이 가이드는 Microsoft Fabric의 미러된 BigQuery에서 데이터 보안을 설정하는 데 도움이 됩니다.
중요합니다
온-프레미스 OPDG(데이터 게이트웨이)를 사용하여 Google BigQuery에 대한 미러링을 지원합니다. OPDG 3000.286.6 이상이 지원됩니다. VNET도 지원됩니다.
보안 고려 사항
다음 권한이 포함된 BigQuery 데이터베이스에 대한 사용자 권한이 필요합니다.
bigquery.datasets.createbigquery.tables.listbigquery.tables.createbigquery.tables.exportbigquery.tables.getbigquery.tables.getDatabigquery.tables.updateDatabigquery.routines.getbigquery.routines.listbigquery.jobs.createstorage.buckets.createstorage.buckets.liststorage.objects.createstorage.objects.deletestorage.objects.listiam.serviceAccounts.signBlob
테이블 메타데이터 검색 및 변경 기록 구성(필수)
BigQueryAdmin 및 StorageAdmin 역할에는 이러한 권한이 포함되어야 합니다. 변경 기록을 사용할 수 있는지 여부를 확인하고 기본 키 또는 복합 키 정보를 검색하려면 다음 권한이 필요합니다.
사용자에게 BigQuery 인스턴스에 대한 액세스를 허용하는 역할이 하나 이상 할당되어야 합니다. BigQuery 데이터 원본에 액세스하려면 네트워킹 요구 사항을 확인합니다. Google BigQuery for On-Premises Data Gateway(OPDG)용 미러링을 사용하는 경우 성공적인 미러링을 사용하려면 OPDG 버전 3000.286.6 이상이 있어야 합니다.
필요한 권한
버킷을 수동으로 설정하고 storage.buckets.create 권한을 부여할 필요가 없도록 하려면 다음을 사용할 수 있습니다.
bigquery.tables.getbigquery.tables.listbigquery.routines.getbigquery.routines.list
- Google 콘솔 내 의 Cloud Storage 로 이동하여 버킷을 선택합니다.
-
만들기를 선택하고 이 형식으로 버킷의 이름을 지정합니다(대/소문자 구분).
<projectid>_fabric_staging_bucket - 버킷의 위치/지역이 미러링하려는 GCP 프로젝트와 동일한지 확인합니다.
- 선택하고생성합니다. 미러링 시스템에서 버킷을 자동으로 검색합니다.
사용 사례에 따라 더 많은 권한이 필요할 수 있습니다. 필요한 최소 권한은 변경 기록을 사용하고 다양한 크기의 테이블(10GB보다 큰 테이블)을 처리하는 데 사용됩니다. 10GB보다 큰 테이블로 작업하지 않더라도 미러링 사용의 성공을 위해 이러한 최소 권한을 모두 사용하도록 설정합니다.
변경 기록 및 테이블 데이터 검색(필수)
사용 권한에 대한 자세한 내용은 스트리밍 데이터에 필요한 권한, 변경 기록 액세스에 필요한 권한 및 쿼리 결과를 작성하기 위한 필수 권한에 대한 Google BigQuery 설명서를 참조하세요.
변경 기록 및 테이블 데이터를 읽으려면 다음 권한이 필요합니다.
중요합니다
원본 BigQuery 웨어하우스에 설정된 세분화된 보안은 Microsoft Fabric의 미러된 데이터베이스에서 다시 구성해야 합니다. 자세한 내용은 Microsoft Fabric의 SQL 세부 권한 관리를 참조하세요.
필요한 권한
bigquery.tables.getDatabigquery.jobs.createbigquery.jobs.getbigquery.jobs.listbigquery.readsessions.createbigquery.readsessions.getData
변경 기록 기능 사용(필수)
다음 옵션 중 하나를 사용하여 원본 BigQuery 테이블에서 변경 기록을 사용하도록 설정해야 합니다.
옵션 1: 사용 권한 활성화
bigquery.tables.update
테이블에서 변경 기록을 사용하도록 설정할 수 있습니다.
옵션 2: GCP에서 테이블 옵션 사용
다음 테이블 옵션이 다음으로 설정되어 있는지 확인합니다 TRUE.
enable_change_history
스테이징을 위해 Google Cloud Storage로 데이터 내보내기 및 OneLake로 복사(필수)
스테이징을 위해 BigQuery 데이터를 Google Cloud Storage로 내보내고 OneLake에 복사하려면 다음 권한이 필요합니다.
필요한 권한
bigquery.tables.exportstorage.objects.createstorage.objects.liststorage.buckets.getiam.serviceAccounts.signBlob
스테이징을 위한 Google Cloud Storage 버킷(필수)
스테이징을 위해 BigQuery 테이블 데이터를 내보내려면 Google Cloud Storage 버킷이 필요합니다.
버킷 만들기 옵션
다음 방법 중 하나를 사용합니다.
옵션 1: 자동 버킷 만들기 허용
다음 권한을 부여합니다.
storage.buckets.create
옵션 2: 스테이징 버킷 수동으로 만들기
다음 명명 규칙을 사용하여 버킷을 만듭니다. <your_project_id_in_lowercase>_fabric_staging_bucket
버킷 요구 사항
- 버킷은 BigQuery 데이터 세트와 동일한 위치/지역에 있어야 합니다.
- 미러링 시스템은 버킷이 있을 경우 자동으로 감지합니다.
데이터 세트 나열(필수)
필요한 권한
bigquery.datasets.get
프로젝트 나열(필수)
필요한 권한
resourcemanager.projects.get
역할 및 액세스 요구 사항
BigQuery 관리자 및 스토리지 관리자 역할에는 일반적으로 위에 나열된 권한이 포함됩니다.
대상 BigQuery 프로젝트 및 데이터 세트에 대한 액세스 권한을 부여하는 하나 이상의 역할이 사용자에게 할당되어야 합니다.
네트워킹 및 게이트웨이 요구 사항
BigQuery 데이터 원본에 액세스하려면 네트워킹 요구 사항을 확인합니다.
온-프레미스 OPDG(Data Gateway)에서 Google BigQuery용 미러링을 사용하는 경우 다음을 사용해야 합니다.
- OPDG 버전 3000.286.6 이상
추가 참고 사항
사용 사례에 따라 더 많은 권한이 필요할 수 있습니다. 위에 나열된 사용 권한은 다음 작업에 필요한 최소 값을 나타냅니다.
- 변경 기록 작업
- 10GB보다 큰 테이블을 포함하여 다양한 크기의 테이블 처리
현재 10GB보다 큰 테이블로 작업하지 않더라도 미러링에 성공하려면 모든 최소 권한을 사용하도록 설정하는 것이 좋습니다.
자세한 내용은 다음을 참조하십시오.
중요합니다
원본 BigQuery 웨어하우스에 정의된 세분화된 보안은 Microsoft Fabric의 미러된 데이터베이스에서 다시 구성해야 합니다. 자세한 내용은 Microsoft Fabric의 SQL 세부 권한 관리를 참조하세요.
데이터 보호 기능
Microsoft Fabric에서는 역할 및 사용자에 대해 테이블의 열 필터 및 조건자 기반 행 필터를 설정할 수 있습니다.
동적 데이터 마스킹을 사용하여 nonadmins에서 중요한 데이터를 마스킹할 수도 있습니다.