BigQuery & Dataform: Prepare-se para o Modo Act-As Estrito

0
2 min
12
Categories: Artigos

Dataform e BigQuery: Mudanças Importantes no Modo Act-As Estrito

A partir de 19 de janeiro de 2026, o Google Cloud Platform (GCP) implementará uma mudança significativa na forma como os serviços Dataform workflows, BigQuery notebooks, pipelines e preparações de dados operam. Esta atualização visa reforçar a segurança e a governança, exigindo o uso do modo act-as estrito em nível de projeto. Profissionais e equipes de dados devem se preparar para garantir a continuidade de suas operações e automações.

Essa medida é crucial para alinhar esses serviços aos princípios de segurança do Google Cloud, promovendo o uso do menor privilégio. Ignorar essa alteração pode resultar em falhas nos fluxos de trabalho e interrupções nas liberações automáticas, impactando diretamente a produtividade e a confiabilidade de seus projetos.

Entendendo o Modo Act-As Estrito no GCP

O modo act-as (agir como) é um conceito fundamental no Gerenciamento de Identidade e Acesso (IAM) do Google Cloud. Ele permite que uma entidade, como uma conta de serviço, execute ações com as permissões de outra entidade. O enforcement do modo act-as estrito significa que as operações desses serviços precisarão ter permissões explícitas e bem definidas para qualquer ação que realizem, especialmente ao interagir com outros recursos ou serviços.

Para Dataform workflows, BigQuery notebooks, pipelines e preparações de dados, isso se traduz na necessidade de maior granularidade no controle de acesso. O objetivo é garantir que cada tarefa ou processo só tenha as permissões estritamente necessárias para sua execução, reduzindo os riscos de segurança associados a permissões excessivas ou mal configuradas.

Por Que Contas de Serviço Personalizadas São Essenciais?

A principal recomendação para evitar interrupções é a substituição do agente de serviço padrão do Dataform por contas de serviço personalizadas em todos os seus repositórios. O agente de serviço padrão, por sua natureza, pode ter um escopo de permissões mais amplo do que o necessário para tarefas específicas, o que contraria o princípio do menor privilégio e pode representar um risco de segurança.

Ao criar e utilizar contas de serviço personalizadas, você pode atribuir apenas as permissões exatas que seus fluxos de trabalho necessitam para interagir com BigQuery, Cloud Storage e outros serviços. Isso não só aumenta a segurança, mas também oferece maior controle e transparência sobre as ações realizadas pelos seus processos de dados, sendo uma prática recomendada para qualquer ambiente de produção no Google Cloud.

Concedendo a Função de Usuário da Conta de Serviço

Além de configurar contas de serviço personalizadas, é fundamental garantir que o agente de serviço padrão do Dataform e outros “principais” relevantes (como usuários ou outros serviços que orquestram esses processos) recebam a função Service Account User (roles/iam.serviceAccountUser). Esta função é essencial, pois permite que uma entidade atue como (ou “personifique”) uma conta de serviço específica.

No contexto desta mudança, isso significa que o agente de serviço Dataform (ou qualquer principal que precise executar as operações) precisará da permissão para atuar como a conta de serviço personalizada que você atribuiu aos seus repositórios. Sem essa permissão explícita, as operações de orquestração não conseguirão utilizar as permissões das contas de serviço personalizadas, levando a falhas de acesso e execução.

Próximos Passos e Verificação de Permissões

Para garantir uma transição suave e evitar problemas a partir de janeiro de 2026, é imperativo que você revise suas configurações atuais o quanto antes. O Google Cloud disponibiliza documentação detalhada sobre como usar o modo act-as estrito, incluindo passos para verificar suas permissões existentes e configurar as novas.

Recomendamos fortemente que as equipes de dados comecem a implementar essas mudanças em ambientes de desenvolvimento ou homologação. Testar as configurações de contas de serviço e permissões antes da data de enforcement é a melhor forma de assegurar que seus workflows críticos permaneçam operacionais, seguros e sem interrupções quando a nova política entrar em vigor.

Conclusão

A implementação do modo act-as estrito para Dataform e BigQuery a partir de janeiro de 2026 é um passo importante para aprimorar a segurança e a governança no Google Cloud. Embora exija ajustes nas configurações de IAM, os benefícios de um controle de acesso mais granular e de um ambiente mais seguro são inegáveis. Ao adotar proativamente as contas de serviço personalizadas e configurar corretamente as permissões, você garante a estabilidade, a segurança e a conformidade de suas operações de dados no GCP.

Related posts

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *