Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta guía le ayuda a establecer la seguridad de los datos en BigQuery reflejada en Microsoft Fabric.
Importante
Soportamos la sincronización para Google BigQuery con puertas de enlace de datos locales (OPDG). Se admite OPDG 3000.286.6 o posterior. También se admite VNET.
Consideraciones de seguridad
Necesita permisos de usuario para la base de datos de BigQuery que contenga los permisos siguientes:
bigquery.datasets.createbigquery.tables.listbigquery.tables.createbigquery.tables.exportbigquery.tables.getbigquery.tables.getDatabigquery.tables.updateDatabigquery.routines.getbigquery.routines.listbigquery.jobs.createstorage.buckets.createstorage.buckets.liststorage.objects.createstorage.objects.deletestorage.objects.listiam.serviceAccounts.signBlob
Recuperar metadatos de tabla y configuración del historial de cambios (obligatorio)
Los roles BigQueryAdmin y StorageAdmin deben incluir estos permisos. Los permisos siguientes son necesarios para determinar si el historial de cambios está habilitado y para recuperar la clave principal o la información de clave compuesta.
El usuario debe tener al menos un rol asignado que permita el acceso a la instancia de BigQuery. Compruebe los requisitos de red para acceder al origen de datos de BigQuery. Si usa la creación de reflejos para Google BigQuery para la puerta de enlace de datos local (OPDG), debe tener opDG versión 3000.286.6 o superior para habilitar la creación de reflejo correcta.
Permisos necesarios
Para establecer manualmente cubos (y evitar la necesidad de conceder el permiso storage.buckets.create), puede usar:
bigquery.tables.getbigquery.tables.listbigquery.routines.getbigquery.routines.list
- Vaya a Almacenamiento en la nube en la consola de Google y seleccione Cubos.
- Seleccione Crear y asigne un nombre al cubo en este formato (distingue mayúsculas de minúsculas):
<projectid>_fabric_staging_bucket - Asegúrese de que la ubicación/región del bucket sea la misma que el proyecto de GCP que planea reflejar.
- Selecciona Crear. El sistema de réplica detectará automáticamente el bucket.
Se podrían requerir más permisos en función del caso de uso. Los permisos mínimos necesarios son para trabajar con el historial de cambios y controlar varias tablas de tamaño (tablas de más de 10 GB). Incluso si no trabaja con tablas superiores a 10 GB, habilite todos estos permisos mínimos para garantizar el éxito del uso del Espejo.
Recuperar el historial de cambios y los datos de tabla (obligatorios)
Para obtener más información sobre los permisos, consulte la documentación de Google BigQuery sobre los privilegios necesarios para los datos de streaming, los permisos necesarios para el acceso al historial de cambios y los permisos necesarios para escribir los resultados de la consulta.
Los permisos siguientes son necesarios para leer el historial de cambios y los datos de la tabla.
Importante
Cualquier seguridad granular establecida en el almacén de BigQuery de origen debe volver a configurarse en la base de datos reflejada de Microsoft Fabric. Para más información, consulte Permisos pormenorizados de SQL en Microsoft Fabric.
Permisos necesarios
bigquery.tables.getDatabigquery.jobs.createbigquery.jobs.getbigquery.jobs.listbigquery.readsessions.createbigquery.readsessions.getData
Habilitación de las funcionalidades del historial de cambios (obligatorio)
El historial de cambios debe estar habilitado en las tablas bigQuery de origen mediante una de las siguientes opciones.
Opción 1: Habilitar permiso
bigquery.tables.update
Permite habilitar el historial de cambios en las tablas.
Opción 2: Habilitar la opción de tabla en GCP
Asegúrese de que la siguiente opción de tabla esté establecida en TRUE:
enable_change_history
Exportación de datos a Google Cloud Storage para almacenamiento provisional y copia en OneLake (obligatorio)
Los permisos siguientes son necesarios para exportar datos de BigQuery a Google Cloud Storage para el almacenamiento provisional y copiarlos en OneLake.
Permisos necesarios
bigquery.tables.exportstorage.objects.createstorage.objects.liststorage.buckets.getiam.serviceAccounts.signBlob
Cubo de almacenamiento en la nube de Google para almacenamiento provisional (obligatorio)
Se requiere un cubo de Google Cloud Storage para exportar datos de tabla bigQuery para el almacenamiento provisional.
Opciones de creación de cubos
Siga uno de estos procedimientos:
Opción 1: Permitir la creación automática de cubos
Conceda el permiso siguiente:
storage.buckets.create
Opción 2: Crear manualmente el cubo de almacenamiento provisional
Cree un cubo con la siguiente convención de nomenclatura: <your_project_id_in_lowercase>_fabric_staging_bucket
Requisitos del bucket
- El cubo debe estar en la misma ubicación o región que el conjunto de datos de BigQuery.
- El sistema de creación de reflejo detectará automáticamente el cubo una vez que exista.
Enumerar conjuntos de datos (obligatorios)
Permisos necesarios
bigquery.datasets.get
Enumerar proyectos (obligatorios)
Permisos necesarios
resourcemanager.projects.get
Requisitos de rol y acceso
Los roles Administrador de BigQuery y Administrador de almacenamiento suelen incluir los permisos enumerados anteriormente.
Al usuario se le debe asignar al menos un rol que conceda acceso al proyecto y los conjuntos de datos de BigQuery de destino.
Requisitos de red y puerta de enlace
Compruebe los requisitos de red para acceder al origen de datos de BigQuery.
Si está utilizando Reflejo para Google BigQuery con la puerta de enlace de datos (OPDG) en las instalaciones, debe usar:
- OPDG versión 3000.286.6 o posterior
Notas adicionales
Es posible que se necesiten más permisos en función del caso de uso. Los permisos enumerados anteriormente representan el mínimo necesario para:
- Trabajar con el historial de cambios
- Control de tablas de varios tamaños, incluidas las tablas de más de 10 GB
Incluso si actualmente no está trabajando con tablas de más de 10 GB, se recomienda habilitar todos los permisos mínimos para garantizar la creación de reflejo correcta.
Para obtener más información, consulte:
- Privilegios necesarios para datos de streaming
- Permisos necesarios para el acceso al historial de cambios
- Permisos necesarios para escribir resultados de consulta
Importante
Cualquier seguridad granular definida en el almacenamiento de BigQuery de origen debe volver a configurarse en la base de datos reflejada en Microsoft Fabric. Para más información, consulte Permisos pormenorizados de SQL en Microsoft Fabric.
Características de protección de datos
Puede asegurar los filtros de columna y los filtros de fila basados en predicados de las tablas para roles y usuarios en Microsoft Fabric.
- Seguridad de nivel de fila en el almacenamiento de datos de Fabric
- Seguridad de nivel de columna en el almacenamiento de datos de Fabric
También puede enmascarar datos confidenciales de usuarios que no son administradores mediante el enmascaramiento dinámico de datos: