Zugriffssteuerung

Überblick

BigQuery verwendet zum Verwalten des Zugriffs auf Ressourcen die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM). Sie können den Zugriff auf eine Modellressource gewähren. Dazu weisen Sie einem Nutzer, einer Gruppe oder einem Dienstkonto mindestens eine BigQuery-IAM-Rolle zu. Die Berechtigungen von BigQuery ML sind in den BigQuery-IAM-Rollen enthalten.

Diese Seite enthält Details zu den BigQuery ML-Berechtigungen und -Rollen von Cloud Identity and Access Management. Weitere Informationen zu Zugriffssteuerungen in BigQuery finden Sie auf dieser Seite.

BigQuery ML-Berechtigungen

In der folgenden Tabelle werden die für BigQuery ML verfügbaren Berechtigungen beschrieben.

Weitere Informationen zu den Versionen von BigQuery ML finden Sie in den Versionshinweisen.

Berechtigung Beschreibung
bigquery.models.create Neue Modelle erstellen.
bigquery.models.delete Modelle löschen.
bigquery.models.getData Modelldaten abrufen. Zum Abrufen der Modellmetadaten benötigen Sie bigquery.models.getMetadata.
bigquery.models.getMetadata Modellmetadaten abrufen. Zum Abrufen der Modelldaten benötigen Sie bigquery.models.getData.
bigquery.models.list Modelle und Metadaten zu Modellen auflisten.
bigquery.models.updateData Modelldaten aktualisieren. Zum Aktualisieren von Modellmetadaten benötigen Sie bigquery.models.updateMetadata.
bigquery.models.updateMetadata Modellmetadaten aktualisieren. Zum Aktualisieren von Modelldaten benötigen Sie bigquery.models.updateData.
bigquery.models.create und bigquery.models.getData ML-Vorgänge ausführen: ML.PREDICT, ML.WEIGHTS, ML.TRAINING_INFO und ML.FEATURE_INFO.

Rollen

In der folgenden Tabelle sind die vordefinierten Cloud IAM-Rollen für BigQuery und die jeweiligen Berechtigungen der einzelnen Rollen aufgeführt. BigQuery ML-Berechtigungen werden zusammen mit den BigQuery-Berechtigungen aufgelistet. Beachten Sie, dass jede Berechtigung für einen bestimmten Ressourcentyp gilt.

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/bigquery.admin BigQuery-Administrator Berechtigungen zum Verwalten aller Ressourcen im Projekt. Es können alle Daten im Projekt verwaltet und Jobs von anderen Nutzern abgebrochen werden, die im Projekt ausgeführt werden.
  • bigquery.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/bigquery.connectionAdmin BigQuery-VerbindungsadministratorBeta
  • bigquery.connections.*
roles/bigquery.connectionUser BigQuery-VerbindungsnutzerBeta
  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.use
roles/bigquery.dataEditor BigQuery-Dateneditor

Bei Anwendung auf Datasets erteilt dataEditor die Berechtigung zum:

  • Lesen der Metadaten des Datasets und Auflisten der Tabellen im Dataset.
  • Erstellen, Aktualisieren, Abrufen und Löschen der Tabellen des Datasets

Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht die Rolle zusätzlich das Erstellen neuer Datasets.

  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.create
  • bigquery.tables.delete
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.list
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Dataset
roles/bigquery.dataOwner BigQuery-Dateninhaber

Bei Anwendung auf Datasets erteilt dataOwner die Berechtigung zum:

  • Lesen, Aktualisieren und Löschen des Datasets.
  • Erstellen, Aktualisieren, Abrufen und Löschen der Tabellen des Datasets

Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht die Rolle zusätzlich das Erstellen neuer Datasets.

  • bigquery.datasets.*
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Dataset
roles/bigquery.dataViewer BigQuery-Datenbetrachter

Bei Anwendung auf Datasets erteilt dataViewer die Berechtigung zum:

  • Lesen der Metadaten des Datasets und Auflisten der Tabellen im Dataset.
  • Lesen der Daten und Metadaten aus den Tabellen des Datasets.

Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht die Rolle auch die Aufzählung aller Datasets im Projekt. Zum Ausführen der Jobs sind jedoch zusätzliche Rollen erforderlich.

  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Dataset
roles/bigquery.jobUser BigQuery-Jobnutzer Berechtigungen zum Ausführen von Jobs im Projekt, einschließlich Abfragen Mit dieser Rolle kann das Vorhandensein aller Jobs geprüft und die eigenen Jobs können aufgezählt und abgebrochen werden.
  • bigquery.jobs.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/bigquery.metadataViewer BigQuery-Metadaten-Betrachter

Bei Anwendung auf Projekt- oder Organisationsebene bietet metadataViewer Berechtigungen für Folgendes:

  • Alle Datasets im Projekt auflisten
  • Alle Tabellen und Ansichten auflisten sowie Metadaten für alle Tabellen und Ansichten im Projekt lesen

Für die Ausführung von Jobs sind weitere Rollen erforderlich.

  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.get
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/bigquery.readSessionUser BigQuery-Lesesitzungsnutzer Zugriff zum Erstellen und Verwenden von Lesesitzungen
  • bigquery.readsessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceAdmin BigQuery-Ressourcenadministrator Beta Alle BigQuery-Ressourcen verwalten.
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.user BigQuery-Nutzer Berechtigungen zum Ausführen von Jobs im Projekt, einschließlich Abfragen. Die Nutzerrolle kann die eigenen Jobs aufzählen und stornieren sowie Datasets in einem Projekt aufzählen. Darüber hinaus ermöglicht die Rolle das Erstellen neuer Datasets im Projekt. Dem Ersteller wird für diese neuen Datasets die Rolle bigquery.dataOwner zugewiesen.
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.jobs.create
  • bigquery.jobs.list
  • bigquery.models.list
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.list
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.list
  • bigquery.transfers.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt

Benutzerdefinierte Rollen

Neben den vordefinierten Rollen unterstützt BigQuery ML auch benutzerdefinierte Rollen. Weitere Informationen finden Sie in der Cloud IAM-Dokumentation unter Benutzerdefinierte Rollen erstellen und verwalten.

Kunden, die benutzerdefinierte Rollen mit BigQuery ML verwendet haben, sollten beachten, dass derzeit neue Berechtigungen für BigQuery ML verfügbar sind, diese jedoch erst ab dem 6. Juni 2019 wirksam werden. Kunden mit benutzerdefinierten Rollen sollten spätestens bis zum 6. Juni zu diesen Berechtigungen migrieren. Vordefinierte IAM-Rollen und einfache Rollen sind von dieser Änderung nicht betroffen.

Weitere Informationen zu den Versionen von BigQuery ML finden Sie in den Versionshinweisen.