Introduzione a BigQuery a livello di riga sicurezza
Questo documento spiega il concetto di sicurezza a livello di riga, come funziona in BigQuery, quando utilizzare la sicurezza a livello di riga per proteggere i dati e altre i dettagli.
Che cos'è la sicurezza a livello di riga?
La sicurezza a livello di riga ti consente di filtrare i dati e di attivare l'accesso a righe specifiche di una tabella in base a condizioni utente idonee.
BigQuery supporta i controlli di accesso a livello di progetto, set di dati e tabella, nonché la sicurezza a livello di colonna tramite i tag di criteri. La sicurezza a livello di riga estende il principio del privilegio minimo consentendo un controllo dell'accesso granulare a un sottoinsieme di dati in una tabella BigQuery mediante criteri di accesso a livello di riga.
Una tabella può avere più criteri di accesso a livello di riga. Criteri di accesso a livello di riga possono coesistere su un tavolo con la sicurezza a livello di colonna e a livello di set di dati, a livello di tabella, controlli dell'accesso e a livello di progetto.
Come funziona la sicurezza a livello di riga
A livello generale, la sicurezza a livello di riga implica la creazione di di accesso a una tabella BigQuery di destinazione. Queste norme consentono come filtri per nascondere o visualizzare determinate righe di dati, a seconda che un utente o un gruppo è in un elenco autorizzato. Eventuali utenti o gruppi non inclusi specificamente in all'elenco di account autorizzati è negato l'accesso.
Un utente autorizzato con i ruoli IAM (Identity and Access Management) Amministratore BigQuery o Proprietario dati BigQuery, può creare criteri di accesso a livello di riga in una tabella BigQuery.
Quando crei un criterio di accesso a livello di riga, specifichi una tabella per nome e quali utenti o gruppi (definiti grantee-list
) possono accedere a determinati dati delle righe. Il criterio include anche i dati che vuoi filtrare, chiamati
filter_expression
. L'elemento filter_expression
funziona come un WHERE
in una tipica query.
Per istruzioni su come creare e utilizzare un criterio di accesso a livello di riga, consulta Utilizzo della sicurezza a livello di riga.
Consulta le Riferimento DDL per la sintassi, l'utilizzo e le opzioni completi relativi alla creazione di criteri di accesso a livello di riga.
Esempi di casi d'uso
I seguenti esempi mostrano potenziali casi d'uso per la sicurezza a livello di riga.
Filtra i dati delle righe in base alla regione
Supponiamo che la tabella dataset1.table1
contenga righe appartenenti a regioni diverse (indicate dalla colonna region
).
Puoi creare e completare la tabella di esempio utilizzando la seguente query:
CREATE TABLE IF NOT EXISTS dataset1.table1 (partner STRING, contact STRING, country STRING, region STRING); INSERT INTO dataset1.table1 (partner, contact, country, region) VALUES ('Example Customers Corp', 'alice@examplecustomers.com', 'Japan', 'APAC'), ('Example Enterprise Group', 'bob@exampleenterprisegroup.com', 'Singapore', 'APAC'), ('Example HighTouch Co.', 'carrie@examplehightouch.com', 'USA', 'US'), ('Example Buyers Inc.', 'david@examplebuyersinc.com', 'USA', 'US');
La sicurezza a livello di riga consente a un proprietario o un amministratore dei dati di implementare criteri. Le seguenti implementano un criterio che limita gli utenti del gruppo di distribuzione APAC a vedi solo partner della regione APAC:
CREATE ROW ACCESS POLICY apac_filter ON dataset1.table1 GRANT TO ("group: sales-apac@example.com") FILTER USING (region="APAC" );
Il comportamento risultante è che gli utenti del gruppo sales-apac@example.com
possono visualizzare solo le righe in cui il valore di region
è APAC
.
