Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze handleiding helpt u bij het tot stand brengen van gegevensbeveiliging in uw gespiegelde BigQuery in Microsoft Fabric.
Belangrijk
Wij ondersteunen mirroring voor Google BigQuery met on-premises data gateways (OPDG). OPDG 3000.286.6 of hoger wordt ondersteund. VNET wordt ook ondersteund.
Beveiligingsoverwegingen
U hebt gebruikersmachtigingen nodig voor uw BigQuery-database die de volgende machtigingen bevat:
bigquery.datasets.createbigquery.tables.listbigquery.tables.createbigquery.tables.exportbigquery.tables.getbigquery.tables.getDatabigquery.tables.updateDatabigquery.routines.getbigquery.routines.listbigquery.jobs.createstorage.buckets.createstorage.buckets.liststorage.objects.createstorage.objects.deletestorage.objects.listiam.serviceAccounts.signBlob
Metagegevens van tabellen ophalen en configuratie van wijzigingsgeschiedenis (vereist)
De rollen BigQueryAdmin en StorageAdmin moeten deze machtigingen bevatten. De volgende machtigingen zijn vereist om te bepalen of wijzigingsgeschiedenis is ingeschakeld en om informatie over de primaire sleutel of samengestelde sleutel op te halen.
De gebruiker moet ten minste één rol hebben toegewezen die toegang tot het BigQuery-exemplaar toestaat. Controleer de netwerkvereisten voor toegang tot uw BigQuery-gegevensbron. Als u mirroring gebruikt voor Google BigQuery voor On-Premises Data Gateway (OPDG), moet u OPDG versie 3000.286.6 of hoger hebben om geslaagde spiegeling in te schakelen.
Vereiste toestemmingen
Als u handmatig buckets wilt instellen (en dus niet de machtiging storage.buckets.create hoeft te verlenen), kunt u het volgende gebruiken:
bigquery.tables.getbigquery.tables.listbigquery.routines.getbigquery.routines.list
- Navigeer in uw Google Console naar Cloud Storage en selecteer Buckets.
- Selecteer Aanmaken en geef de bucket een naam in deze indeling (hoofdlettergevoelig):
<projectid>_fabric_staging_bucket - Zorg ervoor dat de locatie/regio van de bucket hetzelfde is als het GCP-project dat u van plan bent te spiegelen.
- Klik op Creëren. Het spiegelingssysteem detecteert automatisch de bucket.
Er kunnen meer machtigingen vereist zijn, afhankelijk van uw use-case. De minimaal vereiste machtigingen zijn bedoeld voor het werken met wijzigingsgeschiedenis en het verwerken van verschillende groottetabellen (tabellen groter dan 10 GB). Zelfs als u niet met tabellen werkt die groter zijn dan 10 GB, schakelt u al deze minimale machtigingen in om het succes van uw spiegelingsgebruik in te schakelen.
Wijzigingsgeschiedenis en tabelgegevens ophalen (vereist)
Zie de Google BigQuery-documentatie over vereiste bevoegdheden voor streaminggegevens, vereiste machtigingen voor toegang tot wijzigingsgeschiedenis en vereiste machtigingen voor het schrijven van queryresultaten voor meer informatie over machtigingen
De volgende machtigingen zijn vereist voor het lezen van de wijzigingsgeschiedenis en tabelgegevens.
Belangrijk
Gedetailleerde beveiliging die is ingesteld in het BigQuery-bronwarehouse, moet opnieuw worden geconfigureerd in de gespiegelde database in Microsoft Fabric. Zie gedetailleerde SQL-machtigingen in Microsoft Fabric voor meer informatie.
Vereiste toestemmingen
bigquery.tables.getDatabigquery.jobs.createbigquery.jobs.getbigquery.jobs.listbigquery.readsessions.createbigquery.readsessions.getData
Mogelijkheden voor wijzigingsgeschiedenis inschakelen (vereist)
Wijzigingsgeschiedenis moet zijn ingeschakeld voor de bigQuery-brontabellen met behulp van een van de volgende opties.
Optie 1: Machtiging inschakelen
bigquery.tables.update
Hiermee staat u het inschakelen van de wijzigingsgeschiedenis voor tabellen toe.
Optie 2: Tabeloptie inschakelen in GCP
Zorg ervoor dat de volgende tabeloptie is ingesteld op TRUE:
enable_change_history
Gegevens exporteren naar Google Cloud Storage voor fasering en kopiëren naar OneLake (vereist)
De volgende machtigingen zijn vereist voor het exporteren van BigQuery-gegevens naar Google Cloud Storage voor fasering en kopiëren naar OneLake.
Vereiste toestemmingen
bigquery.tables.exportstorage.objects.createstorage.objects.liststorage.buckets.getiam.serviceAccounts.signBlob
Google Cloud Storage Bucket voor staging (vereist)
Een Google Cloud Storage-bucket is vereist voor het exporteren van BigQuery-tabelgegevens voor fasering.
Opties voor het maken van buckets
Gebruik één van de volgende methoden:
Optie 1: Automatisch aanmaken van bucket toestaan
Geef de volgende machtiging:
storage.buckets.create
Optie 2: De staging bucket handmatig aanmaken
Maak een bucket met de volgende naamconventie: <your_project_id_in_lowercase>_fabric_staging_bucket
Vereisten voor buckets
- De bucket moet zich in dezelfde locatie/regio bevinden als de BigQuery-gegevensset.
- Het mirroringsysteem detecteert automatisch de bucket zodra deze bestaat.
Gegevenssets vermelden (vereist)
Vereiste toestemmingen
bigquery.datasets.get
Projecten vermelden (vereist)
Vereiste toestemmingen
resourcemanager.projects.get
Vereisten voor rollen en toegang
De rollen BigQuery-beheerder en Opslagbeheerder bevatten doorgaans de bovenstaande machtigingen.
Aan de gebruiker moet ten minste één rol worden toegewezen die toegang verleent tot het BigQuery-doelproject en de doelgegevenssets.
Netwerk- en gatewayvereisten
Controleer de netwerkvereisten voor toegang tot uw BigQuery-gegevensbron.
Als u Mirroring gebruikt voor Google BigQuery met de on-premises Gegevensgateway (OPDG), moet u het volgende toepassen:
- OPDG versie 3000.286.6 of hoger
Aanvullende notities
Mogelijk zijn er meer machtigingen vereist, afhankelijk van uw use-case. De hierboven vermelde machtigingen vertegenwoordigen de minimale vereiste voor:
- Werken met wijzigingsgeschiedenis
- Tabellen van verschillende grootten verwerken, inclusief tabellen die groter zijn dan 10 GB
Zelfs als u momenteel niet met tabellen werkt die groter zijn dan 10 GB, wordt het aanbevolen om alle minimale machtigingen in te schakelen om te zorgen voor een geslaagde spiegeling.
Voor meer informatie, zie:
- Vereiste bevoegdheden voor streaminggegevens
- Vereiste machtigingen voor toegang tot wijzigingsgeschiedenis
- Vereiste machtigingen voor het schrijven van queryresultaten
Belangrijk
Elke gedetailleerde beveiliging die is gedefinieerd in het BigQuery-bronwarehouse, moet opnieuw worden geconfigureerd in de gespiegelde database in Microsoft Fabric. Zie gedetailleerde SQL-machtigingen in Microsoft Fabric voor meer informatie.
Functies voor gegevensbescherming
U kunt kolomfilters en rijfilters op basis van predicaat op tabellen beveiligen voor rollen en gebruikers in Microsoft Fabric:
U kunt ook gevoelige gegevens van niet-beheerders maskeren met dynamische gegevensmaskering: