3 ขั้นตอนง่ายๆ เพื่อกำหนดการเข้าถึงข้อมูลระดับ Column บน Google BigQuery

เคยมีปัญหากับการต้องใช้งาน Table บน BigQuery ร่วมกับคนอื่นมั้ย? ถ้าใครไม่มี อยากให้ลองจินตนาการดูง่ายๆ ว่าถ้าเรามี Table ที่มี user หลากหลายกลุ่มมาใช้งานร่วมกัน แต่ต้องการให้บางคนเข้าถึงข้อมูลแค่บาง Column(s) เท่านั้น วันนี้จะพาทุกคนมารู้จัก “Policy tag” ที่จะมาช่วยแก้ปัญหานี้กัน!

ทำความรู้จัก Policy Tags กันก่อน Policy Tags เป็นฟีเจอร์นึงบน Data Catalog ที่จะให้คุณสร้าง tag ที่เหมาะสมตามการจัดหมวดหมู่ของข้อมูลสำหรับธุรกิจของคุณ โดยหลักการ คือ ติด tag เพื่อจำกัดสิทธิ์ และกำหนดว่าใครสามารถเข้าถึงข้อมูลใน tag นั้นๆ ได้

ตัวอย่างข้อมูล

Table “employees” นี้เก็บข้อมูลพนักงานของบริษัทแห่งหนึ่ง ซึ่งประกอบด้วย employee_id (รหัสพนักงาน), first_name (ชื่อ), last_name (นามสกุล), email (อีเมล), salary (เงินเดือน) , working_year (ปีที่ทำงาน), level (ระดับขั้นพนักงาน)

Employees Table stored in BigQuery

Fictional Demo Case ของเราในวันนี้

มีตำแหน่งงาน 2 ระดับที่เกี่ยวข้องกัน คือ Junior HR และ Senior HR โดยที่เราจะให้ Junior HR ไม่สามารถเข้าถึง Column ที่เป็นความลับสุดๆ ทั้ง 3 Columns ได้แก่ salary, working_year และ level บน Employees table ได้ แต่ Senior HR สามารถเข้าถึง ได้ทุก Columns

ปัญหานี้จะแก้ได้ด้วย Policy Tags ซึ่งทำง่ายมากเพียง 3 Steps เท่านั้น ก็สามารถจำกัดการเข้าถึงของ User ที่ไม่ต้องการใน Columns ลับเฉพาะกลุ่มได้แล้ว ขั้นตอนมีตามนี้

Step 1 สร้าง Policy tag taxonomy

เข้าไปที่ Data Catalog บน GCP Console เพื่อทำการสร้าง “Policy tag taxonomies” หรือ การกำหนด Policy level ให้กับลำดับชั้นความสำคัญของ Tag ข้อมูล

→ เลือกเมนู Policy tags และกด Create Taxonomy

→ ตั้งชื่อให้กับ Taxonomy ตามที่ต้องการ จากตัวอย่างด้านล่าง จะเป็นการตั้งชื่อ “HR Business Criticality” ให้เข้าใจง่ายว่า เป็น Tag ที่เกี่ยวกับการลำดับชั้นของข้อมูลสำหรับฝ่ายบุคคล

→ จากนั้นกำหนด Policy tag หรือ ชื่อลำดับชั้นหลัก ซึ่งสามารถกำหนดเป็น High/Medium/Low และอื่นๆ ตามความต้องการ หรือ ตามการกำหนดความสำคัญของข้อมูลได้

ใน Demo นี้ จะกำหนด Policy tag เป็น “High” สำหรับข้อมูลที่ความสำคัญมาก ไม่อนุญาตให้ Junior HR ดูได้ และกำหนด subtag เป็น “employment” เพื่อเจาะจงว่าข้อมูลที่มีความสำคัญมากของเราเนี่ย เป็นข้อมูลเกี่ยวกับการจ้างงาน

→ หลังกด Create ก็จะปรากฏ Policy tag taxonomy “HR Business Criticality” ขึ้นมาตามนี้เลย

เราต้องทำการ enable เพื่อจำกัดการเข้าถึงข้อมูลของ column ที่เราจะนำ Policy tag ไปแปะบน BigQuery ได้ โดยกดเลื่อนปุ่ม Enforce access control

Step 2 กำหนดสิทธิ์ให้กับคนที่เข้าถึงข้อมูลที่สำคัญมาก

สิทธิ์ที่ต้องมีเพื่อใช้งาน Policy tag สำหรับ user คนสำคัญของเรา หรือ พูดง่ายๆ คนที่เราต้องการให้เข้าถึง High-employment Policy Tag ที่เราสร้างไว้ คือ “Fine-Grained Reader”

โดยที่จะ Grant สิทธิ์นี้ผ่าน IAM & Admin จากด้านล่างจะเห็นได้ว่า มีการกำหนดสิทธิ์ “Fine-Grained Reader” ให้กับ Senior HR มโน ของเรา 3 members

Granting Fine-Grained Reader Role

Granted members with Fine-Grained Reader Role appeared on IAM Page

Step 3 แปะ Policy tag ให้กับ Columns บน BigQuery

มาถึงขั้นตอนสุดท้ายกันแล้ว เข้าไปที่ BigQuery Table กด edit schema จากนั้นเลือก Column ที่ต้องการ ติ้กรัว ๆ 3 Columns ที่ต้องการกำหนดสิทธิ์ (salary, working_year และ level) แล้วกด Add policy tag

เลือก Policy Tag ที่ต้องการ ซึ่งในที่นี้เราจะเลือก (HR Business Criticality > high) ที่เราทำไปด้านบน กด select เลย

ลองมาเทส สมรรถภาพ Policy tag ของเราด้วยการ Query บน BigQuery กัน

Test Case 1 : ให้ Senior HR มโนของเราลอง Select * ข้อมูลบน Table ดู

จะเห็นว่า Senior HR มโน ของเราเนี่ยสามารถเห็นข้อมูลทุก Column เลย รวมถึง Column ที่แปะ Policy tag ด้วย

Test Case 2 : ให้ Junior HR มโนของเราลอง Select * ข้อมูลบน Table ดู

Error!! Access Denied เนื่องจากไม่มีสิทธิ์การเข้าถึงทุกๆ Column นั่นเอง

Test Case 3 : ให้ Junior HR มโนของเราลอง Select เฉพาะ column ที่ไม่ได้แปะ Policy tag ผลลัพธ์คือ Junior HR มโน ของเราสามารถ Query column อื่นๆ ได้ปกติ

Sum up สั้นๆ ส่งท้ายกันนิดนึง :

3-Step Miracle เพื่อกำหนด Column-level security บน BigQuery จะเกี่ยวข้องกับ 3 Services บน GCP Console นั่นก็คือ Data Catalog ซึ่งใช้เพื่อกำหนด Policy tag taxonomy, IAM & Admin เพื่อ apply Policy tag ให้กับ user หรือ member และสุดท้าย BigQuery เพื่อ apply Policy tag ให้กับข้อมูล หรือ Column ที่ต้องการ

ปล. สำหรับ user/member ที่ไม่ได้ apply policy tag จะลำบากชีวิตนิดนึง Select * ไม่ได้ แต่ชีวิตไม่ยากขนาดนั้น เราเลือก column ที่ต้องการด้วยการ กด Ctrl+ Spacebar หรือ Click ชื่อ Field name (หรือ column) ที่ต้องการผ่านหน้า console ได้เลย

หากท่านใดสนใจข้อมูลเพิ่มในเรื่องของ Google Workspace, Google Cloud Platform หรือ Service อื่นๆ
ด้าน AI/Machine Learning อาทิ AI Platform, Computer Vision, Speech Recognition
ทาง Tangerine มีผู้เชี่ยวชาญคอยให้คำปรึกษาสามารถ
ติดต่อได้ที่อีเมล google.sales@tangerine.co.th หรือโทร 08-6788-4690 ได้ทันที

References:

https://cloud.google.com/bigquery/docs/column-level-security-intro

https://cloud.google.com/bigquery/docs/best-practices-policy-tags

Share on social media

ทำงานที่ไหนก็ปลอดภัยเสมือนอยู่ออฟฟิศกับ Secure Web Gateway on Cloud

รับมือได้ทุกสถานการณ์กับ “VMware: Anywhere Workspace Solution”

ทำไมเราควรมาใช้ระบบอีเมลบน Cloud?

Gmail ฟรี ต่างกับ G Suite อย่างไร?

All and More

G Suite Google Cloud Google Workspace

Google ประกาศอัพเดทความปลอดภัยให้กับไฟล์เอกสาร Google Drive

ตั้งแต่วันที่ September 13, 2021 เป็นต้นไป Google Drive จะมีการอัพเดทไฟล์เอกสารที่ถูกแชร์ให้มีความปลอดภัยมากยิ่งขึ้น โดยผู้ดูแลระบบ (Super Admin) สามารถเลือกดำเนินการปรับเปลี่ยนการตั้งค่าของโดเมนลูกค้า เพื่อป้องกันปัญหาการเปลี่ยนแปลงลิงก์ของไฟล์เอกสารได้

July 15, 2021 Encryption Google Docs Security

G Suite Google Cloud Google Workspace

อีกระดับของความปลอดภัยในการ Collaboration ในโลกแห่งการทำงานแบบ Hybrid Work ด้วย Google Workspace

วันนี้ Google มีเครื่องมือที่เพิ่มประสิทธิภาพในการติดต่อกันและทำสิ่งต่างๆ ร่วมกันได้มากขึ้นด้วย Google Workspace ไม่ว่าจะเป็นที่บ้าน ที่โรงเรียน และที่ทำงาน ซึ่งโลกปัจจุบันได้เผชิญกับวิกฤตการณ์โรคระบาดจากโควิด 19 ทำให้เกิด New normal แบบใหม่ในทุกภาคส่วน โดยเฉพาะภาคส่วนธุรกิจที่ต้องมีการปรับตัวให้สามารถทำงานได้อย่างต่อเนื่อง นับจากนั้นการทำงานแบบ Hybrid Work กลายเป็นบรรทัดฐานสำหรับพนักงานจำนวนมาก การรักษาความปลอดภัย ความเป็นส่วนตัวของข้อมูล และความไว้วางใจยังคงเป็นรากฐานที่ทำให้สามารถทำงานร่วมกันได้ทุกที่ ทุกเวลา โดย Google ได้ให้ความสำคัญในรากฐานเหล่านี้ตั้งแต่ต้น ฉะนั้นวันนี้ Google จึงได้ประกาศความสามารถใหม่ซึ่งเป็นวิธีในการเสริมความแข็งแกร่งให้กับรากฐานนี้ใน Google Workspace

July 15, 2021 Encryption Google Docs Security

G Suite Google Cloud Google Workspace

การเปลี่ยนแปลงโปรแกรม Backup and Sync ให้เปลี่ยนเป็น Drive for desktop

เมื่อเดือนกุมภาพันธ์ พ.ศ.2564 Google ได้มีการประกาศ รวม 2 ฟังก์ชั่นการซิงค์ที่มีอยู่ 2 ตัว คือ Backup and Sync และ Drive File Stream มาเป็นฟังก์ชั่นเดียวที่มีชื่อว่า Drive for desktop ที่จะช่วยให้การทำงานของทุกคนง่ายขึ้น โดยผลการเปลี่ยนแปลงนี้จะกระทบกับทั้งผู้ใช้งาน gmail.com, G Suite และ Google Workspace ในทุก package

July 13, 2021 Backup and Sync Drive File Stream Drive for desktop

Google Cloud Google Cloud Platform

How to หา insight จากข้อมูลเชิงพื้นที่ ด้วย Data Studio และ BigQuery GIS

เมื่อพูดถึง Data Warehouse เรามักจะนึกถึงระบบฐานข้อมูลขนาดใหญ่ที่มีข้อมูลระดับ Big Data ไว้เพื่อใช้ในการวิเคราะห์ต่างๆ โดยมีข้อมูลที่หลากหลายในเชิงธุรกิจ อาทิ ยอดขาย, รายชื่อลูกค้า, ร้านค้าที่ใช้บริการ ฯลฯ แต่ข้อมูลอีกรูปแบบหนึ่งที่อาจเป็นข้อจำกัดของ Data Warehouse ทั่วไป คือการวิเคราะห์ข้อมูลเชิงพื้นที่ เช่น สาขาที่ตั้ง, latitude, longitude ภูมิภาค, จังหวัด, รหัสไปรษณีย์ ร่วมกับข้อมูลทางธุรกิจที่เรามีอยู่ ซึ่งผลลัพะ์ทำให้ insight ที่ได้ยิ่งมีคุณค่ามากขึ้นและเป็นประโยชน์ต่อธุรกิจของเรา

July 9, 2021 BI BigQuery GIS

Highlight Networking

ทำงานที่ไหนก็ปลอดภัยเสมือนอยู่ออฟฟิศกับ Secure Web Gateway on Cloud

ในช่วงหลายปีที่ผ่านมา นับเป็นเรื่องปกติที่บริษัทไม่ว่าจะขนาดเล็กหรือใหญ่ล้วนมีการลงทุนกับระบบเครือข่าย และการป้องกันความปลอดภัยภายในระบบเครือข่ายของตนเองอย่างเข้มแข็ง เพื่อปกป้องข้อมูลและระบบแอพพลิเคชันที่มีความสำคัญยิ่งสำหรับองค์กรจากภัยคุกคามภายนอก ไม่ว่าจะเป็น Next Generation Firewalls, Network IPS, Web Proxy หรือ Email Security Gateway ก็ตาม ช่วยเพิ่มมั่นใจให้กับบริษัทว่าพนักงานที่นั่งทำงาน และเข้าถึงอินเตอร์เน็ตอยู่หลังอุปกรณ์เหล่านี้จะได้รับการปกป้องจากภัยคุกคามที่อาจเกิดขึ้นได้

June 28, 2021 VPN