# #security #google-cloud-platform #google-bigquery #data-security
Вопрос:
У меня есть проект GCP, в котором я могу позволить пользователям делать все, что они хотят: они могут включать новые компоненты, они могут загружать данные в хранилище BigQuery/Cloud и т. Д. Единственное, чего они не могут сделать, — это создавать виртуальные машины.
Но я не хочу разрешать им загружать данные, потому что это конфиденциальные данные. Они могут изучать данные внутри GCP и работать с ними по своему усмотрению (это аналитический проект), но они не должны иметь возможности загружать данные.
Проблема в следующем: мы знаем, что можем заблокировать пользователям загрузку данных через BigQuery. Но они могут быть творческими. Они могут создавать скрипты python в блокнотах искусственного интеллекта и писать.csv, они могут создавать учетные записи служб и подключать внешние платформы и т. Д.
Таким образом, мы можем ограничить их загрузку результатов BQ или даже запретить им создавать учетные записи служб. Но мне интересно: что еще они могли бы сделать для загрузки данных?
Любые идеи здесь были бы очень полезны. Большое спасибо!
Комментарии:
1. Они могут делать фотографии и вводить данные в другом месте. Если ваши пользователи достаточно искушены, чтобы создавать сценарии на Python, они достаточно искушены, чтобы получать данные независимо от того, что вы делаете.
2. Если пользователи могут создавать учетные записи служб и назначать роли, они могут делать практически все, включая создание новых виртуальных машин. Чтение данных-это базовое разрешение, включенное в большинство ролей.
3. Изучали ли вы пользовательские роли? Какие роли в настоящее время выполняют ваши пользователи?
4. Спасибо всем, что поделились своими мыслями. Сегодня все находятся в группе пользователей, настроенной как «Редактор». Но я думаю, что начну с более ограниченного доступа, и, поскольку они «жалуются» на то, что они не могут сделать, я буду управлять каждым сценарием.
Ответ №1:
Поскольку вы дали им роль владельца проекта ,вы не можете запретить им загружать данные, создавать учетную запись службы и т. Д., Но вы можете следить за тем, что они делают.
1 — Используйте облачное ведение журнала для приема и анализа данных журнала из любого источника.
2 — Используйте облачную защиту от потери данных — DLP для защиты данных ваших клиентов и предоставления вашей команде доступа к выводам DLP, которые более актуальны для анализа.
3 — Используйте панель мониторинга облака для BigQuery (и других), чтобы просмотреть список таблиц, событий и отчетов об инцидентах, настраиваемых пользователем, а также диаграммы показателей проекта или показателей набора данных.
4.Попробуйте создать пользовательские роли в IAM для своей команды и назначить эти роли членам группы.
Комментарии:
1. Привет, Адам, спасибо, что поделился своими мыслями! Я думаю, что буду лучше работать над своими ролями в группах пользователей и изучу параметры мониторинга, которыми вы поделились. Я, вероятно, начну с более ограниченного доступа и усиленного мониторинга, что сейчас кажется самым безопасным вариантом.