Questo documento mostra come eseguire le seguenti operazioni in Dataform:
- Concedi a Dataform l'accesso richiesto.
- Controllare l'accesso a Dataform con IAM.
- Controlla l'accesso alle singole tabelle con IAM.
Prima di iniziare
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles. - Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
Verify that billing is enabled for your Google Cloud project.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM
role (roles/serviceusage.serviceUsageAdmin), which
contains the serviceusage.services.enable permission. Learn how to grant
roles.
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
Verify that billing is enabled for your Google Cloud project.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM
role (roles/serviceusage.serviceUsageAdmin), which
contains the serviceusage.services.enable permission. Learn how to grant
roles.
Concedere a Dataform l'accesso richiesto
Questa sezione mostra come concedere i ruoli Identity and Access Management (IAM) che gli agenti di servizio Dataform e i service account personalizzati richiedono per eseguire i workflow in BigQuery.
Informazioni sugli agenti di servizio Dataform e sui service account personalizzati
Puoi configurare service account personalizzati per eseguire i workflow per tuo conto nei seguenti modi:
- A livello di repository, per eseguire tutti i flussi di lavoro in un determinato repository.
- Singolarmente per ogni configurazione del workflow.
Quando crei un repository Dataform o una configurazione del workflow, puoi selezionare qualsiasi account di servizio per cui disponi delle autorizzazioni act-as. Devi configurare le autorizzazioni act-as richieste per tutti i service account associati alle risorse Dataform.
Quando crei il tuo primo repository Dataform, Dataform genera automaticamente un service agent. Dataform utilizza l'agente di servizio per interagire con BigQuery per tuo conto.
L'ID service agent Dataform ha il seguente formato:
service-PROJECT_NUMBER@gcp-sa-dataform.iam.gserviceaccount.com
Sostituisci PROJECT_NUMBER con l'ID numerico del tuo progettoGoogle Cloud . Puoi trovare l'ID progetto Google Cloud nella dashboard della consoleGoogle Cloud . Per saperne di più, consulta Trovare il nome, il numero e l'ID del progetto.
Ruoli richiesti per gli agenti di servizio Dataform, i service account personalizzati e gli Account Google
Gli agenti di servizio Dataform, i service account personalizzati e le credenziali utente per un Account Google (anteprima) utilizzati per l'autenticazione in Dataform richiedono i seguenti ruoli IAM BigQuery per poter eseguire i flussi di lavoro in BigQuery:
- Editor dati BigQuery
(
roles/bigquery.dataEditor) sui progetti a cui Dataform deve accedere in lettura e scrittura. In genere, questi includono il progetto che ospita il repository Dataform. - Visualizzatore dati BigQuery
(
roles/bigquery.dataViewer) sui progetti a cui Dataform deve accedere in sola lettura. - BigQuery Job User
(
roles/bigquery.jobUser) nel progetto che ospita il repository Dataform. - BigQuery Data Owner
(
roles/bigquery.dataOwner) se vuoi eseguire query sui set di dati BigQuery. - Ruoli BigQuery per il controllo dell'accesso a livello di colonna se vuoi utilizzare i tag di criteri BigQuery.
Inoltre, concedi i seguenti ruoli all'agente di servizio Dataform nell'account di servizio effettivo per la configurazione del flusso di lavoro. Questi ruoli sono necessari per il funzionamento della modalità di emulazione rigorosa.
- Service Account User
(
roles/iam.serviceAccountUser) - Creatore token service account
(
roles/iam.serviceAccountTokenCreator)
Per le release automatiche dei repository e le esecuzioni automatiche dei workflow, concedi all'agente di servizio Dataform l'autorizzazione
iam.serviceAccounts.actAs sull'account di servizio effettivo.
Considerazioni sulla sicurezza
La concessione dei ruoli richiesti da Dataform a un agente di servizio Dataform, a un account di servizio personalizzato o a un Account Google di un utente (anteprima) comporta le seguenti considerazioni sulla sicurezza:
Qualsiasi account di servizio personalizzato a cui sono stati concessi i ruoli richiesti potrebbe ottenere l'accesso a BigQuery o Secret Manager nel progetto a cui appartiene il account di servizio, indipendentemente dai Controlli di servizio VPC. Quando Dataform utilizza un account di servizio personalizzato per eseguire i workflow, le richieste Dataform vengono trattate come se provenissero dall'interno del perimetro dei Controlli di servizio VPC del progetto che contiene il repository. Di conseguenza, Controlli di servizio VPC non blocca la comunicazione tra Dataform e altri servizi, come BigQuery o Secret Manager, se queste risorse si trovano all'interno dello stesso perimetro di servizio.
Per saperne di più su come gestire questi confini di sicurezza, consulta Configura i Controlli di servizio VPC.
Qualsiasi utente con l'autorizzazione IAM
dataform.repositories.createpuò eseguire codice utilizzando il service agent Dataform e tutte le autorizzazioni concesse a questo service agent o service account.Per saperne di più, consulta Considerazioni sulla sicurezza per le autorizzazioni Dataform.
Per mantenere un modello di autorizzazioni sicuro, controlla regolarmente i binding dei ruoli dell'agente di servizio Dataform. Per istruzioni dettagliate sul monitoraggio, vedi Monitorare le autorizzazioni dell'agente di servizio con Security Command Center.
Per limitare i dati che un utente, un service agent o un account di servizio possono leggere o scrivere in BigQuery, puoi concedere autorizzazioni IAM BigQuery granulari a tabelle o set di dati BigQuery selezionati. Per saperne di più, consulta Controllare l'accesso ai set di dati e Controllare l'accesso a tabelle e viste.
Per impedire agli utenti di eseguire azioni utilizzando le credenziali utente per l'Account Google di un altro utente, vengono applicate le seguenti limitazioni:
- Per modificare una configurazione del flusso di lavoro con le credenziali utente di un altro Account Google collegato, devi collegare le credenziali utente del tuo Account Google alla configurazione del flusso di lavoro o modificare la configurazione del flusso di lavoro per l'autenticazione con unaccount di serviziot personalizzato.
- Non puoi modificare il risultato di una compilazione per una configurazione di rilascio se esistono configurazioni del flusso di lavoro che fanno riferimento alla configurazione di rilascio a cui sono associate le credenziali di un altro utente con Account Google.
Non puoi impostare una configurazione del workflow per l'autenticazione con le credenziali utente dell'Account Google e fare riferimento a una configurazione di rilascio con una pianificazione. Questa limitazione ha le seguenti conseguenze:
- Non puoi aggiornare una configurazione di rilascio per utilizzare una pianificazione se esistono configurazioni del flusso di lavoro che fanno riferimento alla configurazione di rilascio impostate per l'autenticazione con le credenziali utente dell'Account Google.
- Non puoi creare una configurazione del flusso di lavoro che esegue l'autenticazione con le credenziali utente dell'Account Google e punta a una configurazione di rilascio con una pianificazione.
- Non puoi creare o aggiornare una configurazione del flusso di lavoro per utilizzare le credenziali utente dell'Account Google e indirizzare a una configurazione di rilascio con una pianificazione.
Concedere i ruoli BigQuery richiesti
Per concedere i ruoli IAM BigQuery richiesti al tuo agente di servizio Dataform, a un account di servizio personalizzato che vuoi utilizzare in Dataform o a un Account Google di un utente che vuoi utilizzare per l'autenticazione in Dataform (Anteprima), segui questi passaggi:
Nella console Google Cloud , vai alla pagina Dataform.
Seleziona o crea un repository.
Nella console Google Cloud vai alla pagina IAM.
Fai clic su Concedi l'accesso.
Nel campo Nuove entità, inserisci l'ID agente di servizio, l'ID service account o l'email dell'account Google dell'utente (anteprima).
Nell'elenco Seleziona un ruolo, seleziona il ruolo Utente job BigQuery.
Fai clic su Aggiungi un altro ruolo e poi seleziona il ruolo Editor dati BigQuery nell'elenco Seleziona un ruolo.
Fai clic su Aggiungi un altro ruolo e poi, nell'elenco Seleziona un ruolo, seleziona il ruolo Visualizzatore dati BigQuery.
Fai clic su Salva.
Concedere i ruoli richiesti per i workflow automatici
Per utilizzare un account di servizio personalizzato in Dataform, l'agente di servizio Dataform deve essere in grado di accedere al service account personalizzato. In questo modo Dataform può eseguire i workflow utilizzando le autorizzazioni definite nel account di servizio personalizzato anziché nell'account del service agent.
Per concedere questo accesso, devi concedere il
ruolo Creatore token service account
(roles/iam.serviceAccountTokenCreator) all'agente di servizio
Dataform come entità. In questo modo, l'agente di servizio Dataform può impersonare il account di servizio creando credenziali di breve durata note come token. Questi token sono necessari a Dataform per eseguire
i workflow utilizzando l'identità delaccount di serviziot personalizzato.
Devi anche concedere il
ruolo Utente service account
(roles/iam.serviceAccountUser) al service agent Dataform. In questo modo, l'agente di servizio Dataform può avviare nuove esecuzioni automatiche del workflow per le configurazioni del workflow eseguite dal account di servizio personalizzato.
Per concedere all'agente di servizio Dataform l'accesso a un account di serviziot personalizzato, segui questi passaggi:
Nella console Google Cloud , vai a IAM > Service account.
Seleziona il progetto Google Cloud in cui si trova il tuo account di servizio personalizzato.
Nella pagina Service account per il progetto "PROJECT_NAME", seleziona il tuo account di servizio personalizzato.
Vai a Entità con accesso e poi fai clic su Concedi accesso.
Nel campo Nuove entità, inserisci l'ID del service agent Dataform.
L'ID service agent Dataform ha il seguente formato:
service-PROJECT_NUMBER@gcp-sa-dataform.iam.gserviceaccount.comNell'elenco Seleziona un ruolo, seleziona il ruolo Creatore token service account e il ruolo Utente service account.
Fai clic su Salva.
Il account di servizio personalizzato è ora pronto per essere configurato nel tuo repository Dataform.
Controllare le configurazioni dei account di servizio
Questa sezione mostra come controllare le risorse Dataform per garantire l'utilizzo corretto deiaccount di serviziot e la concessione delle autorizzazioni. Il controllo è particolarmente importante quando si utilizzano service account personalizzati, in quanto richiedono autorizzazioni specifiche per il funzionamento dell'agente di servizio Dataform.
Quando utilizzi un account di servizio personalizzato per un repository o una configurazione del flusso di lavoro Dataform, devi verificare che l'agente di servizio Dataform disponga del ruolo Utente service account (roles/iam.serviceAccountUser) per il account di servizio personalizzato. Questo ruolo
concede l'autorizzazione iam.serviceAccounts.actAs, che consente alle esecuzioni pianificate,
avviate dal service agent Dataform, di simulare
account di serviziount personalizzato. Inoltre, verifica che
l'agente di servizio Dataform disponga del
ruolo Creatore token service account
(roles/iam.serviceAccountTokenCreator)
nell'account di servizio effettivo.
Verificare gli account di servizio del repository
Innanzitutto, identifica gli asset dataform.Repository inclusi nell'ambito della pianificazione e dell'esecuzione di Dataform. Poi, verifica le configurazioni
dell'account di servizio per i repository inclusi nell'ambito.
Utilizza Cloud Asset Inventory per elencare tutte le risorse di tipo
dataform.Repository. Per ulteriori informazioni, consulta Visualizzare gli asset.Per ogni repository nell'output di Cloud Asset Inventory, controlla il campo
resource.data.labelsper determinare se è incluso nell'ambito. Il percorso esatto potrebbe variare leggermente in base al formato di esportazione.Identifica i repository fuori ambito esaminando la mappa delle etichette per la chiave
single-file-asset-type. La presenza di questa chiave indica che il repository viene utilizzato da una funzionalità BigQuery. Se il valore èsqlodata_canvas, il repository può essere escluso dai controlli delle autorizzazioni dell'account di servizio.I repository rimanenti privi di questa chiave o di questi valori rientrano nell'ambito dei controlli delle autorizzazioni delaccount di serviziot.
Per ogni repository incluso nell'ambito, controlla il campo
resource.data.serviceAccountnell'output di Cloud Asset Inventory per determinare se è configurato un account di servizio personalizzato:- Se il campo
resource.data.serviceAccountè presente e il suo valore è diverso dall'indirizzo email dell'agente di servizio Dataform del progetto, il repository utilizza unaccount di serviziot personalizzato. Se il campo
resource.data.serviceAccountè assente o se il valore del campo corrisponde al service agent Dataform del progetto, il repository utilizza il service agent.
- Se il campo
Se viene utilizzato un service account personalizzato, verifica che l'agente di servizio Dataform disponga sia del ruolo Utente account di servizio (
roles/iam.serviceAccountUser) sia del ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator) per quel service account personalizzato.
Verificare i service account di configurazione del workflow
L'utilizzo di service account personalizzati dedicati per le configurazioni del flusso di lavoro Dataform è una best practice di sicurezza, in linea con il principio del privilegio minimo.
Per verificare l'utilizzo del account di servizio per dataform.WorkflowConfig resources, segui questi passaggi:
Utilizza Cloud Asset Inventory per elencare tutte le risorse di tipo
dataform.WorkflowConfig.Per ogni configurazione del flusso di lavoro, esamina l'output di Cloud Asset Inventory per determinare il account di servizio effettivo:
- Se è presente il campo
resource.data.serviceAccount, questo valore è l'indirizzo email delaccount di serviziot impostato esplicitamente nella configurazione del flusso di lavoro. - Se il campo
resource.data.serviceAccountnon è presente, la configurazione del workflow eredita il account di servizio dal repository padre. Controlla la configurazione del repository principale per trovare l'account di servizio effettivo.
