Descripción general

Cuando usas BigQuery, los permisos se configuran al nivel del conjunto de datos. Con frecuencia, los equipos de ingeniería de datos trabajan con conjuntos de datos que tienen muchas tablas de gran tamaño con datos sin procesar, pero quieren compartir subconjuntos de esas tablas con analistas específicos.

Por ejemplo, los analistas podrían tener acceso a una versión de una tabla que excluya las columnas con información específica del usuario. O, tal vez, un usuario en particular podría ver solo filas específicas de una determinada tabla o vista de BigQuery.

En este lab, aprenderás a crear y usar vistas autorizadas en BigQuery. También aprenderás a filtrar datos a nivel de fila a partir de información sobre el usuario que accedió a su cuenta.

Este lab proporcionará dos usuarios de Google Cloud. Esto es así para que puedas verificar los permisos de vista autorizada de BigQuery accediendo con un usuario diferente.

Objetivos

En este lab, aprenderás a realizar las siguientes tareas:

• Establecer permisos en los conjuntos de datos de BigQuery
• Usar vistas autorizadas para brindar a públicos específicos acceso de solo lectura a subconjuntos de tablas
• Usar la función SESSION_USER() para limitar el acceso a filas específicas dentro de una tabla o vista

Configuración y requisitos

En cada lab, recibirá un proyecto de Google Cloud y un conjunto de recursos nuevos por tiempo limitado y sin costo adicional.

1. Accede a Qwiklabs desde una ventana de incógnito.

2. Ten en cuenta el tiempo de acceso del lab (por ejemplo, 1:15:00) y asegúrate de finalizarlo en el plazo asignado.
   No existe una función de pausa. Si lo necesita, puede reiniciar el lab, pero deberá hacerlo desde el comienzo.

3. Cuando esté listo, haga clic en Comenzar lab.

4. Anote las credenciales del lab (el nombre de usuario y la contraseña). Las usarás para acceder a la consola de Google Cloud.

5. Haga clic en Abrir Google Console.

6. Haga clic en Usar otra cuenta, copie las credenciales para este lab y péguelas en el mensaje emergente que aparece.
   Si usa otras credenciales, se generarán errores o incurrirá en cargos.

7. Acepta las condiciones y omite la página de recursos de recuperación.

Tarea 1. Crea el conjunto de datos de origen

En esta tarea, crearás en BigQuery el conjunto de datos de origen que usarás en el lab.

Crea un conjunto de datos nuevo de BigQuery

1. En el menú de navegación () de la consola de Google Cloud, haz clic en BigQuery y, luego, en Listo.
2. Crea un nuevo conjunto de datos dentro de tu proyecto haciendo clic en los tres puntos junto al ID de tu proyecto en la sección Explorador y, luego, haz clic en Crear un conjunto de datos.
3. Escribe source_data en ID del conjunto de datos y haz clic en Crear un conjunto de datos (acepta los demás valores predeterminados).

Crea una nueva tabla de BigQuery con los datos de origen

1. Haz clic en Activar Cloud Shell para abrirlo. Si se te solicita, haz clic en Continuar y, luego, en Autorizar.

2. Para cargar los datos de origen en una nueva tabla en BigQuery, ingresa lo siguiente en Cloud Shell:

bq load --autodetect $DEVSHELL_PROJ:source_data.events gs://cloud-training/gcpsec/labs/bq-authviews-source.csv

3. En la consola de BigQuery, para revisar los datos cargados, desglosa .source_data.events en la sección Explorador y haz clic en Vista previa.

Nota: Quizás debas actualizar el navegador para ver la tabla de eventos. Nota: Esta tabla contiene datos simulados relacionados con los eventos que generaron los usuarios de una aplicación de videoconferencia. Ten en cuenta que cada fila contiene información sobre el usuario que generó el evento.

4. Para asegurarte de que un paso futuro funcionará como está previsto, ingresa la siguiente consulta en el Editor de BigQuery.

update source_data.events set email= '{{{ user_1.username | "USERNAME2" }}}' where email='rhonda.burns@example-dev.com'

5. Haz clic en Ejecutar y espera a que se actualicen las 68 filas con una nueva dirección de correo electrónico.

Haz clic en Revisar mi progreso para verificar el objetivo. Crear el conjunto de datos de origen

Tarea 2. Crea el conjunto de datos para analistas

En esta tarea, crearás el conjunto de datos para analistas, una vista limitada también para analistas y una segunda vista para los usuarios que hayan accedido a su cuenta.

Crea un conjunto de datos

1. Crea un nuevo conjunto de datos dentro de tu proyecto haciendo clic en los tres puntos junto al ID de tu proyecto en la sección Explorador y, luego, haz clic en Crear un conjunto de datos.
2. Ingresa analyst_views como el ID del conjunto de datos y haz clic en Crear un conjunto de datos (acepta los demás valores predeterminados).

Crea una vista limitada para analistas

3. Ingresa en el área del Editor de BigQuery la siguiente secuencia SQL para obtener datos de eventos sin incluir información específica del usuario:

SELECT date, type, company, call_duration, call_type, call_num_users, call_os, rating, comment, session_id, dialin_duration, ticket_number, ticket_driver FROM `{{{ project_0.project_id | "PROJECT_ID" }}}.source_data.events`

4. Ejecuta la consulta y revisa los resultados. Verás que no se incluye la información del usuario.
5. Para guardar la consulta ingresada como una vista, haz clic en Guardar > Guardar vista.
6. Selecciona tu proyecto y el conjunto de datos analyst_views.
7. Ingresa no_user_info como nombre de la tabla de destino y haz clic en Guardar. Ten en cuenta que, aunque la IU la muestra como tabla de destino, solo crearás una vista, no una tabla.
8. Para asegurarte de que la vista funcione, navega por la sección Explorador hasta .analyst_views.no_user_info. Deberías ver la información del esquema para la vista, que excluye las columnas de información del usuario.
9. Haz clic en la vista no_user_info. Haz clic en Consulta y, luego, ingresa * en la sentencia SELECT para que la consulta en SQL se vea así:

SELECT * FROM `{{{ project_0.project_id | "PROJECT_ID" }}}.analyst_views.no_user_info` LIMIT 1000

10. Ejecuta la consulta. Deberías ver resultados similares a los del paso anterior, pero sin datos del usuario.

Crea una segunda vista en la que se muestren solo las filas correspondientes al usuario que accedió a su cuenta

Después, crea una segunda vista con la siguiente información.

1. Ingresa la Consulta en el Editor de BigQuery.

SELECT * FROM `{{{ project_0.project_id | "PROJECT_ID" }}}.source_data.events` WHERE email = SESSION_USER()

2. Haz clic en Ejecutar.

3. Para guardar la consulta ingresada como una vista, haz clic en Guardar > Guardar vista.

4. Selecciona tu proyecto y el conjunto de datos analyst_views.

5. Ingresa el nombre de tabla de destino row_filter_session_user y haz clic en Guardar.

Nota: Esta segunda vista permite a los usuarios ver sus propios eventos, pero no los de otros.

Haz clic en Revisar mi progreso para verificar el objetivo. Crear el conjunto de datos para analistas

Tarea 3. Protege el conjunto de datos para analistas

En esta tarea, compartirás el conjunto de datos para analistas con Username 2 y lo protegerás asignando el rol de Visualizador.

Comparte el conjunto de datos

1. En el listado de conjuntos de datos ubicado a la izquierda de la pantalla, haz clic en el conjunto de datos analyst_views.

2. Luego, en el panel derecho selecciona Compartir y haz clic en Administrar permisos.

3. Haz clic en Agregar principal. En el campo Principales nuevas, ingresa la dirección de correo electrónico de la segunda cuenta del lab: .

4. Selecciona el rol de Visualizador de datos de BigQuery y haz clic en Guardar.

5. Haz clic en Cerrar.

Tarea 4. Protege el conjunto de datos de origen

En esta tarea, protegerás el conjunto de datos de origen. Los analistas y personas ajenas al equipo de ingeniería de datos no deberían tener acceso a los datos sin procesar disponibles en el conjunto de datos de origen, por lo que tendrás que restringir el acceso.

Las personas que usen las vistas que creaste deberían poder ver los datos que estas muestran. Para eso, deberás autorizar las vistas y no a los usuarios.

Comparte el conjunto de datos

1. En el listado de conjuntos de datos ubicado a la izquierda de la pantalla, haz clic en el conjunto de datos source_data.

2. Luego, en el panel derecho selecciona Compartir y haz clic en Administrar permisos.

3. Expande la principal Visualizador de datos de BigQuery de la lista de permisos y haz clic en el ícono de la papelera que está junto a él; luego haz clic en Quitar para confirmar. Haz clic en Cerrar.

4. En Compartir, haz clic en Autorizar vistas .

5. En Vistas autorizadas, elige los siguientes párametros de configuración.

Vista autorizada

no_user_info

6. Haz clic en Agregar autorización.

7. Agrega otra entrada con esta configuración para reemplazar la vista existente.

Vista autorizada

row_filter_session_user

8. Haz clic en Agregar autorización.

9. Haz clic en Cerrar.

Haz clic en Revisar mi progreso para verificar el objetivo. Proteger los conjuntos de datos

Tarea 5. Pon a prueba la configuración de seguridad

En esta tarea, pondrás a prueba la configuración de seguridad que aplicaste en las tareas anteriores.

Accede a la consola de Cloud como el segundo usuario

1. Abre otra pestaña en tu ventana de incógnito.
2. Navega a la consola de Cloud.
3. Haz clic en el ícono de usuario en la esquina superior derecha de la pantalla y, luego, en Agregar cuenta.
4. Accede a la consola de Cloud con el usuario Username 2 proporcionado por Qwiklabs.

Verifica el acceso a las vistas para analistas

1. En el menú de navegación () de la consola de Google Cloud, haz clic en BigQuery y, luego, en Listo.
2. Para verificar que puedes ejecutar consultas en la vista no_user_info, ejecuta la siguiente consulta:

SELECT * FROM `analyst_views.no_user_info` WHERE type='register'

Deberías ver un conjunto de resultados con todos los eventos de registro de usuarios dentro de la tabla.

3. Para verificar que puedes consultar la vista row_filter_session_user, viendo solamente las filas asociadas a tu cuenta, ejecuta la siguiente consulta:

SELECT * FROM `analyst_views.row_filter_session_user`

Deberías ver un conjunto de resultados con 68 filas específicas del segundo usuario de Qwiklabs.

Prueba el acceso al conjunto de datos de origen

1. Intenta acceder a los datos sin procesar de la tabla de eventos con la siguiente consulta:

SELECT * FROM `source_data.events`

Verás el mensaje de error Acceso denegado, que indica que no tienes los permisos necesarios.

2. Intenta navegar hasta el conjunto de datos source_data a través de la sección Explorador de la IU. Esta acción tampoco debería estar permitida.

Nota: El segundo usuario de Qwiklabs tiene permisos para ver tablas y vistas del conjunto de datos analyst_views, pero no tiene permisos para ver nada del conjunto de datos source_data.

Cuando el usuario consulta la vista, esta dispone de los permisos necesarios para operar con la tabla del conjunto de datos source_data y, luego, mostrar esos datos al usuario.

La vista de filtrado de filas obtiene la dirección de correo electrónico del usuario y la usa para filtrar las filas visibles. Cada usuario que consulte esta vista obtendrá resultados diferentes, que incluirán específicamente las filas que tengan su correo electrónico en la columna correspondiente.

¡Felicitaciones!

En este lab, aprendiste a hacer las siguientes tareas:

• Establecer permisos en los conjuntos de datos de BigQuery
• Autorizar vistas para brindar a públicos específicos acceso de solo lectura a subconjuntos de tablas
• Usar la función SESSION_USER() para limitar el acceso a filas específicas dentro de una tabla o vista

Finalice su lab

Cuando haya completado el lab, haga clic en Finalizar lab. Google Cloud Skills Boost quitará los recursos que usó y limpiará la cuenta.

Tendrá la oportunidad de calificar su experiencia en el lab. Seleccione la cantidad de estrellas que corresponda, ingrese un comentario y haga clic en Enviar.

La cantidad de estrellas indica lo siguiente:

• 1 estrella = Muy insatisfecho
• 2 estrellas = Insatisfecho
• 3 estrellas = Neutral
• 4 estrellas = Satisfecho
• 5 estrellas = Muy satisfecho

Puede cerrar el cuadro de diálogo si no desea proporcionar comentarios.

Para enviar comentarios, sugerencias o correcciones, use la pestaña Asistencia.

Copyright 2025 Google LLC. Todos los derechos reservados. Google y el logotipo de Google son marcas de Google LLC. El resto de los nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que están asociados.