BigQuery有哪些安全特性?
BigQuery是一个安全性高的云端数据仓库,具有多层级权限控制、数据加密、私有网络、审计和隔离方案等安全特性。
以下是一些示例代码:
- 数据加密
BigQuery使用SSE(Server-side Encryption)通过Google管理的加密密钥来自动加密数据。您也可以使用客户管理的加密密钥(CMEK)来保护数据。以下是一个示例代码:
生成客户管理的加密密钥
key_name = 'projects/{}/locations/{}/keyRings/{}/cryptoKeys/{}'.format( project_id, location, keyring_name, key_name )
加密数据
table_ref = client.dataset(dataset_id).table(table_id) table = client.get_table(table_ref) table = client.update_table_encryption( table, encryption_configuration=bigquery.EncryptionConfiguration( kms_key_name=key_name ) )
- 多层级权限控制
BigQuery的权限模型基于Google Cloud IAM(Identity and Access Management)。您可以使用Cloud IAM来授予用户、服务账号和组织对数据资源的访问权限。以下是示例代码:
创建一个新的用户
user_email = 'newuser@example.com' user = iam.Types.User(email=user_email)
将用户添加到BigQuery的读取者角色中
policy = client.get_iam_policy(dataset_ref) policy.bindings.append( iam.Binding( role='roles/bigquery.dataViewer', members=[user] ) ) policy = client.set_iam_policy(dataset_ref, policy)
- 私有网络
使用VPC Service Controls,您可以创建一个私有网络,并将其与BigQuery数据资源一起使用。以下是示例代码:
创建一个新的私有VPC网络
network_name = 'my-network' network = compute.Network(name=network_name, auto_create_subnetworks=False) network = compute.networks().insert(project=project, body=network).execute()
将VPC Service Controls添加到BigQuery数据集
service_name = 'bigquery.googleapis.com' resource = 'projects/{}/datasets/{}'.format(project, dataset_id) policy = accesscontextmanager.AccessPolicy( name='policy', parent='organizations/{}'.format(org_id) ) policy = accesscontextmanager.AccessPolicyServiceClient().create_access_policy(policy) access_level = accesscontextmanager.AccessLevel( title='BigQuery access level', name='access_level', basic=accesscontextmanager.BasicLevel(), conditions=[ accesscontextmanager
下一篇:BigQuery有太多嵌套视图等