- Se è presente il campo
Identifica se viene utilizzato un account di servizio personalizzato confrontando l'indirizzo email del account di servizio effettivo con l'indirizzo email dell'agente di servizio Dataform del progetto. Se sono diversi, viene utilizzato un account di servizio personalizzato.
Se è in uso un account di servizio personalizzato, assicurati che all'agente di servizio Dataform siano stati concessi sia il ruolo Service Account User (
roles/iam.serviceAccountUser) sia il ruolo Service Account Token Creator (roles/iam.serviceAccountTokenCreator) per questo service account personalizzato. Queste autorizzazioni consentono all'agente di servizio Dataform di avviare le esecuzioni del flusso di lavoro impersonando ilaccount di serviziot personalizzato.
Monitora le autorizzazioni dell'agente di servizio con Security Command Center
Per garantire il rispetto continuo del principio del privilegio minimo, monitora attivamente il tuo progetto in Security Command Center per i risultati relativi ad agenti di servizio e service account con privilegi eccessivi.
Per istruzioni su come esaminare e applicare i risultati della correzione in Security Command Center, consulta Risultati di IAM Recommender e Esaminare i risultati relativi all'identità nella console.
Quando correggi un risultato SERVICE_AGENT_GRANTED_BASIC_ROLE per un service agent Dataform, sostituisci il ruolo eccessivamente permissivo con un ruolo predefinito che disponga delle autorizzazioni minime richieste, limitate alla risorsa specifica. Ad esempio, concedi il ruolo Utente account di servizio (roles/iam.serviceAccountUser) su un service account specifico.
Controlla l'accesso a Dataform con IAM
Questa sezione descrive le opzioni di controllo dell'accesso per Dataform e mostra come visualizzare e concedere i ruoli Dataform. Dataform utilizza Identity and Access Management (IAM) per controllo dell'accesso. Per saperne di più su ruoli e autorizzazioni in IAM, consulta Indice di ruoli e autorizzazioni IAM.
Ruoli Dataform predefiniti
La tabella seguente elenca i ruoli predefiniti che ti danno accesso alle risorse Dataform:
| Role | Permissions |
|---|---|
Dataform Admin( Full access to all Dataform resources. |
|
Dataform Editor( Edit access to Workspaces and Read-only access to Repositories. |
|
Dataform Viewer( Read-only access to all Dataform resources. |
|
Code Commenter Beta( Permissions to comment, at the repository level. Grants CRUD access over commentThread and comment resources. |
|
Code Creator( Access only to private and shared code resources. The permissions in the Code Creator let you create and list code in Dataform, and access only the code that you created and code that was explicitly shared with you. |
|
Code Editor( Edit access code resources. |
|
Code Owner( Full access to code resources. |
|
Code Scheduler Beta( Access for scheduling workflows and releases. |
|
Code Viewer( Read-only access to all code resources. |
|
Team Folder Commenter Beta( View and comment access to a team folder and its contents. |
|
Team Folder Contributor( Edit access to a team folder and its contents. |
|
Team Folder Creator( Access to create new team folders. |
|
Team Folder Owner( Full access to a team folder and its contents. Can share the team folder and its contents. |
|
Team Folder Viewer( View access to a team folder and its contents. |
|
Service agent roles
Service agent roles should only be granted to service agents.
| Role | Permissions |
|---|---|
Dataform Service Agent( Gives permission for the Dataform API to access a secret from Secret Manager |
|
Ruoli personalizzati di Dataform
I ruoli personalizzati possono includere qualsiasi autorizzazione specificata. Puoi creare ruoli personalizzati che includono autorizzazioni per eseguire operazioni amministrative specifiche, come la creazione di workspace di sviluppo o la creazione di file e directory all'interno di un workspace di sviluppo. Per creare ruoli personalizzati, vedi Creazione e gestione di ruoli personalizzati.
Considerazioni sulla sicurezza per le autorizzazioni Dataform
Qualsiasi utente con l'autorizzazione dataform.repositories.create può eseguire codice in
BigQuery utilizzando un account di servizio personalizzato e tutte le autorizzazioni
concesse a questo account di servizio. Ciò include l'esecuzione dei
flussi di lavoro Dataform.
Poiché la modalità act-as rigorosa viene applicata a tutti i repository, l'autorizzazione
dataform.repositories.create richiede implicitamente che l'utente
disponga delle autorizzazioni act-as per il account di servizio personalizzato per l'esecuzione dei workflow successivi. In questo modo, solo gli utenti con
diritti di rappresentazione espliciti possono eseguire codice utilizzando l'identità del service
account.
L'autorizzazione dataform.repositories.create è inclusa nei seguenti
ruoli IAM:
- BigQuery Admin (
roles/bigquery.admin) - BigQuery Job User (
roles/bigquery.jobUser) - Utente BigQuery Studio (
roles/bigquery.studioUser) - Utente BigQuery (
roles/bigquery.user) - Code Creator (
roles/dataform.codeCreator) - Editor di codice (
roles/dataform.codeEditor) - Proprietario del codice (
roles/dataform.codeOwner) - Colab Enterprise User (
roles/aiplatform.colabEnterpriseUser) - Dataform Admin (
roles/dataform.admin)
Per limitare i dati che un utente o un account di servizio può leggere o scrivere in BigQuery, puoi concedere autorizzazioni IAM BigQuery granulari a tabelle o set di dati BigQuery selezionati. Per saperne di più, consulta Controllare l'accesso ai set di dati e Controllare l'accesso a tabelle e viste.
Per ulteriori informazioni sui service account personalizzati e sui ruoli e sulle autorizzazioni che richiedono, consulta Concedere l'accesso richiesto a Dataform.
Accesso ai secret durante l'installazione del pacchetto
Se configuri pacchetti NPM privati utilizzando i secret di Secret Manager, questi secret possono essere potenzialmente accessibili agli utenti che dispongono delle autorizzazioni per modificare il codice o attivare la compilazione del codice da un commit Git specifico nel repository.
Durante l'installazione del pacchetto, attivata quando si installano manualmente i pacchetti
in un workspace o quando si compila il codice da un commit Git specifico, il
client NPM legge le credenziali dal file .npmrc e trasmette il
token di autenticazione al registro NPM configurato. Un utente con le autorizzazioni
per modificare il file .npmrc nel proprio spazio di lavoro può configurare le impostazioni per accedere
ai secret reindirizzando le richieste del registro a un server esterno.
Questa installazione e la potenziale esposizione del token possono verificarsi nei seguenti scenari:
Installazione del pacchetto Workspace: attivata manualmente all'interno di un workspace. Per questa operazione sono necessarie le autorizzazioni di modifica dello spazio di lavoro, che si trovano nei ruoli Editor Dataform (
roles/dataform.editor) o Editor di codice Dataform (roles/dataform.codeEditor).Compilazione di un commitish Git: attivata automaticamente quando viene creato un risultato di compilazione per un riferimento Git (ad esempio un ramo o un tag) nel repository. Questo scenario richiede l'autorizzazione
dataform.compilationResults.create.
Per proteggere le tue credenziali, ti consigliamo di procedere come segue:
Concedi ruoli con autorizzazioni di modifica del repository (ad esempio Editor di codice Dataform) o autorizzazioni di compilazione (ad esempio Visualizzatore di codice Dataform) solo a utenti attendibili.
Limita i repository Git remoti a cui Dataform può connettersi utilizzando le policy dell'organizzazione. Per saperne di più, consulta Limitare i repository remoti.
Limita l'accesso di Secret Manager del service agent Dataform solo ai secret necessari.
Visualizzare i ruoli Dataform
All'interno della console Google Cloud , segui questi passaggi:
Vai alla pagina IAM e amministrazione > Ruoli.
Nel campo Filtro, seleziona Utilizzato in, digita
Dataforme premi Invio.Fai clic su uno dei ruoli elencati per visualizzarne le autorizzazioni nel riquadro a destra.
Ad esempio, il ruolo Amministratore Dataform ha accesso completo a tutte le risorse Dataform.
Per saperne di più sulla concessione di un ruolo in un progetto, consulta Concedi un ruolo. In questo modo, puoi concedere ruoli predefiniti o personalizzati.
Controllare l'accesso a un singolo repository
Per controllare l'accesso a Dataform con autorizzazioni granulari,
puoi impostare i ruoli IAM Dataform su singoli
repository utilizzando la richiesta
repositories.setIamPolicy
dell'API Dataform.
Per impostare i ruoli IAM Dataform su un singolo repository Dataform:
Nel terminale, trasmetti la richiesta dell'API Dataform
repositories.setIamPolicycon un criterio di accesso.Nel criterio, associa un utente, un gruppo, un dominio, un service agent o un service account a un ruolo selezionato nel seguente formato:
{ "policy": { "bindings": [ { "role": "roles/ROLE", "members": [ "TYPE:IDENTIFIER", ] }, ], } }Sostituisci quanto segue:
ROLE: il ruolo IAM Dataform che vuoi concedere per il repository.TYPE:user,group,domainoserviceAccount.IDENTIFIER: l'utente, il gruppo, il dominio o il service account a cui vuoi concedere il ruolo.
Nella pagina IAM, assicurati che tutti gli utenti possano visualizzare l'elenco completo dei repository Dataform tramite un ruolo Dataform con l'autorizzazione
dataform.repositories.list.In IAM, assicurati che solo gli utenti che richiedono l'accesso completo a tutti i repository Dataform dispongano del ruolo Dataform Admin in tutti i repository.
Il seguente comando trasmette la richiesta dell'API Dataform repositories.setIamPolicy che concede il ruolo Editor Dataform nel repository sales a un singolo utente:
curl -H "Content-Type: application/json" -X POST -d '{ "policy": { "bindings": [{ "role": "roles/dataform.editor", "members": ["user:sasha@examplepetstore.com"]}] }}' "https://dataform.googleapis.com/v1/projects/examplepetstore/locations/us-central1/repositories/sales:setIamPolicy"
Concedere l'accesso pubblico a un repository
Puoi concedere l'accesso pubblico a un repository Dataform concedendo
ruoli IAM sul repository all'entità allAuthenticatedUsers.
Quando assegni un ruolo IAM all'entità allAuthenticatedUsers, a tutti gli utenti su internet che hanno eseguito l'autenticazione con un Account Google vengono concessi il ruolo e i service account. Sono inclusi gli account non collegati a un account Google Workspace o a un dominio Cloud Identity, come gli account Gmail personali. Gli utenti
non autenticati, come i visitatori anonimi, non sono inclusi. Per saperne di più, consulta Tutti gli utenti autenticati.
Ad esempio, quando concedi il ruolo Visualizzatore Dataform a
allAuthenticatedUsers nel repository sales, tutti
gli account di servizio e gli utenti su internet che si sono autenticati con un
Account Google hanno accesso in sola lettura a tutte le risorse di codice sales.
Per concedere l'accesso pubblico a un repository Dataform:
Nel terminale, trasmetti la richiesta dell'API Dataform
repositories.setIamPolicycon un criterio di accesso.Nella policy, associa l'entità
allAuthenticatedUsersa un ruolo selezionato nel seguente formato:{ "policy": { "bindings": [ { "role": "roles/ROLE", "members": [ "allAuthenticatedUsers", ] }, ], } }Sostituisci
ROLEcon un ruolo IAM Dataform che vuoi concedere a tutti gli utenti autenticati.
Il seguente comando trasmette la richiesta dell'API Dataform repositories.setIamPolicy che concede il ruolo Visualizzatore Dataform nel repository sales a allAuthenticatedUsers:
curl -H "Content-Type: application/json" -X POST -d '{ "policy": { "bindings": [{ "role": "roles/dataform.viewer", "members": ["allAuthenticatedUsers"]}] }}' "https://dataform.googleapis.com/v1/projects/examplepetstore/locations/us-central1/repositories/sales:setIamPolicy"
Impedire l'accesso pubblico ai repository
Per assicurarti che non venga concesso l'accesso al pubblico a nessun repository Dataform, puoi limitare l'entità allAuthenticatedUsers nel tuo progetto.
Per limitare allAuthenticatedUsers nel tuo progetto, puoi
impostare il criterio iam.allowedPolicyMemberDomains
e rimuovere allAuthenticatedUsers dall'elenco di allowed_values.
Quando limiti allAuthenticatedUsers nelle norme iam.allowedPolicyMemberDomains, il principal allAuthenticatedUsers non può essere utilizzato in nessuna norma IAM del tuo progetto, il che impedisce la concessione dell'accesso pubblico a tutte le risorse, inclusi i repository Dataform.
Per ulteriori informazioni sulla norma iam.allowedPolicyMemberDomains
e istruzioni per impostarla, vedi
Limitazione delle identità per dominio.
Federazione delle identità per la forza lavoro in Dataform
La federazione delle identità per la forza lavoro ti consente di utilizzare un provider di identità (IdP) esterno per autenticare e autorizzare gli utenti ad accedere ai servizi Google Cloud con IAM.
Dataform supporta la federazione delle identità per la forza lavoro senza limitazioni note.
Controllare l'accesso a singole tabelle con IAM
Questa sezione mostra come concedere e revocare i ruoli IAM BigQuery per singole tabelle e viste Dataform.
Quando Dataform esegue una tabella o una vista, crea la risorsa in BigQuery. Durante lo sviluppo in Dataform, puoi concedere ruoli BigQuery a singole tabelle e viste per controllare il loro accesso in BigQuery dopo l'esecuzione.
Per saperne di più su come concedere e revocare l'accesso alle risorse, vedi Concedere l'accesso a una risorsa.
