Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa guida consente di stabilire la sicurezza dei dati in BigQuery con mirroring in Microsoft Fabric.
Importante
Supportiamo il mirroring per Google BigQuery con i Data Gateway On-Premises (OPDG). È supportato OPDG 3000.286.6 o versione successiva. È supportata anche la rete virtuale.
Considerazioni sulla sicurezza
Sono necessarie autorizzazioni utente per il database BigQuery che contiene le autorizzazioni seguenti:
bigquery.datasets.createbigquery.tables.listbigquery.tables.createbigquery.tables.exportbigquery.tables.getbigquery.tables.getDatabigquery.tables.updateDatabigquery.routines.getbigquery.routines.listbigquery.jobs.createstorage.buckets.createstorage.buckets.liststorage.objects.createstorage.objects.deletestorage.objects.listiam.serviceAccounts.signBlob
Recuperare i metadati della tabella e la configurazione della cronologia delle modifiche (obbligatorio)
I ruoli BigQueryAdmin e StorageAdmin devono includere queste autorizzazioni. Per determinare se la cronologia delle modifiche è abilitata e per recuperare le informazioni sulla chiave primaria o sulla chiave composita, sono necessarie le autorizzazioni seguenti.
L'utente deve avere almeno un ruolo assegnato che consenta l'accesso all'istanza di BigQuery. Controllare i requisiti di rete per accedere all'origine dati BigQuery. Se si usa il mirroring per Google BigQuery per On-Premises Data Gateway (OPDG), è necessario disporre di OPDG versione 3000.286.6 o successiva per abilitare correttamente il mirroring.
Autorizzazioni necessarie
Per stabilire manualmente i bucket senza dover concedere l'autorizzazione storage.buckets.create, è possibile usare:
bigquery.tables.getbigquery.tables.listbigquery.routines.getbigquery.routines.list
- Passare a Archiviazione cloud all'interno di Google Console e selezionare Bucket.
- Selezionare Crea e denominare il bucket in questo formato (con distinzione tra maiuscole e minuscole):
<projectid>_fabric_staging_bucket - Verificare che la posizione o l'area del bucket corrisponda a quella del progetto GCP di cui si prevede di eseguire il mirroring.
- Fare clic su Crea. Il sistema di mirroring rileverà automaticamente il bucket.
A seconda del caso d'uso, potrebbero essere necessarie altre autorizzazioni. Le autorizzazioni minime necessarie sono per l'uso della cronologia delle modifiche e la gestione di varie tabelle di dimensioni (tabelle superiori a 10 GB). Anche se non si utilizzano tabelle di dimensioni superiori a 10 GB, abilitare tutte queste autorizzazioni minime per consentire il successo dell'utilizzo del mirroring.
Recuperare la cronologia delle modifiche e i dati della tabella (obbligatorio)
Per altre informazioni sulle autorizzazioni, vedere la documentazione di Google BigQuery sui privilegi necessari per lo streaming dei dati, sulle autorizzazioni necessarie per l'accesso alla cronologia delle modifiche e sulle autorizzazioni necessarie per la scrittura dei risultati delle query
Per leggere la cronologia delle modifiche e i dati della tabella sono necessarie le autorizzazioni seguenti.
Importante
Qualsiasi sicurezza granulare stabilita nel warehouse BigQuery di origine deve essere riconfigurata nel database replicato in Microsoft Fabric. Per altre informazioni, vedere Autorizzazioni granulari di SQL in Microsoft Fabric.
Autorizzazioni necessarie
bigquery.tables.getDatabigquery.jobs.createbigquery.jobs.getbigquery.jobs.listbigquery.readsessions.createbigquery.readsessions.getData
Abilitazione delle funzionalità cronologia modifiche (obbligatorio)
La cronologia delle modifiche deve essere abilitata nelle tabelle BigQuery di origine usando una delle opzioni seguenti.
Opzione 1: Abilitare l'autorizzazione
bigquery.tables.update
Consente di abilitare la cronologia delle modifiche nelle tabelle.
Opzione 2: Abilitare l'opzione tabella in GCP
Verificare che l'opzione tabella seguente sia impostata su TRUE:
enable_change_history
Esportare i dati in Google Cloud Storage per la gestione temporanea e la copia in OneLake (obbligatorio)
Le autorizzazioni seguenti sono necessarie per esportare i dati BigQuery in Google Cloud Storage per la gestione temporanea e copiarli in OneLake.
Autorizzazioni necessarie
bigquery.tables.exportstorage.objects.createstorage.objects.liststorage.buckets.getiam.serviceAccounts.signBlob
Bucket di Google Cloud Storage per la gestione temporanea (obbligatorio)
Per esportare i dati della tabella BigQuery per la gestione temporanea, è necessario un bucket di Google Cloud Storage.
Opzioni di creazione bucket
Usare uno degli approcci seguenti:
Opzione 1: Consenti la creazione automatica di bucket
Concedere l'autorizzazione seguente:
storage.buckets.create
Opzione 2: Creare manualmente il bucket di staging
Creare un bucket con la convenzione di denominazione seguente: <your_project_id_in_lowercase>_fabric_staging_bucket
Requisiti del bucket
- Il bucket deve trovarsi nella stessa posizione o nella stessa area del set di dati BigQuery.
- Il sistema di mirroring rileverà automaticamente il bucket una volta esistente.
Elencare i set di dati (obbligatorio)
Autorizzazioni necessarie
bigquery.datasets.get
Elencare i progetti (obbligatorio)
Autorizzazioni necessarie
resourcemanager.projects.get
Requisiti di ruolo e accesso
I ruoli di amministratore e amministratore di ArchiviazioneBigQuery includono in genere le autorizzazioni elencate in precedenza.
All'utente deve essere assegnato almeno un ruolo che concede l'accesso al progetto e ai set di dati BigQuery di destinazione.
Requisiti di rete e gateway
Controllare i requisiti di rete per accedere all'origine dati BigQuery.
Se si usa il *Mirroring* per Google BigQuery con il Data Gateway locale (OPDG), è necessario usare:
- OPDG versione 3000.286.6 o successiva
Note aggiuntive
A seconda del caso d'uso, potrebbero essere necessarie altre autorizzazioni. Le autorizzazioni elencate in precedenza rappresentano il minimo necessario per:
- Uso della cronologia delle modifiche
- Gestione delle tabelle di varie dimensioni, incluse le tabelle superiori a 10 GB
Anche se attualmente non si lavora con tabelle di dimensioni superiori a 10 GB, è consigliabile abilitare tutte le autorizzazioni minime per garantire il corretto mirroring.
Per ulteriori informazioni, vedere:
- Privilegi necessari per lo streaming dei dati
- Autorizzazioni necessarie per l'accesso alla cronologia delle modifiche
- Autorizzazioni necessarie per la scrittura dei risultati delle query
Importante
Qualsiasi sicurezza granulare definita nel warehouse BigQuery di origine deve essere riconfigurata nel database replicato in Microsoft Fabric. Per altre informazioni, vedere Autorizzazioni granulari di SQL in Microsoft Fabric.
Funzionalità di protezione dei dati
È possibile proteggere i filtri di colonna e i filtri di riga basati su predicato nelle tabelle ai ruoli e agli utenti in Microsoft Fabric:
- Sicurezza a livello di riga nel data warehousing di Fabric
- Sicurezza a livello di colonna in Fabric data warehousing
È anche possibile mascherare i dati sensibili da non amministratori usando la maschera dati dinamica: