Informações gerais

Ao usar o BigQuery, as permissões são configuradas no nível do conjunto de dados. Muitas vezes, as equipes de engenharia de dados têm conjuntos com várias tabelas grandes de dados brutos, mas querem compartilhar apenas uma parte delas com públicos específicos para análise.

Por exemplo, pode ser necessário que os analistas tenham acesso a uma versão da tabela sem informações específicas dos usuários, ou que um usuário só tenha acesso a linhas específicas de uma tabela ou visualização do BigQuery.

Neste laboratório, você vai aprender a criar e usar visualizações autorizadas no BigQuery. Você também vai aprender a filtrar linhas usando as informações do usuário conectado.

Este laboratório fornece dois usuários do Google Cloud. Isso serve para verificar como as permissões de visualizações autorizadas do BigQuery estão funcionando para diferentes usuários.

Objetivos

Neste laboratório, você vai aprender a fazer o seguinte:

• Definir permissões nos conjuntos de dados do BigQuery.
• Usar visualizações autorizadas para oferecer acesso somente leitura a partes das tabelas.
• Usar a função SESSION_USER() para limitar o acesso a linhas específicas de uma tabela/visualização.

Configuração e requisitos

Para cada laboratório, você recebe um novo projeto do Google Cloud e um conjunto de recursos por um determinado período e sem custos financeiros.

1. Faça login no Qwiklabs em uma janela anônima.

2. Confira o tempo de acesso do laboratório (por exemplo, 1:15:00) e finalize todas as atividades nesse prazo.
   Não é possível pausar o laboratório. Você pode reiniciar o desafio, mas vai precisar refazer todas as etapas.

3. Quando tudo estiver pronto, clique em Começar o laboratório.

4. Anote as credenciais (Nome de usuário e Senha). É com elas que você vai fazer login no Console do Google Cloud.

5. Clique em Abrir Console do Google.

6. Clique em Usar outra conta, depois copie e cole as credenciais deste laboratório nos locais indicados.
   Se você usar outras credenciais, vai receber mensagens de erro ou cobranças.

7. Aceite os termos e pule a página de recursos de recuperação.

Tarefa 1. Criar o conjunto de dados de origem

Nesta tarefa, você vai criar o conjunto de dados de origem do BigQuery que será usado no laboratório.

Criar um novo conjunto de dados do BigQuery

1. No console do Google Cloud, no Menu de navegação (), clique em BigQuery e em Concluído.
2. Crie um novo conjunto de dados no seu projeto clicando nos três pontos ao lado do ID correspondente na seção Explorador e depois em Criar conjunto de dados.
3. Insira source_data como o ID do conjunto de dados e clique em Criar conjunto de dados (aceite os outros valores padrão).

Criar uma nova tabela do BigQuery com os dados de origem

1. Clique em Ativar o Cloud Shell para abrir. Se for solicitado, clique em Continuar e em Autorizar.

2. No Cloud Shell, insira o comando a seguir para carregar os dados de origem em uma nova tabela do BigQuery:

bq load --autodetect $DEVSHELL_PROJ:source_data.events gs://cloud-training/gcpsec/labs/bq-authviews-source.csv

3. No console do BigQuery, revise os dados carregados em .source_data.events na seção Explorador e clique em Visualizar.

Observação: pode ser necessário atualizar o navegador para conferir a tabela events. Observação: essa tabela tem dados simulados referentes a eventos gerados pelos usuários de um aplicativo de videoconferência. Cada linha tem informações sobre o usuário que gerou o evento.

4. Para garantir que uma etapa futura vai funcionar conforme planejado, insira a seguinte consulta no Editor do BigQuery.

update source_data.events set email= '{{{ user_1.username | "USERNAME2" }}}' where email='rhonda.burns@example-dev.com'

5. Clique em Executar e espere as 68 linhas serem atualizadas com um novo endereço de e-mail.

Clique em Verificar meu progresso para conferir o objetivo. Criar o conjunto de dados de origem

Tarefa 2. Criar o conjunto de dados para os analistas

Nesta tarefa, você vai criar um conjunto de dados e uma visualização editada para os analistas, e uma segunda visualização para usuários conectados.

Criar um conjunto de dados

1. Crie um novo conjunto de dados no seu projeto clicando nos três pontos ao lado do ID correspondente na seção Explorador e depois em Criar conjunto de dados.
2. Informe analyst_views como o ID do conjunto de dados e clique em Criar conjunto de dados (aceite os outros valores padrão).

Criar uma visualização editada para analistas

3. No Editor do BigQuery, insira o seguinte SQL para que os dados de eventos não incluam informações específicas dos usuários:

SELECT date, type, company, call_duration, call_type, call_num_users, call_os, rating, comment, session_id, dialin_duration, ticket_number, ticket_driver FROM `{{{ project_0.project_id | "PROJECT_ID" }}}.source_data.events`

4. Execute a consulta e confira os resultados. Note que as informações dos usuários não estão incluídas.
5. Para salvar a consulta como uma visualização, clique em Salvar > Salvar visualização.
6. Selecione o projeto e o conjunto de dados analyst_views.
7. Informe no_user_info como o nome da tabela de destino e clique em Salvar. A interface vai informar que você está criando uma tabela de destino, mas na realidade é uma visualização.
8. Para conferir se a visualização funciona, acesse a seção Explorador e depois .analyst_views.no_user_info. As colunas com as informações dos usuários não devem aparecer no esquema da visualização.
9. Clique na visualização no_user_info. Clique em CONSULTA > Em uma nova guia e insira * na instrução SELECT. A consulta SQL deve ficar assim:

SELECT * FROM `{{{ project_0.project_id | "PROJECT_ID" }}}.analyst_views.no_user_info` LIMIT 1000

10. Execute a consulta. O resultado deve ser parecido com o da etapa acima, mas sem os dados dos usuários.

Criar uma segunda visualização apenas com as linhas do usuário conectado

Agora, crie uma segunda visualização com as seguintes informações.

1. Insira a consulta no Editor do BigQuery.

SELECT * FROM `{{{ project_0.project_id | "PROJECT_ID" }}}.source_data.events` WHERE email = SESSION_USER()

2. Clique em Executar.

3. Para salvar a consulta como uma visualização, clique em Salvar > Salvar visualização.

4. Selecione o projeto e o conjunto de dados analyst_views.

5. Informe row_filter_session_user como o nome da tabela de destino e clique em Salvar.

Observação: essa segunda visualização faz com que o usuário só tenha acesso aos próprios eventos e não aos de outras pessoas.

Clique em Verificar meu progresso para conferir o objetivo. Criar o conjunto de dados para os analistas

Tarefa 3. Proteger o conjunto de dados dos analistas

Nesta tarefa, você vai compartilhar o conjunto de dados dos analistas com o Username 2 e proteger o acesso a ele usando o papel de Leitor.

Compartilhar o conjunto de dados

1. Na lista de conjuntos de dados à esquerda da tela, clique em analyst_views.

2. Depois selecione Compartilhamento no painel à direita e clique em Permissões.

3. Clique em Adicionar principal. No campo Novos principais, insira o endereço de e-mail da segunda conta do laboratório: .

4. Selecione o papel Leitor de dados do BigQuery e clique em Salvar.

5. Clique em Fechar.

Tarefa 4. Proteger o conjunto de dados de origem

Nesta tarefa, você vai proteger o conjunto de dados de origem. Você não quer que analistas ou outras pessoas de fora da equipe tenham acesso às informações do conjunto de dados de origem, então vamos aplicar mais restrições.

Quem usar as visualizações precisa ter acesso aos dados que elas geram. Para isso, é necessário autorizar as visualizações, não os usuários.

Compartilhar o conjunto de dados

1. Na lista de conjuntos de dados à esquerda da tela, clique em source_data.

2. Depois selecione Compartilhamento no painel à direita e clique em Permissões.

3. Abra a principal Leitor de dados do BigQuery na lista de permissões, clique no ícone de lixeira ao lado dela e depois em Remover para confirmar. Clique em Fechar.

4. Em Compartilhamento, clique em Autorizar visualizações .

5. Em Visualizações autorizadas, escolha as configurações a seguir.

Visualização autorizada

no_user_info

6. Clique em Adicionar autorização.

7. Insira outra entrada com essas configurações para substituir a visualização atual.

Visualização autorizada

row_filter_session_user

8. Clique em Adicionar autorização.

9. Clique em Fechar.

Clique em Verificar meu progresso para conferir o objetivo. Proteger os conjuntos de dados

Tarefa 5. Testar as configurações de segurança

Nesta tarefa, você vai testar as configurações de segurança que aplicou nas tarefas anteriores.

Fazer login no console do Cloud como o segundo usuário

1. Abra outra guia na janela anônima.
2. Acesse o console do Cloud.
3. Clique no ícone do usuário no canto superior direito da tela e depois em Adicionar conta.
4. Faça login no console do Cloud com o Username 2 incluído no Qwiklabs.

Conferir o acesso às visualizações dos analistas

1. No console do Google Cloud, no Menu de navegação (), clique em BigQuery e em Concluído.
2. Para verificar se a visualização no_user_info está funcionando conforme planejado, execute esta consulta:

SELECT * FROM `analyst_views.no_user_info` WHERE type='register'

O resultado deve ser um conjunto com todos os eventos de registro de usuários na tabela.

3. Para confirmar se a visualização row_filter_session_user só mostra as linhas associadas à sua conta, execute a seguinte consulta:

SELECT * FROM `analyst_views.row_filter_session_user`

O resultado deve ser um conjunto com 68 linhas específicas para o segundo usuário do Qwiklabs.

Verificar o acesso ao conjunto de dados de origem

1. Use a seguinte consulta para tentar acessar diretamente os dados brutos na tabela de eventos:

SELECT * FROM `source_data.events`

Será mostrada a mensagem de erro Acesso negado, indicando que você não tem as permissões necessárias.

2. Tente navegar até o conjunto de dados "source_data" pela seção Explorador da interface. Isso também não deve ser permitido.

Observação: o segundo usuário do Qwiklabs tem permissão para ler tabelas e visualizações no conjunto de dados analyst_views, mas não para source_data.

Quando o usuário faz uma consulta na visualização, ela mesma tem as permissões necessárias para a tabela no conjunto de dados source_data, então a visualização mostra esses dados para o usuário.

A visualização mostra as linhas filtradas de acordo com o endereço de e-mail do usuário. Cada usuário que fizer essa consulta vai ter resultados diferentes, porque eles vão incluir apenas as linhas que correspondem ao e-mail dele.

Parabéns!

Neste laboratório, você aprendeu a:

• Definir permissões nos conjuntos de dados do BigQuery.
• Autorizar visualizações para fornecer aos usuários acesso para ler subconjuntos de tabelas.
• Usar a função SESSION_USER() para limitar o acesso a linhas específicas de uma tabela/visualização.

Finalize o laboratório

Clique em Terminar o laboratório após a conclusão. O Google Cloud Ensina remove os recursos usados e limpa a conta por você.

Você vai poder avaliar sua experiência no laboratório. Basta selecionar o número de estrelas, digitar um comentário e clicar em Enviar.

O número de estrelas indica o seguinte:

• 1 estrela = muito insatisfeito
• 2 estrelas = insatisfeito
• 3 estrelas = neutro
• 4 estrelas = satisfeito
• 5 estrelas = muito satisfeito

Feche a caixa de diálogo se não quiser enviar feedback.

Para enviar seu feedback, fazer sugestões ou correções, use a guia Suporte.

Copyright 2025 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos podem ser marcas registradas das empresas a que estão associados.