Concedere ruoli BigQuery a una tabella o una vista
Puoi concedere ruoli BigQuery a una tabella o una vista in
Dataform aggiungendo un blocco post_operations con l'istruzione
GRANT DCL
al file di definizione .sqlx della tabella o della vista selezionata.
Per concedere ruoli BigQuery a una tabella o una vista selezionata:
Nella console Google Cloud , vai alla pagina Dataform.
Seleziona un repository, poi un workspace.
Nel riquadro File, espandi la directory
definitions/.Seleziona il file di definizione
.sqlxdella tabella o della vista a cui vuoi concedere l'accesso.Nel file, inserisci il seguente snippet di codice:
post_operations { GRANT "ROLE_LIST" ON "RESOURCE_TYPE" ${self()} TO "USER_LIST" }Sostituisci quanto segue:
ROLE_LIST: il ruolo BigQuery o l'elenco di ruoli BigQuery separati da virgole che vuoi concedere.
RESOURCE_TYPE:
TABLEoVIEW.USER_LIST: l'elenco separato da virgole degli utenti a cui è concesso il ruolo.
Per un elenco dei formati validi, vedi user_list.
(Facoltativo) Fai clic su Formato.
Esegui la tabella o la visualizzazione.
Se hai concesso l'accesso a una tabella incrementale, rimuovi l'istruzione
GRANTdal file di definizione della tabella dopo la prima esecuzione.
Il seguente esempio di codice mostra il ruolo Visualizzatore BigQuery concesso a un utente su una tabella:
config { type: "table" }
SELECT ...
post_operations {
GRANT `roles/bigquery.dataViewer`
ON TABLE ${self()}
TO "user:222larabrown@gmail.com"
}
Revocare i ruoli BigQuery da una tabella o una vista
Puoi revocare i ruoli BigQuery da una tabella o una vista aggiungendo un blocco
post_operations con l'istruzione
REVOKE DCL
al file di definizione .sqlx della tabella o della vista selezionata.
Per revocare i ruoli BigQuery da una tabella o una vista selezionata:
Nella console Google Cloud , vai alla pagina Dataform.
Seleziona un repository, poi un workspace.
Nel riquadro File, espandi la directory
definitions/.Seleziona il file di definizione
.sqlxdella tabella o della vista a cui vuoi revocare l'accesso.Nel blocco
post_operations, inserisci la seguente istruzioneREVOKE:REVOKE "ROLE_LIST" ON "RESOURCE_TYPE" ${self()} FROM "USER_LIST"Sostituisci quanto segue:
- ROLE_LIST: il ruolo BigQuery o l'elenco di ruoli BigQuery separati da virgole che vuoi revocare.
- RESOURCE_TYPE:
TABLEoVIEW. - USER_LIST: l'elenco separato da virgole degli utenti a cui viene revocato il ruolo. Per un elenco dei formati validi, vedi user_list.
Per revocare l'accesso concesso in un'istruzione
GRANTnel file, sostituisci l'istruzioneGRANTcon un'istruzioneREVOKE.(Facoltativo) Fai clic su Formato.
Esegui la tabella o la visualizzazione.
Se hai revocato l'accesso a una tabella incrementale, rimuovi l'istruzione
REVOKEdal file di definizione della tabella dopo la prima esecuzione.
Il seguente esempio di codice mostra il ruolo Visualizzatore BigQuery revocato a un utente in una tabella:
config { type: "table" }
SELECT ...
post_operations {
REVOKE `roles/bigquery.dataViewer`
ON TABLE ${self()}
FROM "user:222larabrown@gmail.com"
}
Gestire collettivamente i ruoli BigQuery per tabelle e viste
Per controllare l'accesso di BigQuery a singole tabelle e viste in un'unica posizione, puoi creare un file type: "operations" dedicato con istruzioni DCL GRANT e REVOKE.
Per gestire l'accesso alla tabella BigQuery in un unico file type: "operations":
Nella console Google Cloud , vai alla pagina Dataform.
Seleziona un repository, poi un workspace.
Nel riquadro File, accanto a
definitions/, fai clic sul menu
Altro.Fai clic su Crea file.
Nel campo Aggiungi un percorso del file, inserisci il nome del file seguito da
.sqlxdopodefinitions/. Ad esempio:definitions/table-access.sqlx.I nomi dei file possono includere solo numeri, lettere, trattini e trattini bassi.
Fai clic su Crea file.
Nel riquadro File, espandi la directory
definitions/e seleziona il file appena creato.Nel file, inserisci il seguente snippet di codice:
config { type: "operations" } GRANT "ROLE_LIST" ON RESOURCE_TYPE RESOURCE_NAME TO "USER_LIST" REVOKE "ROLE_LIST" ON { "<var>" }}RESOURCE_TYPE RESOURCE_NAME TO "USER_LIST"Sostituisci quanto segue:
- ROLE_LIST: il ruolo BigQuery o l'elenco di ruoli BigQuery separati da virgole che vuoi concedere o revocare.
- RESOURCE_TYPE:
TABLEoVIEW. - RESOURCE_NAME: il nome della tabella o della vista.
- USER_LIST: l'elenco separato da virgole degli utenti a cui il ruolo viene concesso o revocato. Per un elenco dei formati validi, vedi user_list.
Aggiungi le istruzioni
GRANTeREVOKEin base alle esigenze.Per revocare l'accesso concesso in un'istruzione
GRANTnel file, sostituisci l'istruzioneGRANTcon un'istruzioneREVOKE.La rimozione dell'istruzione
GRANTsenza aggiungere l'istruzioneREVOKEnon revoca l'accesso.
(Facoltativo) Fai clic su Formato.
Esegui il file dopo ogni aggiornamento.
- Se hai concesso o revocato l'accesso a una tabella incrementale, rimuovi l'istruzione
GRANToREVOKEdal file dopo la prima esecuzione dell'istruzione.
- Se hai concesso o revocato l'accesso a una tabella incrementale, rimuovi l'istruzione
Utilizzare l'API Config per personalizzare il comportamento di IAM
Puoi utilizzare il
metodo dell'API Dataform projects.locations.updateConfig
per personalizzare il comportamento di IAM e migliorare la sicurezza.
Concedere un ruolo specifico al momento della creazione della risorsa
Quando imposti il campo setAuthenticatedUserAdmin su true nella
risorsa projects.locations.repositories,
Dataform concede automaticamente all'utente che crea il
repository il
ruolo Dataform Admin
(roles/dataform.admin) per quel repository. Inoltre,
Dataform concede a qualsiasi utente che crea un workspace in questo
repository il ruolo Dataform Admin nel nuovo workspace.
Puoi utilizzare il campo creator_role
(anteprima)
nel
metodo projects.locations.updateConfig
per eseguire l'override di questo comportamento. Se setAuthenticatedUserAdmin è true e configuri il campo creator_role con un ruolo personalizzato, Dataform concede il ruolo personalizzato anziché il ruolo dataform.admin predefinito.
Implementare autorizzazioni di pianificazione avanzate
Per richiedere agli utenti autorizzazioni esplicite per pianificare i flussi di lavoro Dataform, imposta il campo enable_project_checks_for_scheduling su true nel metodo projects.locations.updateConfig.
Quando attivi questi controlli per la pianificazione, l'utente deve disporre delle seguenti autorizzazioni:
Per creare una configurazione del workflow:
- L'autorizzazione
dataform.workflowConfigs.createsul progetto, concessa dal ruolo Code Scheduler (roles/dataform.codeScheduler). - L'autorizzazione
dataform.repositories.scheduleWorkflowsul repository, concessa dal ruolo Dataform Admin (roles/dataform.admin).
- L'autorizzazione
Per creare una configurazione della release:
- L'autorizzazione
dataform.releaseConfigs.createsul progetto, concessa dal ruolo Code Scheduler (roles/dataform.codeScheduler). - L'autorizzazione
dataform.repositories.scheduleReleasesul repository, concessa dal ruolo Dataform Admin (roles/dataform.admin).
- L'autorizzazione
Abilitare gli spazi di lavoro privati
Per limitare l'accesso al workspace Dataform in modo che solo il creatore del workspace possa leggere e scrivere codice in quel workspace, imposta il campo enable_private_workspace su true nel metodo projects.locations.updateConfig.
Questa limitazione si applica anche alla visualizzazione degli artefatti generati, come SQL compilato, errori di compilazione e log di esecuzione per le compilazioni o le invocazioni del workflow del workspace.
Questa impostazione sostituisce i ruoli IAM standard che concedono l'accesso allo spazio di lavoro ad altri utenti del repository.
Passaggi successivi
- Per saperne di più su IAM, consulta la panoramica di IAM.
- Per saperne di più sulla gestione dell'accesso alle risorse, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
- Per scoprire di più sui concetti chiave della federazione delle identità per la forza lavoro, consulta la pagina Federazione delle identità per la forza lavoro.
- Per saperne di più sui ruoli e sulle autorizzazioni IAM di BigQuery, consulta Controllo dell'accesso con IAM.
- Per saperne di più sulla concessione di autorizzazioni granulari ai set di dati BigQuery, consulta la pagina Controllo dell'accesso ai set di dati.