Si bien los grandes datos nos brindan información y oportunidades valiosas, también conllevan la responsabilidad de garantizar que los datos estén seguros, lo que significa que solo se comparten los datos correctos con las personas adecuadas. En este artículo, hablamos sobre cómo usar el Servicio de administración de acceso e identidad de Google Cloud para definir qué usuarios pueden consultar en sus proyectos y acceder a sus conjuntos de datos.
BigQuery es un servicio completamente administrado. Eso significa que aprovecha la seguridad de la infraestructura de Google. Google protege su infraestructura de principio a fin, desde la seguridad física de sus servicios hasta prácticas operativas estrictas.
Pero este artículo trata sobre el papel que desempeña en mantener sus proyectos y datos seguros. Específicamente, cómo comparte el acceso a proyectos y conjuntos de datos con diferentes usuarios finales y grupos en su empresa. La clave para administrar el acceso a sus proyectos y datos es el Servicio de administración de acceso e identidad o IAM.
Cloud IAM le permite administrar el control de acceso definiendo tres cosas:
- Miembro
- Role
- Política
Lo que significa que especifica quién tiene qué acceso a qué recurso. Echemos un vistazo más de cerca a cada uno de estos.
Miembro:
En primer lugar, el miembro, o quien tiene acceso. Puede definir un miembro de varias formas. Una forma es identificar a los usuarios finales por su dirección de correo electrónico si está asociada con una cuenta de Google. También puede configurar el acceso para un grupo de usuarios utilizando un grupo de Google, un dominio de G Suite o un dominio de Cloud Identity como miembro. A veces, no es una persona, sino una aplicación o un servicio el que necesita acceder a tus datos de BigQuery. En este caso, puede crear una cuenta de servicio, que es un tipo especial de cuenta de Google destinada a representar a un usuario no humano. Cuando crea una cuenta de servicio, se le asigna una dirección especial que se puede usar como la identidad del miembro al definir el acceso. Cuando otorga acceso a un conjunto de datos a cualquier usuario registrado, hay un identificador especial llamado, todos los usuarios autenticados, que puede usar como miembro en este caso. Así es exactamente como hacemos que nuestros conjuntos de datos públicos de BigQuery estén disponibles para todos los usuarios de BigQuery.
Role:
Una vez que haya definido el miembro, debe decidir qué rol asignarle a ese miembro. Un rol incluye un conjunto de permisos que determina qué operaciones puede realizar el miembro. Cloud IAM proporciona varias funciones predefinidas que incluyen una combinación de estos permisos.
| Role | Descripción |
|---|---|
| Administrador de BigQuery | Administrar todos los recursos y datos dentro del proyecto |
| Propietario de datos de BigQuery | Acceso para editar y compartir conjuntos de datos y tablas |
| Editor de datos de BigQuery | Acceso para editar conjuntos de datos y todas sus tablas |
| Visor de datos de BigQuery | Acceso para ver conjuntos de datos y todas sus tablas |
| Usuario de trabajo de BigQuery | Acceso para ejecutar trabajos, incluidas consultas |
| Usuario de BigQuery | Acceso para ejecutar consultas y crear conjuntos de datos |
| Visor de metadatos de BigQuery | Acceso para ver metadatos de tablas y conjuntos de datos |
Incluyen cosas como la capacidad de ver o editar conjuntos de datos y la capacidad de ejecutar consultas y almacenar datos que se facturan al proyecto. También es posible crear roles personalizados. Estos le permiten agrupar uno o más permisos en un rol para satisfacer sus necesidades específicas. Tendrá que administrar su función personalizada a medida que se agreguen nuevas funciones, permisos y servicios a Google Cloud. Entonces, por esta razón, se recomienda ceñirse a los roles predefinidos. Siempre puede asignar más de un rol predefinido a un miembro.
Política:
Juntos, el miembro y el rol conforman la política, que luego se aplica a un recurso específico. La política se puede adjuntar a una tabla específica, a un conjunto de datos o al propio proyecto de GCP. A nivel de proyecto, los permisos se aplican a todos los conjuntos de datos actuales y futuros que forman parte del proyecto.
Veamos cómo funciona en un escenario específico. Suponga que es una empresa minorista con dos grupos de analistas de datos. El primer grupo analiza sus ventas minoristas y el segundo analiza las requests de servicio al cliente. Estos dos tipos de datos se almacenan en conjuntos de datos separados dentro de su proyecto. Ambos grupos de analistas necesitan acceso completo, lectura y escritura, al conjunto de datos en el que trabajan y acceso para ejecutar consultas en el proyecto.
Vayamos a la consola y configuremos las políticas. Comenzará otorgando a los analistas de ventas la función de editor de datos de BigQuery para el conjunto de datos de ventas minoristas. Para establecer roles en el nivel del conjunto de datos, seleccione el conjunto de datos de los recursos, luego haga clic en compartir conjunto de datos cerca del lado derecho de la ventana. En la pestaña de permisos del conjunto de datos, ingrese la entidad que desea agregar en el cuadro de texto Agregar miembros. Para seleccionar una función, seleccione el editor de datos de BigQuery y haga clic en Agregar. Luego haga clic en Listo.
Luego, siga los mismos pasos para otorgar a los analistas de servicio al cliente la función de editor de datos de BigQuery para el conjunto de datos de servicio al cliente. Notarás que estamos usando grupos de Google para otorgar roles. Los grupos de Google son una forma conveniente de crear una política para la recopilación de usuarios. Puede otorgar y cambiar el acceso para un grupo completo a la vez, en lugar de usuarios individuales uno a la vez.
Luego, puede agregar o eliminar miembros fácilmente directamente desde el propio Grupo de Google. Otorgar al analista la función de editor de datos en el nivel del conjunto de datos les da la capacidad de acceder a todas las tablas dentro de ese conjunto de datos en particular, pero no les da permiso para ejecutar consultas facturadas a ese proyecto. Para eso, se les debe otorgar el rol de nivel de proyecto llamado usuario de BigQuery. Para otorgar roles a nivel de proyecto, deberá dirigirse a la ventana de navegación. Pase el cursor sobre IAM en admin y luego haga clic para seleccionar IAM.
En la parte superior de la pantalla, haga clic en Agregar. En el cuadro de nuevos miembros, ingrese ambas direcciones de correo electrónico para representar a sus grupos de analistas.
Seleccione la función de usuario de BigQuery y haga clic en Guardar.
Ahora sus dos equipos están listos y equipados para analizar sus datos de forma segura.
Publicación traducida automáticamente
Artículo escrito por ddeevviissaavviittaa y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA