Set di dati autorizzati
Questo documento descrive come utilizzare i set di dati autorizzati in in BigQuery. Un set di dati autorizzato consente di autorizzare tutte le viste in un per accedere ai dati di un secondo set di dati. Con un non è necessario configurare un'istanza viste autorizzate.
Puoi creare un set di dati autorizzato in BigQuery utilizzando seguenti:
- Nella console Google Cloud
- Il comando
bq update
- La
datasets.update
Metodo API
Panoramica
Una vista in BigQuery è una tabella virtuale definito da una query SQL. Ad esempio, la query di una vista potrebbe restituire solo un sottoinsieme delle colonne di una tabella, escluse le colonne contenenti informazioni che consentono l'identificazione personale (PII). Per eseguire una query su una vista, un utente deve avere alle risorse a cui accede la query della vista.
Se vuoi consentire agli utenti di eseguire query su una vista senza concedere loro l'accesso diretto ai risorse a cui fa riferimento la vista, puoi utilizzare una vista autorizzata. Un visualizzazione autorizzata ti consente, ad esempio, di condividere Più dati limitati in una vista con gruppi o utenti (entità) specifici, senza dando alle entità l'accesso a tutti i dati sottostanti. Per farlo devi assegnare alle entità l'accesso alla vista, concedendo all'utente l'accesso in visualizzazione al set di dati che contiene la descrizione e i dati di Google Cloud.
Se vuoi concedere a una raccolta di viste l'accesso a un set di dati, senza per autorizzare ogni singola vista, puoi raggrupparle in una e assegna al set di dati che contiene le viste l'accesso al set di dati. che contiene i dati. Puoi quindi concedere alle entità l'accesso al set di dati con il gruppo di viste. alle singole viste nel set di dati, se necessario. Un set di dati che ha accesso a un altro set di dati è chiamato set di dati autorizzato. Il set di dati che autorizza un altro set di dati ad accedere ai relativi dati viene chiamato il set di dati condiviso.
Autorizzazioni e ruoli richiesti
Per autorizzare un set di dati o per revocare l'autorizzazione di un set di dati, devi avere quanto segue Autorizzazioni IAM (Identity and Access Management), che ti consentono di aggiornare l'elenco di controllo dell'accesso del set di dati che stai condividendo.
Dopo aver autorizzato un set di dati, hai bisogno delle stesse autorizzazioni se vuoi e creare o aggiornare le viste nel set di dati autorizzato. Per ulteriori informazioni, vedi Crea o aggiorna una vista in un set di dati autorizzato.
Autorizzazione | Risorsa |
---|---|
bigquery.datasets.get
|
Il set di dati che stai condividendo. |
bigquery.datasets.update
|
Il set di dati che stai condividendo. |
Le seguenti impostazioni predefinite Ruoli IAM fornisci le autorizzazioni richieste.
Role | Risorsa |
---|---|
bigquery.dataOwner
|
Il set di dati che stai condividendo. |
bigquery.admin
|
Il set di dati che stai condividendo. |
Quote e limiti
I set di dati autorizzati sono soggetti a limiti relativi ai set di dati. Per ulteriori informazioni, consulta Limiti dei set di dati.
Autorizza un set di dati
Puoi autorizzare le viste attuali e future di un set di dati ad accedere a un altro set di dati aggiungendo il set di dati che vuoi autorizzare all'elenco per gli accessi del set di dati che vuoi condividere, come segue:
Console
Nella console Google Cloud, vai alla pagina BigQuery.
Nel riquadro Explorer, espandi il progetto e seleziona il set di dati contenente i dati che vuoi condividere.
Fai clic sull'
Azioni e seleziona Apri.Nel riquadro dei dettagli che viene visualizzato, fai clic su Condivisione e seleziona Autorizza Set di dati.
Nel riquadro Set di dati autorizzato visualizzato, inserisci l'ID set di dati del set di dati che vuoi autorizzare, nel seguente formato:
PROJECT.AUTHORIZED_DATASET
Ad esempio:
myProject.myDataset
Fai clic su Aggiungi autorizzazione e poi su Chiudi.
bq
Apri Cloud Shell:
Scrivi i metadati esistenti (incluso l'elenco di controllo dell'accesso) per del set di dati che desideri condividere file JSON utilizzando Comando
bq show
.bq show --format=prettyjson PROJECT:SHARED_DATASET > FILE_PATH
Utilizza un editor di testo per aggiungere il set di dati che vuoi autorizzare nel
access
esistente del file JSON creato in FILE_PATH.Ad esempio:
"access": [ ... { "dataset": { "dataset": { "project_id": "PROJECT", "dataset_id": "AUTHORIZED_DATASET" }, "target_types": "VIEWS" } } ]
Aggiorna il set di dati condiviso utilizzando
bq update
. Ad esempio:bq update --source FILE_PATH PROJECT:SHARED_DATASET
Per verificare che il set di dati autorizzato sia stato aggiunto, inserisci
bq show
il comando precedente. Ad esempio:bq show --format=prettyjson PROJECT:SHARED_DATASET
API
Get the current metadata for the dataset you want to share by calling the
datasets.get
method, as follows:GET https://bigquery.googleapis.com/bigquery/v2/projects/PROJECT/datasets/SHARED_DATASET
Il corpo della risposta restituisce un
Dataset
che contiene metadati JSON per il set di dati.Aggiungi il set di dati che vuoi autorizzare in
access
dei metadati JSON restituiti nella risorsaDataset
come che segue:"access": [ ... { "dataset": { "dataset": { "project_id": "PROJECT", "dataset_id": "AUTHORIZED_DATASET" }, "target_types": "VIEWS" } } ]
Utilizza la
datasets.update
per aggiornare il set di dati con l'autorizzazione aggiunta:PUT https://bigquery.googleapis.com/bigquery/v2/projects/PROJECT/datasets/SHARED_DATASET
Includi la risorsa
Dataset
aggiornata nel corpo della richiesta.Puoi verificare che il set di dati autorizzato sia stato aggiunto chiamando il metodo
datasets.get
.
Revoca l'autorizzazione di un set di dati
Quando elimini un set di dati autorizzato ad accedere a un altro set di dati di origine, può possono trascorrere fino a 24 ore prima che la modifica venga riportata completamente nel set di dati di origine elenchi di controllo dell'accesso (ACL). Durante questo volta:
- Non potrai accedere ai dati di origine tramite il set di dati eliminato.
- Il set di dati eliminato potrebbe essere ancora visualizzato nell'ACL e nel conteggio del set di dati di origine rispetto ai limiti autorizzati del set di dati. Questo potrebbe impedirti di creare fino all'aggiornamento dell'ACL.
Per revocare l'accesso concesso alle viste in un set di dati autorizzato, rimuovi dell'elenco per gli accessi del set di dati condiviso, che segue:
Console
Nella console Google Cloud, vai alla pagina BigQuery.
Nel riquadro Explorer, espandi il progetto e seleziona l'elemento del set di dati.
Fai clic sull'
Azioni e seleziona Apri.Nel riquadro dei dettagli che viene visualizzato, fai clic su Condivisione e seleziona Autorizza set di dati.
Nel riquadro Set di dati autorizzato visualizzato, trova la voce relativa alla nella sezione Set di dati attualmente autorizzati.
Fai clic sull'icona Elimina accanto al set di dati autorizzato da rimuovere. e fai clic su Chiudi.
bq
Apri Cloud Shell:
Scrivi i metadati esistenti (incluso l'elenco di controllo dell'accesso) per in un set di dati condiviso file JSON utilizzando Comando
bq show
.bq show --format=prettyjson PROJECT:SHARED_DATASET > FILE_PATH
Utilizza un editor di testo per rimuovere il set di dati autorizzato da
access
del file JSON creato in FILE_PATH, come che segue:{ "dataset": { "dataset": { "project_id": "PROJECT", "dataset_id": "AUTHORIZED_DATASET" }, "target_types": "VIEWS" } }
Aggiorna il set di dati condiviso utilizzando
bq update
. Ad esempio:bq update --source FILE_PATH PROJECT:SHARED_DATASET
Per verificare che il set di dati autorizzato sia stato rimosso, inserisci
bq show
il comando precedente. Ad esempio:bq show --format=prettyjson PROJECT:SHARED_DATASET
API
Get the current metadata for the shared dataset by calling the
datasets.get
method, as follows:GET https://bigquery.googleapis.com/bigquery/v2/projects/PROJECT/datasets/SHARED_DATASET
Il corpo della risposta restituisce un
Dataset
che contiene metadati JSON per il set di dati.Rimuovi il set di dati autorizzato da
access
del JSON restituito nella risorsaDataset
, per esempio:{ "dataset": { "dataset": { "project_id": "PROJECT", "dataset_id": "AUTHORIZED_DATASET" }, "target_types": "VIEWS" } }
Utilizza la
datasets.update
per aggiornare il set di dati con l'autorizzazione rimossa:PUT https://bigquery.googleapis.com/bigquery/v2/projects/PROJECT/datasets/SHARED_DATASET
Includi la risorsa
Dataset
aggiornata nel corpo della richiesta.Puoi verificare che il set di dati autorizzato sia stato rimosso chiamando il metodo
datasets.get
.
