Limitare l'accesso con controllo dell'accesso a livello di colonna
Questa pagina spiega come utilizzare controllo dell'accesso a livello di colonna di BigQuery per limitare l'accesso ai dati di BigQuery a livello di colonna. Per informazioni generali sul controllo dell'accesso a livello di colonna, consulta Introduzione al controllo dell'accesso a livello di colonna di BigQuery.
Le istruzioni in questa pagina utilizzano sia BigQuery che Data Catalog.
Devi aggiornare lo schema della tabella per impostare un tag di criteri su una colonna. Puoi utilizzare la console Google Cloud, lo strumento a riga di comando bq e l'API BigQuery per impostare un tag di criteri su una colonna. Inoltre, puoi creare una tabella, specificare lo schema e indicare i tag di criteri in un'operazione utilizzando le seguenti tecniche:
- I comandi
bq mkebq loaddello strumento a riga di comando bq. - Il metodo API
tables.insert. - La pagina Crea tabella nella console Google Cloud. Se utilizzi la console Google Cloud, devi selezionare Modifica come testo quando aggiungi o modifichi lo schema.
Per migliorare controllo dell'accesso a livello di colonna, puoi facoltativamente utilizzare il mascheramento dinamico dei dati. Il mascheramento dei dati consente di mascherare i dati sensibili sostituendo contenuti nulli, predefiniti o sottoposti ad hashing al posto del valore effettivo della colonna.
Prima di iniziare
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Abilita le API Data Catalog and BigQuery Data Policy.
-
Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Abilita le API Data Catalog and BigQuery Data Policy.
- BigQuery viene abilitato automaticamente nei nuovi progetti, ma potrebbe essere necessario attivarlo in un progetto preesistente.
Attiva l'API BigQuery.
Ruoli e autorizzazioni
Esistono diversi ruoli relativi ai tag di criteri per utenti e account di servizio.
- Gli utenti o gli account di servizio che amministrano i tag di criteri devono disporre del ruolo Amministratore tag criteri di Data Catalog. Il ruolo Amministratore tag criteri può gestire tassonomie e tag di criteri e può concedere o rimuovere i ruoli IAM associati ai tag di criteri.
Gli utenti o gli account di servizio che applicano il controllo dell'accesso per il controllo dell'accesso a livello di colonna devono disporre del ruolo Amministratore BigQuery o Proprietario dei dati BigQuery. I ruoli BigQuery consentono di gestire i criteri dei dati, che vengono utilizzati per applicarecontrollo dell'accessoo dell'accesso
Per accedere a questi dati, gli utenti o gli account di servizio che eseguono query su dati protetti dal controllo dell'accesso dell'accesso a livello di colonna devono disporre del ruolo Lettore granulare di Data Catalog.
Per maggiori informazioni su tutti i ruoli relativi ai tag di criteri, consulta Ruoli utilizzati con il controllo dell'accesso a livello di colonna.
Il ruolo Amministratore tag criteri di Data Catalog
Il ruolo Amministratore tag criteri di Data Catalog può creare e gestire i tag dei criteri dei dati.
Per concedere il ruolo Amministratore tag criteri, devi disporre dell'autorizzazione resourcemanager.projects.setIamPolicy nel progetto per cui vuoi concedere il ruolo. Se non hai l'autorizzazione resourcemanager.projects.setIamPolicy, chiedi a un Proprietario progetto di concederti l'autorizzazione oppure di eseguire i seguenti passaggi per te.
Nella console Google Cloud, vai alla pagina IAM.
Se l'indirizzo email dell'utente a cui viene assegnato il ruolo è presente nell'elenco, seleziona l'indirizzo email e fai clic su Modifica (l'icona a forma di matita). Fai clic su Aggiungi un altro ruolo.
Se l'indirizzo email dell'utente non è nell'elenco, fai clic su Aggiungi, quindi inserisci l'indirizzo email nella casella Nuove entità.
Fai clic sull'elenco a discesa Seleziona un ruolo.
Fai clic su Data Catalog e poi su Amministratore tag di criteri.
Fai clic su Salva.
I ruoli Amministratore BigQuery e Proprietario dei dati
I ruoli Amministratore BigQuery e Proprietario dei dati possono gestire i criteri relativi ai dati.
Per concedere uno di questi ruoli, devi disporre dell'autorizzazione resourcemanager.projects.setIamPolicy nel progetto per cui vuoi concedere il ruolo. Se non hai l'autorizzazione resourcemanager.projects.setIamPolicy, chiedi a un Proprietario progetto di concederti l'autorizzazione oppure di eseguire i seguenti passaggi per te.
Nella console Google Cloud, vai alla pagina IAM.
Se l'indirizzo email dell'utente a cui viene assegnato il ruolo è presente nell'elenco, seleziona l'indirizzo email e fai clic su Modifica (l'icona a forma di matita). Fai clic su Aggiungi un altro ruolo.
Se l'indirizzo email dell'utente non è nell'elenco, fai clic su Aggiungi, quindi inserisci l'indirizzo email nella casella Nuove entità.
Fai clic sull'elenco a discesa Seleziona un ruolo.
Fai clic su BigQuery e poi su Amministratore o Proprietario dati.
Fai clic su Salva.
Ruolo di lettore granulare di Data Catalog
Gli utenti che devono accedere ai dati protetti con il controllo dell'accesso a livello di colonna devono avere il ruolo Lettore granulare Data Catalog. Questo ruolo viene assegnato alle entità durante la configurazione di un tag di criteri.
Per concedere a un utente il ruolo Lettore granulare per un tag di criteri, devi disporre dell'autorizzazione datacatalog.taxonomies.setIamPolicy nel progetto che contiene la tassonomia del tag di criterio. Se non hai l'autorizzazione datacatalog.taxonomies.setIamPolicy, chiedi a un Proprietario progetto di concederti l'autorizzazione o di eseguire l'azione per te.
Per le istruzioni, consulta Impostare le autorizzazioni sui tag di criteri.
Configurare controllo dell'accesso a livello di colonna
Configura controllo dell'accesso a livello di colonna completando queste attività:
- Crea una tassonomia dei tag di criteri.
- Associa le entità ai tag di criteri e concedi alle entità il ruolo Lettore granulare di Data Catalog.
- Associare i tag di criteri alle colonne della tabella BigQuery.
- Forzano l'applicazione controllo dell'accesso alla tassonomia contenente i tag di criteri.
Creazione tassonomie
All'account utente o di servizio che crea una tassonomia deve essere concesso il ruolo Amministratore tag criterio di Data Catalog.
Console
- Apri la pagina Tassonomie tag di criteri nella console Google Cloud.
- Fai clic su Crea tassonomia.
Nella pagina Nuova tassonomia:
- In Nome tassonomia, inserisci il nome della tassonomia che vuoi creare.
- In Descrizione, inserisci una descrizione.
- Se necessario, modifica il progetto elencato in Progetto.
- Se necessario, cambia la località indicata in Località.
- In Tag di criteri, inserisci un nome e una descrizione per il tag del criterio.
- Per aggiungere un tag di criteri secondario per un tag di criteri, fai clic su Aggiungi sottotag.
- Per aggiungere un nuovo tag di criterio allo stesso livello di un altro tag di criterio, fai clic su + Aggiungi tag di criteri.
- Continua ad aggiungere tag di criteri e tag di criteri secondari in base alle esigenze della tua tassonomia.
- Al termine della creazione dei tag di criteri per la gerarchia, fai clic su Crea.
API
Per utilizzare tassonomie esistenti, chiama taxonomies.import al posto dei primi due passaggi della procedura seguente.
- Chiama il numero
taxonomies.createper creare una tassonomia. - Chiama
taxonomies.policytag.createper creare un tag di criteri.
Imposta le autorizzazioni per i tag di criteri
All'account utente o di servizio che crea una tassonomia deve essere concesso il ruolo Amministratore tag criterio di Data Catalog.
Console
Apri la pagina Tassonomie tag di criteri nella console Google Cloud.
Fai clic sul nome della tassonomia che contiene i tag di criteri pertinenti.
Seleziona uno o più tag di criteri.
Se il riquadro informazioni è nascosto, fai clic su Mostra riquadro informazioni.
Nel riquadro Informazioni puoi visualizzare i ruoli e le entità per i tag di criteri selezionati. Aggiungi il ruolo Amministratore tag criterio agli account che creano e gestiscono i tag di criteri. Aggiungi il ruolo Lettore granulare agli account destinati ad avere accesso ai dati protetti dal controllo dell'accesso a livello di colonna. Usa questo riquadro anche per rimuovere i ruoli dagli account o modificare altre autorizzazioni.
