本頁面由 Cloud Translation API 翻譯而成。

透過資料欄層級存取權控管機制限制存取權

本頁說明如何使用 BigQuery 資料欄層級存取權控管機制，限制存取資料欄層級的 BigQuery 資料。如需資料欄層級存取權控管的一般資訊，請參閱「BigQuery 資料欄層級存取權控管簡介」。

本頁的說明會同時使用 BigQuery 和 Data Catalog。

您必須更新資料表結構定義，才能為資料欄設定政策標記。您可以使用 Google Cloud 控制台、bq 指令列工具和 BigQuery API，為資料欄設定政策代碼。此外，您可以使用下列技術，在單一作業中建立資料表、指定結構定義及指定政策標記：

bq 指令列工具的 bq mk 和 bq load 指令。
tables.insert API 方法。
Google Cloud 控制台中的「建立資料表」頁面。如果您使用Google Cloud 控制台，新增或編輯結構定義時，必須選取「以文字形式編輯」。

如要強化資料欄層級的存取控管，您可以選擇使用動態資料遮蓋。資料遮蓋功能可將資料欄的實際值替換為空值、預設值或雜湊內容，藉此遮蓋機密資料。

事前準備

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Data Catalog and BigQuery Data Policy APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Data Catalog and BigQuery Data Policy APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

新專案會自動啟用 BigQuery，但您可能需要在現有專案中啟用這項服務。
Enable the BigQuery API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the API

角色和權限

使用者和服務帳戶有多種與政策標記相關的角色。

管理政策代碼的使用者或服務帳戶必須具備 Data Catalog 政策代碼管理員角色。政策標記管理員角色可管理分類和政策標記，並授予或移除與政策標記相關聯的 IAM 角色。
如果使用者或服務帳戶強制執行存取權控管，就必須具備 BigQuery 管理員或 BigQuery 資料擁有者角色，才能進行資料欄層級存取權控管。BigQuery 角色可以管理資料政策，這些政策用於對分類強制執行存取權控管。
如要在Google Cloud 控制台中查看機構內所有專案的分類和政策標記，使用者必須具備機構檢視者角色。否則，控制台只會顯示與所選專案相關聯的分類和政策標籤。
如要查詢受欄級存取權控管保護的資料，使用者或服務帳戶必須具備 Data Catalog Fine-Grained Reader 角色。

如要進一步瞭解所有與政策標記相關的角色，請參閱搭配資料欄層級存取權控管使用的角色。

Data Catalog 政策標記管理員角色

資料目錄政策標記管理員角色可以建立及管理資料政策標記。

如要授予政策代碼管理員角色，您必須具備要授予角色的專案 resourcemanager.projects.setIamPolicy 權限。如果您沒有 resourcemanager.projects.setIamPolicy 權限，請專案擁有者授予您權限，或為您執行下列步驟。

前往 Google Cloud 控制台的「IAM」頁面。
開啟「IAM」頁面
如果清單中列出要授予角色的使用者電子郵件地址，請選取該電子郵件地址，然後按一下「編輯」。「編輯存取權」窗格隨即開啟。按一下「新增其他角色」。

如果清單中沒有使用者電子郵件地址，請按一下「新增」，然後在「New principals」(新的主體) 方塊中輸入電子郵件地址。
按一下「選取角色」下拉式清單。
在「依產品或服務」中，按一下「Data Catalog」。在「角色」中，按一下「政策標記管理員」。
按一下 [儲存]。

BigQuery 資料政策管理員、BigQuery 管理員和 BigQuery 資料擁有者角色

BigQuery 資料政策管理員、BigQuery 管理員和 BigQuery 資料擁有者角色可以管理資料政策。

如要授予這兩個角色，您必須具備要授予角色的專案的 resourcemanager.projects.setIamPolicy 權限。如果您沒有 resourcemanager.projects.setIamPolicy 權限，請要求專案擁有者授予您權限，或為您執行下列步驟。

前往 Google Cloud 控制台的「IAM」頁面。
開啟「IAM」頁面
如果清單中列出要授予角色的使用者電子郵件地址，請選取該電子郵件地址，然後按一下「編輯」。然後按一下「新增其他角色」。

如果清單中沒有使用者電子郵件地址，請按一下「新增」，然後在「New principals」(新的主體) 方塊中輸入電子郵件地址。
按一下「選取角色」下拉式清單。
按一下「BigQuery」，然後按一下「BigQuery 資料政策管理員」、「BigQuery 管理員」或「BigQuery 資料擁有者」。
按一下 [儲存]。

機構檢視者角色

使用者可透過機構檢視者角色，查看機構資源的詳細資料。如要授予這個角色，您必須具備機構的 resourcemanager.organizations.setIamPolicy 權限。

Data Catalog 精細讀取者角色

如要存取受資料欄層級存取權控管機制保護的資料，使用者必須具備 Data Catalog 精細讀取者角色，或是任何獲授 datacatalog.categories.fineGrainedGet 權限的其他角色。設定政策代碼時，系統會將這個角色指派給主體。

如要授予使用者政策標記的精細讀取者角色，您必須具備含有該政策標記分類的專案 datacatalog.taxonomies.setIamPolicy 權限。如果您沒有 datacatalog.taxonomies.setIamPolicy 權限，請要求專案擁有者授予您權限，或是代您執行動作。

如需操作說明，請參閱「設定政策標記的權限」。

設定資料欄層級存取權控管

如要設定資料欄層級存取權控管，請完成下列工作：

建立政策標記分類。
將主體與政策標記建立關聯，並授予主體「Data Catalog 精細讀取者」角色。
將政策標記與 BigQuery 資料表欄建立關聯。
對含有政策標記的分類強制執行存取權控管。

可建立分類

建立分類的使用者或服務帳戶必須獲派 Data Catalog 政策代碼管理員角色。

控制台

在Google Cloud 控制台中開啟「Policy tag taxonomies」(政策標記分類) 頁面。
開啟「政策標記分類」頁面
按一下「建立分類」。
在「New taxonomy」(新增分類) 頁面中：
1. 在「分類名稱」部分，輸入要建立的分類名稱。
2. 在「說明」中輸入說明。
3. 如有需要，請變更「專案」下方列出的專案。
4. 如有需要，請變更「位置」下方列出的位置。
5. 在「政策標記」下方，輸入政策標記名稱和說明。
6. 如要為政策標記新增子項政策標記，請按一下「新增子項標記」。
7. 如要新增與其他政策標記同層級的政策標記，請點選「+ 新增政策標記」。
8. 視需要繼續為分類新增政策標記和子項政策標記。
9. 為階層建立完政策標記後，請按一下「建立」。

API

如要使用現有分類，請呼叫 taxonomies.import ，取代下列程序的前兩個步驟。

呼叫 taxonomies.create 建立分類。
呼叫 taxonomies.policytag.create 建立政策標記。

設定政策標記的權限

建立分類的使用者或服務帳戶必須獲派 Data Catalog 政策代碼管理員角色。

控制台

在Google Cloud 控制台中開啟「Policy tag taxonomies」(政策標記分類) 頁面。
開啟「政策標記分類」頁面
按一下含有相關政策標記的分類名稱。
選取一或多個政策標記。
如果資訊面板已隱藏，請按一下「顯示資訊面板」。
在「資訊面板」中，您可以查看所選政策標記的角色和主體。為建立及管理政策標記的帳戶新增「政策標記管理員」角色。將「精細讀取者」角色新增至要存取受資料欄層級存取控管機制保護資料的帳戶。您也可以使用這個面板從帳戶移除角色，或修改其他權限。
按一下 [儲存]。

API

呼叫 taxonomies.policytag.setIamPolicy 將主體指派給適當的角色，授予政策標記的存取權。

在資料欄上設定政策標記

設定政策標記的使用者或服務帳戶必須具備 datacatalog.taxonomies.get 和 bigquery.tables.setCategory 權限。datacatalog.taxonomies.get 包含在 Data Catalog 政策標記管理員和專案檢視者角色中。bigquery.tables.setCategory 包含在 BigQuery 管理員 (roles/bigquery.admin) 和 BigQuery 資料擁有者 (roles/bigquery.dataOwner) 角色中。

如要在Google Cloud console 中查看機構內所有專案的分類和政策標記，使用者必須具備 resourcemanager.organizations.get 權限，這項權限包含在機構檢視者角色中。

控制台

使用Google Cloud 控制台修改結構定義，設定政策標記。

在 Google Cloud 控制台中開啟 BigQuery 頁面。

前往 BigQuery 頁面
在 BigQuery 探索器中，找出並選取要更新的資料表。系統會開啟該資料表的結構定義。
點選「編輯結構定義」。
在「目前的結構定義」畫面上，選取目標資料欄，然後按一下「新增政策標記」。
在「新增政策標記」畫面中，找出並選取要套用至資料欄的政策標記。
按一下「選取」。畫面應會出現如下所示的內容：
按一下 [儲存]。

bq

將結構定義寫入本機檔案。
```
bq show --schema --format=prettyjson \
   project-id:dataset.table > schema.json
```
其中：
- project-id 是您的專案 ID。
- dataset 是含有您要更新資料表的資料集名稱。
- table 是您要更新之資料表的名稱。

修改 schema.json，為資料欄設定政策標記。如要取得 policyTags 的 names 欄位值，請使用政策標記資源名稱。

[
 ...
 {
   "name": "ssn",
   "type": "STRING",
   "mode": "REQUIRED",
   "policyTags": {
     "names": ["projects/project-id/locations/location/taxonomies/taxonomy-id/policyTags/policytag-id"]
   }
 },
 ...
]

更新結構定義。

bq update \
   project-id:dataset.table schema.json

API

如為現有資料表，請呼叫 tables.patch；如為新資料表，請呼叫 tables.insert。使用您傳入的 Table 物件的 schema 屬性，在結構定義中設定政策標記。請參閱指令列範例結構定義，瞭解如何設定政策標記。

處理現有資料表時，建議使用 tables.patch 方法，因為 tables.update 方法會取代整個資料表資源。

在資料欄上設定政策標記的其他方式

您也可以在下列情況設定政策標記：

使用 bq mk 建立資料表。傳遞要用於建立資料表的結構定義。
使用 bq load 將資料載入資料表。載入資料表時，傳入要使用的結構定義。

如需一般結構定義資訊，請參閱「指定結構定義」。

強制執行存取控管

請按照這些操作說明開啟或關閉存取權控管強制執行功能。

如要強制執行存取權控管，必須建立資料政策。如果您使用Google Cloud 控制台強制執行存取權控管，系統會為您完成這項作業。如要使用 BigQuery Data Policy API 強制執行存取控管，您必須明確建立資料政策。

強制執行存取權控管的主體必須具備 BigQuery 管理員角色或 BigQuery 資料擁有者角色。主體也必須具備 Data Catalog 管理員角色或 Data Catalog 檢視者角色。

如要停止強制執行存取權控管 (如果已啟用)，請點選「強制執行存取權控管」切換控制項。

如果分類中的任何政策標記有相關聯的資料政策，您必須先刪除分類中的所有資料政策，才能停止強制執行存取控制。如果使用 BigQuery Data Policy API 刪除資料政策，則必須刪除所有具有 dataPolicyType 的資料政策。DATA_MASKING_POLICY詳情請參閱「刪除資料政策」。

建立資料政策

如要建立資料政策，請按照下列步驟操作：

控制台

如要強制執行存取權控管，請按照下列步驟操作：

在Google Cloud 控制台中開啟「Policy tag taxonomies」(政策標記分類) 頁面。
開啟「政策標記分類」頁面
按一下要強制執行資料欄層級存取權控管機制的分類。
如果「強制執行存取控管」尚未開啟，請點選「強制執行存取控管」來啟用。

API

使用 create 方法，並傳入 DataPolicy 資源，其中 dataPolicyType 欄位設為 COLUMN_LEVEL_SECURITY_POLICY。