- BigQuery 教程
- BigQuery - 首页
- BigQuery - 概述
- BigQuery - 初始设置
- BigQuery 与本地 SQL 引擎
- BigQuery - Google Cloud Console
- BigQuery - Google Cloud 层级结构
- 什么是 Dremel?
- 什么是 BigQuery Studio?
- BigQuery - 数据集
- BigQuery - 表格
- BigQuery - 视图
- BigQuery - 创建表格
- BigQuery - 基本 Schema 设计
- BigQuery - 修改表格
- BigQuery - 复制表格
- 删除和恢复表格
- BigQuery - 填充表格
- 标准 SQL 与传统 SQL
- BigQuery - 编写第一个查询
- BigQuery - CRUD 操作
- 分区和聚类
- BigQuery - 数据类型
- BigQuery - 复杂数据类型
- BigQuery - STRUCT 数据类型
- BigQuery - ARRAY 数据类型
- BigQuery - JSON 数据类型
- BigQuery - 表格元数据
- BigQuery - 用户自定义函数
- 连接到外部数据源
- 集成计划任务查询
- 集成 BigQuery API
- BigQuery - 集成 Airflow
- 集成连接表格
- 集成数据传输
- BigQuery - 物化视图
- BigQuery - 角色与权限
- BigQuery - 查询优化
- BigQuery - BI 引擎
- 监控使用情况和性能
- BigQuery - 数据仓库
- 挑战与最佳实践
- BigQuery 资源
- BigQuery - 快速指南
- BigQuery - 资源
- BigQuery - 讨论
BigQuery - 角色与权限
在 BigQuery Studio UI 中运行查询非常简单。由于开发人员已登录其 Google Cloud Platform 帐户,因此**无需进行身份验证**。但是,在后台,某些**限制**和防护措施确保开发人员只能在项目中执行某些操作。
身份访问和管理 (IAM) 角色
这些限制或指定被称为**角色和权限**。在 GCP 中,这些被称为**身份访问和管理**(IAM) 角色。
总的来说,这些角色分为 3 个层级 -
- BigQuery 管理员
- BigQuery 数据编辑器
- BigQuery 用户
1. BigQuery 管理员
BigQuery 管理员可以在项目中执行任何操作,例如创建或删除表格以及启动和停止作业的运行 - 即使是由其他用户发起的作业。
2. BigQuery 数据编辑器
BigQuery 数据编辑器的权限略少。虽然他们可以读取、更新和删除表格或视图,但他们缺乏项目级别的控制权和权限,并且无法控制其他用户的作业。
3. BigQuery 用户
BigQuery 用户是 BigQuery IAM 角色的最低层级。在访问和操作资源方面,他们的权限非常有限。他们有限的能力包括:列出表格和访问元数据。
自己使用 BigQuery 不需要了解任何这些角色或权限。但是,当您使用企业级数据时,了解角色和权限可以帮助加速解决访问问题,或者在配置服务帐户时派上用场。
BigQuery:策略标签和 PII
就像 BigQuery 管理员可以授予权限并影响拥有较低级别访问权限的用户一样,他们还可以控制个人可以查看和交互的数据。这可以通过使用**策略标签**来实现。
什么是策略标签?
策略标签本质上是组织数据的审查机制。管理员可以应用此标签来阻止组织内的用户访问敏感数据。虽然确定什么构成敏感数据在某种程度上是主观的,但也存在客观的定义。
什么是个人身份信息 (PII)?
在数据治理中,敏感数据被称为**个人身份信息**(PII)。PII 包括任何可用于立即且密切识别特定个人的属性。它包括以下信息 -
- 电话号码
- 生物识别信息
- 电子邮件
- 社会安全号码(美国)
- 信用卡号码
以上任何一项都被认为是极其敏感的信息,必须小心保管。为了指导保护,GCP 在其数据治理产品 Data Loss Prevention 的文档中确定了 150 多个 PII 属性。
策略标签可以配置
策略标签也可以用于保护组织免受不应访问业务关键信息(如收入数据)的内部用户的侵害。
策略标签可以通过以下方式在 BigQuery 中配置和应用 -
- 选择一个表格
- 点击“编辑架构”
- 选择所有可能包含敏感信息的列
- 应用配置的策略标签
开发人员可以通过在表格架构中字段名称旁边显示为灰色框来判断是否已应用此类标签。