Le seguenti implementano un criterio che restringe sia gli individui che i gruppi a Visualizza solo i partner della regione degli Stati Uniti:
CREATE ROW ACCESS POLICY us_filter ON dataset1.table1 GRANT TO ("group:sales-us@example.com", "user: jon@example.com") FILTER USING (region="US");
Il comportamento risultante è che gli utenti del gruppo sales-us@example.com
e
l'utente jon@example.com
può visualizzare solo le righe in cui il valore di region
è US
.
L'immagine seguente mostra in che modo i due criteri di accesso precedenti limitano gli utenti e i gruppi che possono visualizzare le righe della tabella:
Gli utenti che non fanno parte dei gruppi APAC
o US
non vedono le righe.
Filtra i dati delle righe in base a dati sensibili
Consideriamo ora un caso d'uso diverso, in cui hai una tabella che contiene lo stipendio informazioni.
Puoi creare e completare la tabella di esempio utilizzando la seguente query:
CREATE OR REPLACE TABLE dataset1.table1 (name STRING, department STRING, salary INT64, email STRING); INSERT INTO dataset1.table1 ( name, department, salary, email) VALUES ('Jim D', 'HR', 100000, 'jim@example.com'), ('Anna K', 'Finance', 100000, 'anna@example.com'), ('Bruce L', 'Engineering', 100000, 'bruce@example.com'), ('Carrie F', 'Business', 100000, 'carrie@example.com');
Il criterio di accesso alle righe nella seguente istruzione limita le query ai membri
del dominio dell'azienda. Inoltre, l'utilizzo della funzione SESSION_USER()
limita l'accesso solo alle righe che appartengono all'utente che esegue la query, in base
all'indirizzo email dell'utente.
CREATE ROW ACCESS POLICY salary_personal ON dataset1.table1 GRANT TO ("domain:example.com") FILTER USING (Email=SESSION_USER());
L'immagine seguente mostra come il criterio di accesso alle righe limita la tabella contenente lo stipendio
informazioni. In questo esempio, l'utente si chiama Jim e ha l'indirizzo email jim@example.com
.
Filtra i dati delle righe in base alla tabella di ricerca
Per fornire un feedback o richiedere assistenza per questa funzionalità, invia un'email all'indirizzo bigquery-row-level-security-support@google.com.Con il supporto delle sottoquery, i criteri di accesso alle righe possono fare riferimento ad altre tabelle e utilizzare come tabelle di ricerca. I dati utilizzati nelle regole di filtro possono essere archiviati in una tabella un singolo criterio di accesso alle righe di sottoquery può sostituire più accessi alle righe configurate criteri. Per aggiornare i criteri di accesso alle righe, devi solo aggiornare la tabella di ricerca, che sostituisce più criteri di accesso alle righe. Non è necessario aggiorna ogni singolo criterio di accesso alle righe.
Quando utilizzare la sicurezza a livello di riga rispetto ad altri metodi
Visualizzazioni autorizzate, criteri di accesso a livello di riga e l'archiviazione dei dati in tabelle separate offrono tutti diversi livelli di sicurezza, prestazioni e convenienza. È importante scegliere il meccanismo giusto per il tuo caso d'uso per garantire il livello di sicurezza adeguato per i tuoi dati.
Confronto con le viste autorizzate: vulnerabilità
Sia la sicurezza a livello di riga sia l'applicazione dell'accesso a livello di riga. con una vista autorizzata possono presentare vulnerabilità, se utilizzate in modo improprio.
Quando utilizzi alle viste autorizzate o ai criteri di accesso a livello di riga per la sicurezza a livello di riga, consigliamo di monitorare eventuali attività sospette tramite log di controllo.
I canali laterali, come la durata della query, possono divulgare informazioni su di righe sul perimetro di uno shard di archiviazione. Tali attacchi probabilmente richiedono una conoscenza di come viene eseguito lo sharding della tabella o un numero elevato di query.
Per ulteriori informazioni su come prevenire questi attacchi side-channel, consulta Best practice per la sicurezza a livello di riga.
Confronto di viste autorizzate, sicurezza a livello di riga e tabelle separate
La tabella seguente mette a confronto la flessibilità, il rendimento e la sicurezza delle viste autorizzate, dei criteri di accesso a livello di riga e delle tabelle separate.
Metodo | Considerazioni sulla sicurezza | Consiglio |
---|---|---|
Autorizzato visualizzazioni |
Consigliato per la flessibilità. Può essere vulnerabile a essere creata con cura le query, la durata delle query e altri tipi di attacchi a canale laterale. | Le visualizzazioni autorizzate sono una buona scelta quando devi condividere dati con altri e la flessibilità e il rendimento sono importanti. Ad esempio, puoi utilizzare viste autorizzate a condividere dati all'interno del tuo gruppo di lavoro. |
Criteri di accesso a livello di riga | Consigliato per un equilibrio tra flessibilità e sicurezza. Può essere vulnerabile a attacchi al canale laterale con durata delle query. | I criteri di accesso a livello di riga sono una buona scelta quando devi condividere dati con altri utenti e vuoi offrire maggiore sicurezza alle viste o alle tabelle sezioni. Ad esempio, puoi utilizzare i criteri di accesso a livello di riga per condividere i dati utenti che usano tutti la stessa dashboard, anche se alcuni hanno accesso ad altri dati di altri utenti. |
Tabelle separate | Consigliato per la sicurezza. Gli utenti non possono dedurre i dati senza accedere al tabella. | Le tabelle separate sono una buona scelta quando devi condividere dati con altri e devi mantenere i dati isolati. Ad esempio, puoi usare tabelle separate per condividere i dati con partner e fornitori terzi, quando il numero totale devono essere secret. |
Creare e gestire criteri di accesso a livello di riga
Per informazioni su come creare, aggiornare (ricreare), elencare, visualizzare ed eliminare criteri di accesso a livello di riga su una tabella e come eseguire query sulle tabelle con i criteri di accesso a livello di riga, consulta Utilizzo della sicurezza dell'accesso a livello di riga.
Quote
Per ulteriori informazioni su quote e limiti per la sicurezza a livello di riga, consulta Quote e limiti di BigQuery.
Prezzi
La sicurezza a livello di riga è inclusa in BigQuery senza ulteriori ad accesso meno frequente per ridurre i costi di archiviazione. Tuttavia, un criterio di accesso a livello di riga può influire sul costo dell'esecuzione di una query nei seguenti modi:
La fatturazione aggiuntiva può essere causata da criteri di accesso a livello di riga, in particolare quelli che includono sottoquery che fanno riferimento ad altre tabelle.
I filtri dei criteri di accesso a livello di riga non partecipano al taglio delle query nelle tabelle divise e clusterizzate. Ciò non significa che legge più dati durante l'esecuzione della query principale. it non sfrutta i predicati del criterio di accesso alle righe da eliminare ulteriormente.
Con i filtri dei criteri di accesso a livello di riga, non tutti i filtri utente vengono applicati in anticipo. Questo potrebbe aumentare i dati letti dalle tabelle e potrebbe generare un aumento dei costi righe.
Per ulteriori informazioni sui prezzi delle query BigQuery, consulta Prezzi di BigQuery.
Limitazioni
Per informazioni sui limiti per la sicurezza a livello di riga, vedi BigQuery Limiti di sicurezza a livello di riga. Le sezioni seguenti documentano ulteriori limitazioni di sicurezza a livello di riga.
Limitazioni delle prestazioni
Alcune funzionalità di BigQuery non vengono accelerate quando lavorare con tabelle contenenti criteri di accesso a livello di riga, BigQuery BI Engine e viste materializzate.
La sicurezza a livello di riga non partecipa alla query potatura, una funzionalità di tabelle partizionate. Per ulteriori informazioni, consulta Partizionati e in cluster tabelle. Questa limitazione non rallenta l'esecuzione della query principale.
