Présentation

Dans BigQuery, les autorisations sont configurées au niveau de l'ensemble de données. Les équipes d'ingénierie des données gèrent souvent des ensembles de données comportant de nombreuses tables de données brutes volumineuses. Elles souhaitent cependant partager des sous-ensembles de ces tables avec certains analystes.

Par exemple, les analystes peuvent avoir accès à une version d'une table qui exclut les colonnes contenant des informations propres aux utilisateurs. Il se peut également qu'un utilisateur spécifique doive consulter uniquement certaines lignes d'une table ou d'une vue BigQuery donnée.

Dans cet atelier, vous allez apprendre à créer et à utiliser des vues autorisées dans BigQuery, ainsi qu'à appliquer des filtres au niveau des lignes à l'aide des informations sur l'utilisateur connecté.

Deux comptes utilisateur Google Cloud sont fournis dans cet atelier. Ainsi, vous pourrez vérifier les autorisations de la vue autorisée BigQuery en vous connectant avec le deuxième compte utilisateur.

Objectifs

Dans cet atelier, vous apprendrez à effectuer les tâches suivantes :

• Définir des autorisations dans des ensembles de données BigQuery
• Utiliser des vues autorisées pour fournir à vos audiences un accès en lecture seule à des sous-ensembles de tables
• Utiliser la fonction SESSION_USER() pour limiter l'accès à des lignes spécifiques d'une table ou d'une vue

Préparation

Pour chaque atelier, nous vous attribuons un nouveau projet Google Cloud et un nouvel ensemble de ressources pour une durée déterminée, sans frais.

1. Connectez-vous à Qwiklabs dans une fenêtre de navigation privée.

2. Vérifiez le temps imparti pour l'atelier (par exemple : 01:15:00) : vous devez pouvoir le terminer dans ce délai.
   Une fois l'atelier lancé, vous ne pouvez pas le mettre en pause. Si nécessaire, vous pourrez le redémarrer, mais vous devrez tout reprendre depuis le début.

3. Lorsque vous êtes prêt, cliquez sur Démarrer l'atelier.

4. Notez vos identifiants pour l'atelier (Nom d'utilisateur et Mot de passe). Ils vous serviront à vous connecter à Google Cloud Console.

5. Cliquez sur Ouvrir la console Google.

6. Cliquez sur Utiliser un autre compte, puis copiez-collez les identifiants de cet atelier lorsque vous y êtes invité.
   Si vous utilisez d'autres identifiants, des messages d'erreur s'afficheront ou des frais seront appliqués.

7. Acceptez les conditions d'utilisation et ignorez la page concernant les ressources de récupération des données.

Tâche 1 : Créer l'ensemble de données source

Dans cette tâche, vous allez créer dans BigQuery l'ensemble de données source qui sera utilisé tout au long de cet atelier.

Créer un ensemble de données BigQuery

1. Dans la console Google Cloud, dans le menu de navigation (), cliquez sur BigQuery, puis sur OK.
2. Pour créer un ensemble de données dans votre projet, cliquez sur les trois points à côté de l'ID du projet dans la section Explorateur, puis cliquez sur Créer un ensemble de données.
3. Saisissez source_data comme ID de l'ensemble de données, puis cliquez sur Créer l'ensemble de données (acceptez les autres valeurs par défaut).

Créer une table BigQuery avec des données sources

1. Cliquez sur Activer Cloud Shell pour ouvrir Cloud Shell. Si vous y êtes invité, cliquez sur Continuer, puis sur Autoriser.

2. Chargez les données sources dans une nouvelle table BigQuery en saisissant la commande suivante dans Cloud Shell :

bq load --autodetect $DEVSHELL_PROJ:source_data.events gs://cloud-training/gcpsec/labs/bq-authviews-source.csv

3. Dans la console BigQuery, examinez les données chargées : affichez le détail de .source_data.events dans la section Explorateur, puis cliquez sur Prévisualiser.

Remarque : Vous devrez peut-être actualiser le navigateur pour accéder à la table des événements. Remarque : Cette table contient des données simulées concernant des événements générés par les utilisateurs d'une application de visioconférence. Notez que chaque ligne contient des informations sur l'utilisateur ayant généré l'événement.

4. Pour vous assurer que l'étape suivante fonctionnera comme prévu, saisissez la requête suivante dans l'éditeur BigQuery.

update source_data.events set email= '{{{ user_1.username | "USERNAME2" }}}' where email='rhonda.burns@example-dev.com'

5. Cliquez sur Exécuter et attendez que les 68 lignes soient mises à jour avec la nouvelle adresse e-mail.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer l'ensemble de données source

Tâche 2 : Créer l'ensemble de données de l'analyste

Dans cette tâche, vous allez créer l'ensemble de données de l'analyste, une vue masquée pour les analystes, et enfin une seconde vue pour les utilisateurs connectés.

Créer un ensemble de données

1. Pour créer un ensemble de données dans votre projet, cliquez sur les trois points à côté de l'ID du projet dans la section Explorateur, puis cliquez sur Créer un ensemble de données.
2. Saisissez analyst_views comme ID de l'ensemble de données, puis cliquez sur Créer l'ensemble de données (acceptez les autres valeurs par défaut).

Créer une vue masquée pour les analystes

3. Dans l'éditeur BigQuery, saisissez la requête SQL suivante pour obtenir les données d'événements sans les informations spécifiques à l'utilisateur :

SELECT date, type, company, call_duration, call_type, call_num_users, call_os, rating, comment, session_id, dialin_duration, ticket_number, ticket_driver FROM `{{{ project_0.project_id | "PROJECT_ID" }}}.source_data.events`

4. Exécutez la requête et observez les résultats. Notez que les informations utilisateur ne sont pas incluses.
5. Enregistrez la requête saisie en tant que vue en cliquant sur Enregistrer > Enregistrer la vue.
6. Sélectionnez votre projet, puis l'ensemble de données analyst_views.
7. Nommez la table de destination no_user_info, puis cliquez sur Enregistrer. Notez que même si l'UI mentionne une table de destination, vous créez bien une vue, et non une table.
8. Vérifiez que la vue fonctionne en accédant à .analyst_views.no_user_info dans la section Explorateur. Les informations du schéma de la vue doivent s'afficher, sans les colonnes contenant les informations sur l'utilisateur.
9. Cliquez sur la vue no_user_info. Cliquez sur REQUÊTE > Dans un nouvel onglet, puis saisissez * dans l'instruction SELECT de sorte que la requête SQL ressemble à ce qui suit :

SELECT * FROM `{{{ project_0.project_id | "PROJECT_ID" }}}.analyst_views.no_user_info` LIMIT 1000

10. Exécutez la requête. Des résultats semblables à ceux de l'étape ci-dessus doivent s'afficher, mais sans les données utilisateur.

Créer une deuxième vue permettant de n'afficher que les lignes de l'utilisateur connecté

Ensuite, créez une deuxième vue à l'aide des informations suivantes :

1. Saisissez la requête dans l'éditeur BigQuery.

SELECT * FROM `{{{ project_0.project_id | "PROJECT_ID" }}}.source_data.events` WHERE email = SESSION_USER()

2. Cliquez sur Exécuter.

3. Enregistrez la requête saisie en tant que vue en cliquant sur Enregistrer > Enregistrer la vue.

4. Sélectionnez votre projet, puis l'ensemble de données analyst_views.

5. Nommez la table de destination row_filter_session_user, puis cliquez sur Enregistrer.

Remarque : Cette deuxième vue permet aux utilisateurs de consulter leurs propres événements, sans avoir accès à ceux des autres.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer l'ensemble de données de l'analyste

Tâche 3 : Sécuriser l'ensemble de données de l'analyste

Dans cette tâche, vous allez partager l'ensemble de données de l'analyste avec Username 2, et le sécuriser en attribuant le rôle Lecteur.

Partager l'ensemble de données

1. Dans la liste des ensembles de données à gauche de l'écran, cliquez sur l'ensemble de données analyst_views.

2. Sélectionnez ensuite Partage dans le panneau de droite, puis cliquez sur Autorisations.

3. Cliquez sur Ajouter un compte principal. Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du deuxième compte de l'atelier : .

4. Sélectionnez le rôle Lecteur de données BigQuery, puis cliquez sur Enregistrer.

5. Cliquez sur Fermer.

Tâche 4 : Sécuriser l'ensemble de données source

Dans cette tâche, vous allez sécuriser l'ensemble de données source. Vous ne souhaitez pas que des analystes et d'autres personnes extérieures à l'équipe d'ingénierie des données aient accès aux données brutes disponibles dans l'ensemble de données source. Vous allez donc limiter l'accès.

Vous voulez que ceux qui utilisent les vues que vous avez créées puissent consulter les données générées par les vues. Cela implique d'autoriser les vues, et non les utilisateurs.

Partager l'ensemble de données

1. Dans la liste des ensembles de données à gauche de l'écran, cliquez sur l'ensemble de données source_data.

2. Sélectionnez ensuite Partage dans le panneau de droite, puis cliquez sur Autorisations.

3. Développez le compte principal Lecteur de données BigQuery dans la liste des autorisations. Ensuite, cliquez sur l'icône Corbeille qui figure à côté, puis sur Supprimer pour confirmer. Cliquez sur Fermer.

4. Dans Partage, cliquez sur Autoriser les vues.

5. Dans la section Vues autorisées, sélectionnez les paramètres suivants.

Vue autorisée

no_user_info

6. Cliquez sur Ajouter une autorisation.

7. Ajoutez une entrée supplémentaire destinée à remplacer la vue existante, en spécifiant les paramètres suivants.

Vue autorisée

row_filter_session_user

8. Cliquez sur Ajouter une autorisation.

9. Cliquez sur Fermer.

Cliquez sur Vérifier ma progression pour valider l'objectif. Sécuriser les ensembles de données

Tâche 5 : Tester les paramètres de sécurité

Dans cette tâche, vous allez tester les paramètres de sécurité que vous avez appliqués lors des tâches précédentes.

Se connecter à la console Cloud en tant que deuxième utilisateur

1. Ouvrez un nouvel onglet dans la fenêtre de navigation privée.
2. Accédez à la console Cloud.
3. Cliquez sur l'icône d'utilisateur située en haut à droite de l'écran, puis sur Ajouter un compte.
4. Connectez-vous à la console Cloud avec le compte Username 2 fourni dans Qwiklabs.

Vérifier l'accès aux vues d'analyste

1. Dans la console Google Cloud, dans le menu de navigation (), cliquez sur BigQuery, puis sur OK.
2. Vérifiez que vous pouvez exécuter des requêtes sur la vue no_user_info en exécutant la requête suivante :

SELECT * FROM `analyst_views.no_user_info` WHERE type='register'

Le résultat qui s'affiche doit contenir tous les événements d'enregistrement de l'utilisateur figurant dans la table.

3. Vérifiez que vous pouvez interroger la vue row_filter_session_user et n'afficher que les lignes associées à votre compte en exécutant la requête suivante :

SELECT * FROM `analyst_views.row_filter_session_user`

Le résultat qui s'affiche doit contenir 68 lignes spécifiques au deuxième utilisateur Qwiklabs.

Vérifier l'accès à l'ensemble de données source_data

1. Essayez d'accéder directement aux données brutes de la table des événements à l'aide de la requête suivante :

SELECT * FROM `source_data.events`

Le message d'erreur Accès refusé indiquant que vous ne disposez pas des autorisations nécessaires doit s'afficher.

2. Essayez d'accéder à l'ensemble de données source_data depuis la section Explorateur de l'UI. Cet accès doit également être refusé.

Remarque : Le deuxième utilisateur Qwiklabs est autorisé à afficher les tables et les vues de l'ensemble de données analyst_views, mais ne peut afficher aucun contenu de l'ensemble de données source_data.

Lorsque l'utilisateur interroge la vue, celle-ci dispose des autorisations nécessaires pour accéder à la table de l'ensemble de données source_data. Elle peut ensuite renvoyer les données concernées à l'utilisateur.

La vue du filtre de ligne récupère l'adresse e-mail de l'utilisateur et s'en sert pour filtrer les lignes visibles. Chaque utilisateur qui interroge cette vue obtient des résultats différents, à savoir, pour être plus précis, les lignes pour lesquelles son adresse e-mail est indiquée dans la colonne d'adresse e-mail.

Félicitations !

Dans cet atelier, vous avez appris à effectuer les tâches suivantes :

• Définir des autorisations dans des ensembles de données BigQuery
• Utiliser des vues autorisées pour fournir à vos audiences un accès en lecture seule à des sous-ensembles de tables
• Utiliser la fonction SESSION_USER() pour limiter l'accès à des lignes spécifiques d'une table ou d'une vue

Terminer l'atelier

Une fois l'atelier terminé, cliquez sur Terminer l'atelier. Google Cloud Skills Boost supprime les ressources que vous avez utilisées, puis efface le compte.

Si vous le souhaitez, vous pouvez noter l'atelier. Sélectionnez un nombre d'étoiles, saisissez un commentaire, puis cliquez sur Envoyer.

Le nombre d'étoiles correspond à votre degré de satisfaction :

• 1 étoile = très insatisfait(e)
• 2 étoiles = insatisfait(e)
• 3 étoiles = ni insatisfait(e), ni satisfait(e)
• 4 étoiles = satisfait(e)
• 5 étoiles = très satisfait(e)

Si vous ne souhaitez pas donner votre avis, vous pouvez fermer la boîte de dialogue.

Pour soumettre des commentaires, suggestions ou corrections, veuillez accéder à l'onglet Assistance.

Copyright 2025 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms de société et de produit peuvent être des marques des sociétés auxquelles ils sont associés.