Fai clic su Salva.
API
Chiama taxonomies.policytag.setIamPolicy per concedere l'accesso a un tag di criteri assegnando le entità ai ruoli appropriati.
Impostare i tag di criteri sulle colonne
L'account utente o di servizio che imposta un tag di criteri deve avere le autorizzazioni datacatalog.taxonomies.get e bigquery.tables.setCategory.
datacatalog.taxonomies.get è incluso nei ruoli Amministratore tag criterio di Data Catalog e Visualizzatore progetto.
bigquery.tables.setCategory è incluso nei ruoli
Amministratore BigQuery (roles/bigquery.admin) e
Proprietario dati BigQuery (roles/bigquery.dataOwner).
Console
Imposta il tag di criteri modificando uno schema mediante la console Google Cloud.
Apri la pagina BigQuery nella console Google Cloud.
In BigQuery Explorer, individua e seleziona la tabella da aggiornare. Si apre lo schema per la tabella in questione.
Fai clic su Modifica schema.
Nella schermata Schema corrente, seleziona la colonna di destinazione e fai clic su Aggiungi tag di criterio.
Nella schermata Aggiungi un tag criterio, individua e seleziona il tag di criteri che vuoi applicare alla colonna.
Fai clic su Seleziona. La schermata dovrebbe essere simile alla seguente:
Fai clic su Salva.
bq
Scrivere lo schema in un file locale.
bq show --schema --format=prettyjson \ project-id:dataset.table > schema.json
dove:
- project-id è l'ID progetto.
- dataset è il nome del set di dati contenente la tabella che stai aggiornando.
- table è il nome della tabella che stai aggiornando.
Modifica schema.json per impostare un tag di criteri su una colonna. Per il valore del campo
namesdipolicyTags, utilizza il nome risorsa del tag di criteri.[ ... { "name": "ssn", "type": "STRING", "mode": "REQUIRED", "policyTags": { "names": ["projects/project-id/locations/location/taxonomies/taxonomy-id/policyTags/policytag-id"] } }, ... ]Aggiorna lo schema.
bq update \ project-id:dataset.table schema.json
API
Per le tabelle esistenti, chiama tables.patch o per le nuove tabelle chiama
tables.insert. Utilizza la
proprietà schema dell'oggetto Table che trasmetti
per impostare utag di criteriio nella definizione dello schema. Consulta lo schema di esempio della riga di comando per vedere come impostare un tag di criteri.
Quando lavori con una tabella esistente, è preferibile utilizzare il metodo tables.patch, perché il metodo tables.update sostituisce l'intera risorsa della tabella.
Altri modi per impostare i tag di criteri nelle colonne
Puoi impostare i tag di criteri anche quando:
- Utilizza
bq mkper creare una tabella. Passare uno schema da usare per la creazione della tabella. - Utilizza
bq loadper caricare i dati in una tabella. Passa uno schema da usare quando carichi la tabella.
Per informazioni generali sullo schema, consulta la sezione Specifica di uno schema.
Applica controllo di accesso
Utilizza queste istruzioni per attivare o disattivare l'applicazione forzata del controllo dell'accesso'accesso.
L'applicazione del controllo dell'accesso'accesso richiede la creazione di un criterio relativo ai dati. Questa operazione viene eseguita automaticamente se applichi il controllo dell'accesso#39;accesso utilizzando la console Google Cloud. Se vuoi applicare il controllo dell'accesso dell'accesso utilizzando l'API BigQuery Data Policy, devi creare esplicitamente il criterio relativo ai dati.
L'account utente o di servizio che applica controllo dell'accesso'accesso deve avere il ruolo Amministratore BigQuery o Proprietario dati BigQuery. Devono inoltre avere il ruolo Amministratore Data Catalog o Visualizzatore Data Catalog.
Console
Per forzare l'applicazione del controllo dell'accesso dell'accesso:
Apri la pagina Tassonomie tag di criteri nella console Google Cloud.
Fai clic sulla tassonomia di cui vuoi applicare controllo dell'accesso a livello di colonna.
Se l'opzione Applica controllo dell'accesso non è già attiva, fai clic su Applica controllo dell'accesso per abilitarla.
Per interrompere l'applicazione forzata del controllo dell'accesso dell'accesso, se è attiva, fai clic su Applica controllo dell'accesso per attivare/disattivare il controllo.
Se hai criteri relativi ai dati associati a uno qualsiasi dei tag di criteri nella tassonomia, devi eliminare tutti i criteri dei dati nella tassonomia prima di interrompere l'applicazione del controllo dell'accesso#39;accesso. Se elimini i criteri relativi ai dati utilizzando l'API BigQuery Data Policy, devi eliminare tutti i criteri relativi ai dati con un valore di DATA_MASKING_POLICY pari a dataPolicyType. Per maggiori informazioni, consulta
Eliminare i criteri relativi ai dati.
API
Per applicare controllo dell'accesso, chiama
create
e passa una risorsa
DataPolicy
in cui il campo dataPolicyType è impostato su
COLUMN_LEVEL_SECURITY_POLICY.
Per interrompere l'applicazione forzata del controllo dell'accesso, se è attivo, elimina il criterio dei dati associato alla tassonomia. Puoi farlo chiamando il metodo
delete
per quel criterio sui dati.
Se hai criteri relativi ai dati associati a uno dei tag di criteri nella tassonomia, non puoi interrompere l'applicazione del controllo dell'accesso'accesso senza prima eliminare tutti i criteri relativi ai dati nella tassonomia. Per maggiori informazioni, consulta Eliminare i criteri relativi ai dati.
Utilizzo dei tag di criteri
Utilizza questa sezione per scoprire come visualizzare, modificare ed eliminare i tag criterio.
Visualizza tag criterio
Per visualizzare i tag di criteri creati per una tassonomia:
Apri la pagina Tassonomie tag di criteri nella console Google Cloud.
Fai clic sulla tassonomia di cui vuoi visualizzare i tag di criterio. La pagina Tassonomie mostra i tag di criteri nella tassonomia.
Visualizza i tag criterio nello schema
Puoi visualizzare i tag di criteri applicati a una tabella quando esamini lo schema della tabella. Puoi visualizzare lo schema utilizzando la console Google Cloud, lo strumento a riga di comando bq, l'API BigQuery e le librerie client. Per maggiori dettagli su come visualizzare lo schema, consulta Recupero delle informazioni sulle tabelle.
Visualizza le autorizzazioni per i tag di criteri
Apri la pagina Tassonomie tag di criteri nella console Google Cloud.
Fai clic sul nome della tassonomia che contiene i tag di criteri pertinenti.
Seleziona uno o più tag di criteri.
Se il riquadro informazioni è nascosto, fai clic su Mostra riquadro informazioni.
Nel riquadro Informazioni puoi visualizzare i ruoli e le entità per i tag di criteri selezionati.
Aggiorna le autorizzazioni sui tag di criteri
All'account utente o di servizio che crea una tassonomia deve essere concesso il ruolo Amministratore tag criterio di Data Catalog.
Console
Apri la pagina Tassonomie tag di criteri nella console Google Cloud.
Fai clic sul nome della tassonomia che contiene i tag di criteri pertinenti.
Seleziona uno o più tag di criteri.
Se il riquadro informazioni è nascosto, fai clic su Mostra riquadro informazioni.
Nel riquadro Informazioni puoi visualizzare i ruoli e le entità per i tag di criteri selezionati. Aggiungi il ruolo Amministratore tag criterio agli account che creano e gestiscono i tag di criteri. Aggiungi il ruolo Lettore granulare agli account destinati ad avere accesso ai dati protetti dal controllo dell'accesso a livello di colonna. Usa questo riquadro anche per rimuovere i ruoli dagli account o modificare altre autorizzazioni.
Fai clic su Salva.
API
Chiama taxonomies.policytag.setIamPolicy per concedere l'accesso a un tag di criteri assegnando le entità ai ruoli appropriati.
Recupera i nomi delle risorse dei tag di criteri
Il nome della risorsa del tag di criteri è necessario quando applichi il tag di criterio a una colonna.
Per recuperare il nome della risorsa del tag di criteri:
Visualizza i tag di criteri per la tassonomia che contiene il tag di criterio.
Trova il tag di criteri di cui vuoi copiare il nome della risorsa.
Fai clic sull'icona Copia nome risorsa tag criterio.
Cancella tag criterio
Aggiorna lo schema della tabella per cancellare un tag di criteri da una colonna. Puoi utilizzare la console Google Cloud, lo strumento a riga di comando bq e il metodo dell'API BigQuery per cancellare un tag di criteri da una colonna.
Console
Nella pagina Schema corrente, in Tag di criteri, fai clic su X.
bq
Recupera lo schema e salvalo in un file locale.
bq show --schema --format=prettyjson \ project-id:dataset.table > schema.json
dove:
- project-id è l'ID progetto.
- dataset è il nome del set di dati contenente la tabella che stai aggiornando.
- table è il nome della tabella che stai aggiornando.
Modifica schema.json per cancellare un tag di criteri da una colonna.
[ ... { "name": "ssn", "type": "STRING", "mode": "REQUIRED", "policyTags": { "names": [] } }, ... ]Aggiorna lo schema.
bq update \ project-id:dataset.table schema.json
API
Chiama tables.patch e utilizza la proprietà schema per cancellare un tag di criteri nella definizione dello schema. Per sapere come cancellare un tag di criteri, consulta lo schema di esempio della riga di comando.
Poiché il metodo tables.update sostituisce l'intera risorsa della tabella, è preferibile il metodo tables.patch.
Elimina tag criterio
Puoi eliminare uno o più tag di criteri in una tassonomia oppure puoi eliminare la tassonomia e tutti i tag di criteri che contiene. L'eliminazione di un tag di criteri rimuove automaticamente l'associazione tra il tag di criteri e le colonne a cui era applicato.
Quando elimini un tag di criteri a cui è associato un criterio dei dati, l'eliminazione anche del criterio relativo ai dati può richiedere fino a 30 minuti. Puoi eliminare il criterio relativo ai dati direttamente se vuoi che venga eliminato immediatamente.
Per eliminare uno o più tag di criteri in una tassonomia, segui questi passaggi:
- Apri la pagina Tassonomie tag di criteri nella console Google Cloud.
- Fai clic sul nome della tassonomia contenente i tag da eliminare.
- Fai clic su Modifica.
- Fai clic sulla accanto ai tag di criteri da eliminare.
- Fai clic su Salva.
- Fai clic su Conferma.
Per eliminare un'intera tassonomia, segui questi passaggi:
- Apri la pagina Tassonomie tag di criteri nella console Google Cloud.
- Fai clic sul nome della tassonomia contenente i tag da eliminare.
- Fai clic su Elimina tassonomia tag di criteri.
- Digita il nome della tassonomia e fai clic su Elimina.
Eseguire query sui dati con controllo dell'accesso a livello di colonna
Se un utente ha accesso al set di dati e dispone del ruolo di lettore granulare di Data Catalog, i dati delle colonne saranno disponibili per l'utente. L'utente esegue una query normalmente.
Se un utente ha accesso al set di dati, ma non dispone del ruolo di lettore granulare di Data Catalog, i dati della colonna non sono disponibili per l'utente. Se un utente di questo tipo esegue SELECT *, riceve un errore che elenca le colonne a cui l'utente non può accedere. Per risolvere l'errore, puoi:
Modifica la query per escludere le colonne a cui l'utente non può accedere. Ad esempio, se l'utente non ha accesso alla colonna
ssn, ma ha accesso alle colonne rimanenti, può eseguire la seguente query:SELECT * EXCEPT (ssn) FROM ...
Nell'esempio precedente, la clausola
EXCEPTesclude la colonnassn.Chiedi a un amministratore di Data Catalog di aggiungere l'utente come lettore granulare di Data Catalog alla classe di dati pertinente. Il messaggio di errore fornisce il nome completo del tag di criteri a cui l'utente deve accedere.
Domande frequenti
La metrica a livello di colonna di BigQuery funziona per le viste?
Sì. Le visualizzazioni derivano da una tabella sottostante. Lo stesso controllo dell'accesso a livello di colonna nella tabella viene applicato quando si accede alle colonne protette tramite una vista.
In BigQuery esistono due tipi di viste: logiche e autorizzate. Entrambi i tipi di viste derivano da una tabella di origine ed entrambi sono coerenti con il controllo dell'accesso a livello di colonna della tabella.
Controllo dell'accesso a livello di colonna funziona su STRUCT o RECORD colonne?
Sì. Puoi applicare i tag di criteri solo ai campi foglia, e solo quei campi sono protetti.
Posso utilizzare sia la SQL precedente che GoogleSQL?
Puoi utilizzare GoogleSQL per eseguire query sulle tabelle protette dal controllo dell'accesso a livello di colonna.
Tutte le query SQL precedente vengono rifiutate se sono presenti tag di criteri nelle tabelle di destinazione.
Le query sono registrate in Cloud Logging?
Il controllo dei tag di criteri viene registrato in Logging. Per ulteriori informazioni, consulta Audit logging per controllo dell'accesso a livello di colonna.
La copia di una tabella è interessata dal controllo dell'accesso a livello di colonna?
Sì. Non puoi copiare colonne se non puoi accedervi.
Le seguenti operazioni verificano le autorizzazioni a livello di colonna.
SELECTquery con tabelle di destinazione- Job di copia delle tabelle
- Job di esportazione dati (ad esempio in Cloud Storage)
Quando copio i dati in una nuova tabella, i tag di criteri vengono propagati automaticamente?
Nella maggior parte dei casi no. Se copi i risultati di una query in una nuova tabella, alla nuova tabella non vengono assegnati automaticamente tag di criteri. Pertanto, la nuova tabella non ha il controllo dell'accesso a livello di colonna. Lo stesso vale se esporti i dati in Cloud Storage.
Fa eccezione il caso in cui utilizzi un job di copia della tabella. Poiché i job di copia delle tabelle non applicano alcuna trasformazione dei dati, i tag di criteri vengono propagati automaticamente alle tabelle di destinazione.
Controllo dell'accesso a livello di colonna è compatibile con Virtual Private Cloud?
Sì, controllo dell'accesso a livello di colonna e il VPC sono compatibili e complementari.
Il VPC sfrutta IAM per controllare l'accesso a servizi come BigQuery e Cloud Storage. Il controllo dell'accesso a livello di colonna offre una sicurezza granulare delle singole colonne all'interno di BigQuery stesso.
Per applicare il VPC per i tag di criteri e i criteri relativi ai dati per il controllo dell'accesso a livello di colonna e il mascheramento dinamico dei dati, devi limitare le seguenti API nel perimetro:
Risolvere i problemi
Non riesco a visualizzare i ruoli di Data Catalog
Se non riesci a visualizzare ruoli come Lettore granulare Data Catalog, è possibile che tu non abbia abilitato l'API Data Catalog nel progetto. Per scoprire come abilitare l'API Data Catalog, consulta Prima di iniziare. I ruoli di Data Catalog dovrebbero essere visualizzati diversi minuti dopo l'abilitazione dell'API Data Catalog.
Non riesco a visualizzare la pagina Tassonomie
Devi disporre di autorizzazioni aggiuntive per visualizzare la pagina Tassonomie. Ad esempio, il ruolo Amministratore tag di criteri di Data Catalog ha accesso alla pagina Tassonomie.
Ho applicato i tag di criteri, ma sembra non funzionare
Se continui a ricevere risultati di query per un account che non dovrebbe avere accesso, è possibile che l'account stia ricevendo risultati memorizzati nella cache. In particolare, se in precedenza hai eseguito correttamente la query e poi hai applicato i tag di criteri, potresti ottenere i risultati dalla cache dei risultati delle query. Per impostazione predefinita, i risultati delle query vengono memorizzati nella cache per 24 ore. Se disabiliti la cache dei risultati, la query dovrebbe avere esito negativo immediatamente. Per ulteriori dettagli sulla memorizzazione nella cache, consulta Impatto del controllo dell'accesso a livello di colonna.
In generale, la propagazione degli aggiornamenti IAM richiede circa 30 secondi. La propagazione delle modifiche alla gerarchia dei tag di criteri può richiedere fino a 30 minuti.
Non ho l'autorizzazione per leggere da una tabella con sicurezza a livello di colonna
Devi disporre del ruolo di lettore granulare o del ruolo di lettore mascherato a diversi livelli, ad esempio organizzazione, cartella, progetto e tag di criteri. Il ruolo Lettore granulare concede l'accesso ai dati non elaborati, mentre il ruolo Lettore mascherato concede l'accesso ai dati mascherati. Puoi utilizzare lo strumento per la risoluzione dei problemi IAM per verificare questa autorizzazione a livello di progetto.