Potresti riscontrare un piccolo peggioramento delle prestazioni quando esegui query sulle tabelle con una sicurezza a livello di riga.
Per ulteriori informazioni su come la sicurezza a livello di riga interagisce con alcuni servizi e funzionalità di BigQuery, consulta Utilizzare la sicurezza a livello di riga con altre funzionalità di BigQuery.
Altre limitazioni
Questa funzionalità potrebbe non essere disponibile quando utilizzi le prenotazioni create con alcune versioni di BigQuery. Per ulteriori informazioni quali funzioni sono abilitate in ogni versione, consulta Introduzione alle versioni di BigQuery.
I criteri di accesso alle righe non sono compatibili con SQL precedente. Query delle tabelle con criteri di accesso a livello di riga devono usare GoogleSQL. Le query SQL legacy viene rifiutata con un errore.
Non puoi applicare criteri di accesso a livello di riga nelle colonne JSON.
Alcune funzionalità di BigQuery non sono compatibili con le metriche a livello di riga sicurezza. Per ulteriori informazioni, vedi Utilizzo della sicurezza a livello di riga.
Operazioni non di query, inclusi i job degli account di servizio, che richiedono l'accesso completo ai dati delle tabelle può utilizzare la sicurezza a livello di riga Filtro
TRUE
. Tra gli esempi possibili copiare tabelle, flussi di lavoro Dataproc, e altro ancora. Per ulteriori informazioni, vedi Utilizzo della sicurezza a livello di riga.È necessario creare, sostituire o eliminare i criteri di accesso a livello di riga con le istruzioni DDL. È possibile elencare e visualizzare i criteri di accesso a livello di riga mediante la console Google Cloud o strumento a riga di comando bq.
Visualizzare l'anteprima o sfogliare le tabelle non è compatibile con la sicurezza a livello di riga.
Il campionamento della tabella non è compatibile. con una sicurezza a livello di riga.
I risultati dei criteri delle sottoquery di primo livello sono limitati a 100 MB. Questo limite si applica a di accesso a livello di riga.
Se il predicato del criterio di accesso a livello di riga non può essere valutato a causa di qualsiasi tabella di riferimento, la query non riesce.
I criteri di accesso a livello di riga delle sottoquery supportano solo BigQuery tabelle esterne, BigLake esterne e BigLake tabelle.
Audit logging e monitoraggio
Quando vengono letti i dati di una tabella con uno o più criteri di accesso a livello di riga, i criteri di accesso a livello di riga autorizzati per l'accesso in lettura e le eventuali tabelle corrispondenti a cui viene fatto riferimento nelle sottoquery vengono visualizzati nelle informazioni di autorizzazione IAM per la richiesta di lettura.
La creazione e l'eliminazione dei criteri di accesso a livello di riga vengono registrati in un log di controllo e possono essere
a cui si accede tramite Cloud Logging. Log di controllo
includi il nome del criterio di accesso a livello di riga. Tuttavia,
Definizioni di filter_expression
e grantee_list
di un accesso a livello di riga
vengono omessi dai log, in quanto potrebbero contenere dati dell'utente o altri
informazioni. L'elenco e la visualizzazione dei criteri di accesso a livello di riga non vengono registrati
per i controlli.
Per saperne di più sul logging in BigQuery, consulta Introduzione al monitoraggio di BigQuery.
Per saperne di più sul logging in Google Cloud, consulta Cloud Logging.
Passaggi successivi
Per informazioni sulla gestione della sicurezza a livello di riga, vedi Utilizza la sicurezza a livello di riga.
Per informazioni su come funziona la sicurezza a livello di riga con altri Funzionalità e servizi di BigQuery, consulta Utilizzo della sicurezza a livello di riga con altre funzionalità di BigQuery.
Per informazioni sulle best practice per la sicurezza a livello di riga, vedi Best practice per la sicurezza a livello di riga in BigQuery.