_v2.DataPolicyServiceClient()


def delete_data_policy(project_id: str, location: str, data_policy_id: str) -> None:
    """Deletes a data policy from the BigQuery Data Policy APIs.

    Args:
        project_id: The Google Cloud project ID.
        location: The location of the data policy (for example, "us").
        data_policy_id: The ID of the data policy to delete.
    """

    name = client.data_policy_path(
        project=project_id, location=location, data_policy=data_policy_id
    )

    try:
        client.delete_data_policy(name=name)
        print(f"Successfully deleted data policy: {name}")
    except core_exceptions.NotFound:
        print(f"Data policy '{name}' not found. It may have already been deleted.")
    except Exception as e:
        print(f"Error deleting data policy '{name}': {e}")

עבודה עם תגי מדיניות

בקטע הזה מוסבר איך להציג, לשנות ולמחוק תגי מדיניות.

צפייה בתגי מדיניות

כדי לראות את תגי המדיניות שיצרתם עבור טקסונומיה:

  1. פותחים את הדף Policy tag taxonomies במסוףGoogle Cloud .

    פתיחת הדף Policy tag taxonomies

  2. לוחצים על הטקסונומיה שרוצים לראות את תגי המדיניות שלה. בדף Taxonomies מוצגים תגי המדיניות בטקסונומיה.

הצגת תגי מדיניות בסכימה

כשבודקים את סכימת הטבלה, אפשר לראות את תגי המדיניות שחלים על הטבלה. אפשר לראות את הסכימה באמצעות Google Cloud המסוף, כלי שורת הפקודה של BigQuery,‏ BigQuery API וספריות הלקוח. לפרטים על הצגת הסכימה, אפשר לעיין במאמר קבלת מידע על טבלה.

צפייה בהרשאות בתגי מדיניות

  1. פותחים את הדף Policy tag taxonomies במסוףGoogle Cloud .

    פתיחת הדף Policy tag taxonomies

  2. לוחצים על שם הטקסונומיה שמכילה את תגי המדיניות הרלוונטיים.

  3. בוחרים תג מדיניות אחד או יותר.

  4. אם חלונית המידע מוסתרת, לוחצים על הצגת חלונית המידע.

  5. בחלונית המידע אפשר לראות את התפקידים וה-principals של תגי המדיניות שבחרתם.

עדכון הרשאות בתגי מדיניות

למשתמש או לחשבון השירות שיוצרים טקסונומיה צריך להקצות את התפקיד Data Catalog Policy Tag Admin.

המסוף

  1. פותחים את הדף Policy tag taxonomies במסוףGoogle Cloud .

    פתיחת הדף Policy tag taxonomies

  2. לוחצים על שם הטקסונומיה שמכילה את תגי המדיניות הרלוונטיים.

  3. בוחרים תג מדיניות אחד או יותר.

  4. אם חלונית המידע מוסתרת, לוחצים על הצגת חלונית המידע.

  5. בחלונית המידע אפשר לראות את התפקידים וה-principals של תגי המדיניות שבחרתם. מוסיפים את התפקיד Policy Tags Admin לחשבונות שיוצרים ומנהלים תגי מדיניות. מוסיפים את התפקיד Fine-Grained Reader לחשבונות שאמורה להיות להם גישה לנתונים שמוגנים על ידי בקרת גישה ברמת העמודה. אפשר גם להשתמש בחלונית הזו כדי להסיר תפקידים מחשבונות או לשנות הרשאות אחרות.

  6. לוחצים על Save.

API

קוראים ל-taxonomies.policytag.setIamPolicy כדי להעניק גישה לתג מדיניות על ידי הקצאת חשבונות משתמשים לתפקידים המתאימים.

אחזור שמות משאבים של תגי מדיניות

כדי להחיל את תג המדיניות על עמודה, צריך את שם המשאב של תג המדיניות.

כדי לאחזר את שם המשאב של תג המדיניות:

  1. צפייה בתגי המדיניות של הטקסונומיה שמכילה את תג המדיניות.

  2. מאתרים את תג המדיניות שרוצים להעתיק את שם המשאב שלו.

  3. לוחצים על סמל העתקת שם המשאב של תג המדיניות.

    העתקת שם המשאב.

מחיקת תגי מדיניות

מעדכנים את סכימת הטבלה כדי לנקות תג מדיניות מעמודה. אפשר להשתמש במסוףGoogle Cloud , בכלי שורת הפקודה של BigQuery, ובשיטת BigQuery API כדי לנקות תג מדיניות מעמודה.

המסוף

בדף Current schema (סכימה נוכחית), בקטע Policy tags (תגי מדיניות), לוחצים על X.

מחיקת תג מדיניות.

BQ

  1. מאחזרים את הסכימה ושומרים אותה בקובץ מקומי.

    bq show --schema --format=prettyjson \
   project-id:dataset.table > schema.json

    where:

    • project-id הוא מזהה הפרויקט.
    • dataset הוא שם מערך הנתונים שמכיל את הטבלה שאתם מעדכנים.
    • table הוא השם של הטבלה שאתם מעדכנים.

  2. משנים את schema.json כדי להסיר תג מדיניות מעמודה.

    [
 ...
 {
   "name": "ssn",
   "type": "STRING",
   "mode": "REQUIRED",
   "policyTags": {
     "names": []
   }
 },
 ...
]

  3. מעדכנים את הסכימה.

    bq update \
   project-id:dataset.table schema.json

API

מתקשרים אל tables.patch ומשתמשים במאפיין schema כדי להסיר תג מדיניות בהגדרת הסכימה. כדי לראות איך מוחקים תג מדיניות, אפשר לעיין בסכימה של דוגמה לשורת פקודה.

השיטה המועדפת היא tables.patch, כי השיטה tables.update מחליפה את כל משאב הטבלה.

מחיקת תגי מדיניות

אפשר למחוק תג מדיניות אחד או יותר בטקסונומיה, או למחוק את הטקסונומיה ואת כל תגי המדיניות שהיא מכילה. מחיקה של תג מדיניות מסירה באופן אוטומטי את השיוך בין תג המדיניות לבין כל העמודות שהוא הוחל עליהן.

כשמוחקים תג מדיניות שמשויכת אליו מדיניות נתונים, יכול להיות שיחלפו עד 30 דקות עד שמדיניות הנתונים תימחק גם היא. אם רוצים למחוק את מדיניות הנתונים באופן מיידי, אפשר למחוק אותה ישירות.

כדי למחוק תג מדיניות אחד או יותר בטקסונומיה:

  1. פותחים את הדף Policy tag taxonomies במסוףGoogle Cloud .

    פתיחת הדף Policy tag taxonomies

  2. לוחצים על השם של הטקסונומיה שמכילה את התגים שרוצים למחוק.
  3. לוחצים על Edit.
  4. לוחצים על לצד תגי המדיניות שרוצים למחוק.
  5. לוחצים על Save.
  6. לוחצים על אישור.

כדי למחוק טקסונומיה שלמה:

  1. פותחים את הדף Policy tag taxonomies במסוףGoogle Cloud .

    פתיחת הדף Policy tag taxonomies

  2. לוחצים על השם של הטקסונומיה שמכילה את התגים שרוצים למחוק.
  3. לוחצים על מחיקת הטקסונומיה של תגי מדיניות.
  4. מקלידים את שם הטקסונומיה ולוחצים על מחיקה.

שאילתת נתונים עם בקרת גישה ברמת העמודה

אם למשתמש יש גישה למערך הנתונים והוא קיבל את התפקיד Fine-Grained Reader (קריאה עם הרשאות גישה מפורטות) בקטלוג הנתונים, נתוני העמודות זמינים למשתמש. המשתמש מריץ שאילתה כרגיל.

אם למשתמש יש גישה למערך נתונים אבל אין לו את התפקיד Fine-Grained Reader (קריאה עם הרשאות גישה מדויקות) ב-Data Catalog, נתוני העמודה לא יהיו זמינים למשתמש. אם משתמש כזה מפעיל את SELECT *, הוא מקבל שגיאה שמפרטת את העמודות שאין לו גישה אליהן. כדי לפתור את השגיאה, אפשר:

  • משנים את השאילתה כדי להחריג את העמודות שהמשתמש לא יכול לגשת אליהן. לדוגמה, אם למשתמש אין גישה לעמודה ssn, אבל יש לו גישה לשאר העמודות, הוא יכול להריץ את השאילתה הבאה:

    SELECT * EXCEPT (ssn) FROM ...

    בדוגמה שלמעלה, התנאי EXCEPT מחריג את העמודה ssn.

  • צריך לבקש מאדמין של Data Catalog להוסיף את המשתמש כקורא עם הרשאות גישה ברמת הגרנולריות לנתונים בסיווג הנתונים הרלוונטי. בהודעת השגיאה מופיע השם המלא של תג המדיניות שהמשתמש צריך לקבל גישה אליו.

שאלות נפוצות

האם אבטחה ברמת העמודה ב-BigQuery פועלת בתצוגות?

כן. התצוגות נגזרות מטבלה בסיסית. אותו בקרת גישה ברמת העמודה בטבלה חלה כשניגשים לעמודות המוגנות דרך תצוגה.

יש שני סוגים של תצוגות ב-BigQuery: תצוגות לוגיות ותצוגות מורשות. שני סוגי התצוגות נגזרים מטבלת מקור, ושניהם עקביים עם בקרת הגישה ברמת העמודה של הטבלה.

מידע נוסף זמין במאמר בנושא תצוגות מורשות.

האם בקרת הגישה ברמת העמודה פועלת בעמודות STRUCT או RECORD?

כן. אפשר להחיל תגי מדיניות רק על שדות עלים, ורק השדות האלה מוגנים.

האם אפשר להשתמש גם ב-SQL מדור קודם וגם ב-GoogleSQL?

אתם יכולים להשתמש ב-GoogleSQL כדי לשלוח שאילתות לטבלאות שמוגנות על ידי בקרת גישה ברמת העמודה.

אם יש תגי מדיניות בטבלאות היעד, כל שאילתות SQL מדור קודם נדחות.

האם השאילתות נרשמות ביומן ב-Cloud Logging?

הבדיקה של תגי המדיניות מתועדת ביומן. מידע נוסף על בקרת גישה ברמת העמודה זמין במאמר בנושא יומני ביקורת.

האם העתקה של טבלה מושפעת מבקרת גישה ברמת העמודה?

כן. אי אפשר להעתיק עמודות אם אין לכם גישה אליהן.

הפעולות הבאות מאמתות הרשאות ברמת העמודה.

כשמעתיקים נתונים לטבלה חדשה, האם תגי המדיניות מועברים אוטומטית?

ברוב המקרים, לא. אם מעתיקים את התוצאות של שאילתה לטבלה חדשה, לא מוקצים לטבלה החדשה באופן אוטומטי תגי מדיניות. לכן בטבלה החדשה אין בקרת גישה ברמת העמודה. הדבר נכון גם אם מייצאים נתונים ל-Cloud Storage.

יוצא מן הכלל הוא אם משתמשים בפעולת העתקה של טבלה. מכיוון שעבודות העתקה של טבלאות לא מבצעות טרנספורמציה של נתונים, תגי המדיניות מועברים אוטומטית לטבלאות היעד. החריג הזה לא חל על עבודות של העתקת טבלאות בין אזורים, כי עבודות כאלה לא תומכות בהעתקה של תגי מדיניות.

האם בקרת גישה ברמת העמודה תואמת לענן וירטואלי פרטי?

כן, בקרת גישה ברמת העמודה ו-VPC תואמים ומשלימים זה את זה.

ב-VPC נעשה שימוש ב-IAM כדי לשלוט בגישה לשירותים, כמו BigQuery ו-Cloud Storage. בקרת גישה ברמת העמודה מספקת אבטחה מפורטת של עמודות ספציפיות ב-BigQuery עצמו.

כדי לאכוף את השימוש ב-VPC בתגי מדיניות ובמדיניות נתונים לצורך בקרת גישה ברמת העמודה והסתרה דינמית של נתונים, צריך להגביל את ממשקי ה-API הבאים בפרימטר:

פתרון בעיות

אני לא רואה את התפקידים בקטלוג הנתונים

אם אתם לא רואים תפקידים כמו Data Catalog Fine-Grained Reader, יכול להיות שלא הפעלתם את Data Catalog API בפרויקט. במאמר לפני שמתחילים מוסבר איך להפעיל את Data Catalog API. התפקידים של Data Catalog אמורים להופיע כמה דקות אחרי שמפעילים את Data Catalog API.

אין לי אפשרות לראות את הדף Taxonomies

כדי לצפות בדף Taxonomies נדרשות הרשאות נוספות. לדוגמה, לתפקיד אדמין של תגי מדיניות ב-Data Catalog יש גישה לדף Taxonomies.

הפעלתי תגי מדיניות, אבל נראה שהם לא פועלים

אם אתם עדיין מקבלים תוצאות של שאילתות לגבי חשבון שלא אמורה להיות לו גישה, יכול להיות שהחשבון מקבל תוצאות ששמורות במטמון. במילים אחרות, אם הרצתם בעבר את השאילתה בהצלחה ואז הפעלתם תגי מדיניות, יכול להיות שאתם מקבלים תוצאות ממטמון תוצאות השאילתה. כברירת מחדל, תוצאות השאילתות נשמרות במטמון למשך 24 שעות. השאילתה אמורה להיכשל באופן מיידי אם משביתים את מטמון התוצאות. פרטים נוספים על שמירת נתונים במטמון זמינים במאמר ההשפעה של בקרת גישה ברמת העמודה.

בדרך כלל, העדכונים ב-IAM מופצים תוך כ-30 שניות. יכולות לחלוף עד 30 דקות עד שהשינויים בהיררכיית תגי המדיניות יתעדכנו.

אין לי הרשאה לקרוא מטבלה עם אבטחה ברמת העמודה

צריך תפקיד קריאה עם הרשאות גישה מדויקות או תפקיד קריאה עם הרשאות גישה מוגבלות ברמות שונות, כמו ארגון, תיקייה, פרויקט ותג מדיניות. התפקיד Fine-Grained Reader (קורא עם גישה פרטנית) מעניק גישה לנתונים גולמיים, והתפקיד Masked Reader (קורא עם גישה לנתונים מוסווים) מעניק גישה לנתונים מוסווים. אפשר להשתמש בכלי לפתרון בעיות ב-IAM כדי לבדוק את ההרשאה הזו ברמת הפרויקט.

הגדרתי בקרת גישה פרטנית בטקסונומיה של תגי מדיניות, אבל המשתמשים רואים נתונים מוגנים

כדי לפתור את הבעיה, צריך לוודא את הפרטים הבאים:

  • בדף Policy tag taxonomy, מוודאים שהמתג Enforce access control (אכיפת בקרת גישה) נמצא במצב On (מופעל).

  • מוודאים שהשאילתות לא משתמשות בתוצאות של שאילתות שנשמרו במטמון. אם אתם משתמשים בכלי bq של ממשק שורת הפקודה כדי לבדוק את השאילתות, אתם צריכים להשתמש בפקודה --nouse_cache flag כדי להשבית את השמירה של שאילתות במטמון. לדוגמה:

    bq query --nouse_cache --use_legacy_sql=false "SELECT * EXCEPT (customer_pii) FROM my_table;"

שיקולים לגבי העברת פרויקטים

תגי מדיניות וטקסונומיות נמצאים בתוך Google Cloud ארגון מסוים ולא משויכים מחדש באופן אוטומטי כשמעבירים פרויקט לארגון חדש. אם מעבירים פרויקט שמשתמש בתגי מדיניות לצורך בקרת גישה ברמת העמודה לארגון אחר, יתרחשו הבעיות הבאות:

  • אי אפשר יהיה יותר לנהל את תגי המדיניות בממשק המשתמש של מסוף Google Cloud בפרויקט שהועבר.
  • לא תוכלו להחיל את תגי המדיניות האלה על עמודות חדשות בפרויקט שהועבר.
  • יכול להיות שעדיין יופיעו אמצעי בקרה קיימים לגישה ברמת העמודה, אבל הקישור לטקסונומיה של המקור בארגון המקורי יישבר למטרות ניהול.

כדי לפתור את הבעיה, צוות התמיכה של Google Cloud צריך להתערב באופן ידני ולשייך מחדש את הטקסונומיה לארגון החדש. אם העברתם פרויקט עם תגי מדיניות ונתקלתם בבעיות האלה, אתם יכולים לפנות ל-Cloud Customer Care.