Crea o aggiorna una vista in un set di dati autorizzato
Per creare o aggiornare una vista che si trova in un set di dati autorizzato, è necessario disporre delle autorizzazioni per il set di dati condiviso elencati Autorizzazioni e ruoli richiesti oltre alle autorizzazioni necessarie per create o aggiornare una vista in un un set di dati standard.
La tabella seguente riassume le Autorizzazioni IAM (Identity and Access Management) per creare o aggiornare una vista che si trova in un set di dati autorizzato:
Autorizzazione | Risorsa |
---|---|
bigquery.datasets.get
|
Il set di dati che stai condividendo. |
bigquery.datasets.update
|
Il set di dati che stai condividendo. |
bigquery.tables.getData
|
Tutte le tabelle o viste del set di dati condiviso a cui viene fatto riferimento nella nuova vista che stai creando o aggiornando. |
bigquery.tables.create
|
Il set di dati autorizzato in cui stai creando una vista. |
bigquery.tables.update
|
Il set di dati autorizzato in cui stai aggiornando una vista. |
Non hai bisogno di autorizzazioni aggiuntive per elimina una visualizzazione da un un set di dati autorizzato.
Query su una vista in un set di dati autorizzato
Per eseguire query su una vista in un set di dati autorizzato, un utente deve avere accesso ma l'accesso al set di dati condiviso non è richiesto.
Per ulteriori informazioni, vedi Visualizzazioni autorizzate.
Esempio di set di dati autorizzato
L'esempio seguente descrive come creare e utilizzare un set di dati autorizzato.
Supponi di avere due set di dati, denominati private_dataset
e public_dataset
.
Il set di dati private_dataset
contiene una tabella denominata private_table
. La
Il set di dati public_dataset
contiene una vista denominata private_table_filtered
. La
La visualizzazione private_table_filtered
si basa su una query che ne restituisce alcuni, ma non
tutti i campi della tabella private_table
.
Puoi concedere a un utente l'accesso a
i dati restituiti dalla vista private_table_filtered
, ma non tutti i dati in
la tabella private_table
, come segue:
Concedi il ruolo
bigquery.dataViewer
all'utente perpublic_dataset
del set di dati. Questo ruolo include l'autorizzazionebigquery.tables.getData
, che Consente all'utente di eseguire query sulle viste nel set di datipublic_dataset
. Per informazioni su come concedere un ruolo a un utente per un set di dati, consulta Controllo dell'accesso ai set di dati.L'utente ora dispone dell'autorizzazione per eseguire query sulle visualizzazioni in
public_dataset
, ma non riesce ancora ad accedere alla tabellaprivate_table
inprivate_dataset
. Se l'utente prova a eseguire query sulla tabellaprivate_table
direttamente o se tentano di accedere alla tabellaprivate_table
indirettamente eseguendo una query sulla vistaprivate_table_filtered
, viene visualizzato un messaggio di errore simile al seguente:Access Denied: Table PROJECT:private_dataset.private_table: User does not have permission to query table PROJECT:private_dataset.private_table.
Nella pagina BigQuery della console Google Cloud, apri la
private_dataset
set di dati, fai clic Condivisione, quindi seleziona Autorizza set di dati.Nel riquadro Set di dati autorizzato visualizzato, inserisci
PROJECT.public_dataset
nel campo ID set di dati, e fai clic su Aggiungi autorizzazione.Il set di dati
public_dataset
viene aggiunto all'elenco di controllo dell'accesso del Set di datiprivate_dataset
, autorizzando le visualizzazioni inpublic_dataset
per eseguire query sui dati nel set di datiprivate_dataset
.Ora l'utente può eseguire query sulla vista
private_table_filtered
inpublic_dataset
che accede indirettamente al set di datiprivate_dataset
, senza dover eventuali autorizzazioni per accedere direttamente ai dati nel set di datiprivate_dataset
.
Limitazioni
- Puoi creare set di dati autorizzati in diverse regioni, ma BigQuery non supporta le query tra regioni. Pertanto, ti consigliamo di creare i set di dati nella stessa regione.
Passaggi successivi
Per informazioni su come autorizzare una singola vista ad accedere ai dati in una del set di dati, consulta Visualizzazioni autorizzate.
Per informazioni su come autorizzare una funzione di tabella o una funzione definita dall'utente per accedere ai dati in un set di dati, vedi Funzioni autorizzate.