Zugriffssteuerung

Überblick

BigQuery verwendet zum Verwalten des Zugriffs auf Ressourcen die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM). Um Zugriff auf eine Modellressource zu gewähren, weisen Sie einem Nutzer, einer Gruppe oder einem Dienstkonto eine oder mehrere IAM-Rollen zu. Die Berechtigungen von BigQuery ML sind in den IAM-Rollen enthalten.

Diese Seite enthält Details zu IAM-Berechtigungen und -Rollen für BigQuery ML. Weitere Informationen zu Zugriffssteuerungen in BigQuery finden Sie auf dieser Seite.

BigQuery ML-Berechtigungen

In der folgenden Tabelle werden die für BigQuery ML verfügbaren Berechtigungen beschrieben.

Weitere Informationen zu den Versionen von BigQuery ML finden Sie in den Versionshinweisen.

Berechtigung	Beschreibung
`bigquery.jobs.create` `bigquery.models.create` `bigquery.models.getData` `bigquery.models.updateData`	Neues Modell mit der Anweisung `CREATE MODEL` erstellen
`bigquery.jobs.create` `bigquery.models.create` `bigquery.models.getData` `bigquery.models.updateData` `bigquery.models.updateMetadata`	Vorhandenes Modell mit der Anweisung `CREATE OR REPLACE MODEL` ersetzen
`bigquery.models.delete`	Modell mit der models.delete API löschen
`bigquery.jobs.create` `bigquery.models.delete`	Modell mit der `DROP MODEL`-Anweisung löschen
`bigquery.models.getMetadata`	Modellmetadaten mit der models.get API abrufen
`bigquery.models.list`	Modelle und Metadaten zu Modellen mithilfe der models.list API auflisten
`bigquery.models.updateMetadata`	Aktualisieren Sie die Modellmetadaten mit der models.delete API. Wenn Sie eine Ablaufzeit ungleich null für das Modell festlegen oder aktualisieren, ist außerdem die Berechtigung `bigquery.models.delete` erforderlich.
`bigquery.jobs.create` `bigquery.models.getData`	Führen Sie Bewertung, Vorhersage, Modell- und Featureinspektionen mit `ML.EVALUATE`, `ML.PREDICT`, `ML.TRAINING_INFO` und `ML.WEIGHTS` usw. aus.
`bigquery.jobs.create` `bigquery.models.export`	Modell exportieren

Rollen

In der folgenden Tabelle sind die vordefinierten IAM-Rollen für BigQuery und die jeweiligen Berechtigungen der einzelnen Rollen aufgeführt. BigQuery ML-Berechtigungen werden zusammen mit den BigQuery-Berechtigungen aufgelistet. Beachten Sie, dass jede Berechtigung für einen bestimmten Ressourcentyp gilt.

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/bigquery.admin`	BigQuery-Administrator	Berechtigungen zum Verwalten aller Ressourcen im Projekt. Kann damit alle Daten im Projekt verwalten und Jobs von anderen Nutzern abbrechen, die im Projekt ausgeführt werden.	bigquery.* resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/bigquery.connectionAdmin`	BigQuery-Verbindungsadministrator		bigquery.connections.*
`roles/bigquery.connectionUser`	BigQuery-Verbindungsnutzer		bigquery.connections.get bigquery.connections.getIamPolicy bigquery.connections.list bigquery.connections.use
`roles/bigquery.dataEditor`	BigQuery-Datenbearbeiter	Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für: Daten und Metadaten für die Tabelle oder Ansicht lesen und aktualisieren. Die Tabelle oder Ansicht löschen. Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden. Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für: Metadaten des Datasets lesen und Tabellen im Dataset auflisten. Tabellen des Datasets erstellen, aktualisieren, abrufen und löschen. Bei Anwendung auf Projekt- oder Organisationsebene können Sie durch diese Rolle zusätzlich neue Datasets erstellen.	bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.datasets.updateTag bigquery.models.* bigquery.routines.* bigquery.tables.create bigquery.tables.delete bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list bigquery.tables.update bigquery.tables.updateData bigquery.tables.updateTag resourcemanager.projects.get resourcemanager.projects.list	Tabelle oder Ansicht
`roles/bigquery.dataOwner`	BigQuery-Dateninhaber	Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für: Daten und Metadaten für die Tabelle oder Ansicht lesen und aktualisieren. Tabelle oder Ansicht freigeben. Die Tabelle oder Ansicht löschen. Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden. Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für: Das Lesen, Aktualisieren und Löschen des Datasets. Tabellen des Datasets erstellen, aktualisieren, abrufen und löschen. Bei Anwendung auf Projekt- oder Organisationsebene können Sie durch diese Rolle zusätzlich neue Datasets erstellen.	bigquery.datasets.* bigquery.models.* bigquery.routines.* bigquery.tables.* resourcemanager.projects.get resourcemanager.projects.list	Tabelle oder Ansicht
`roles/bigquery.dataViewer`	BigQuery-Datenbetrachter	Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für: Daten und Metadaten aus der Tabelle oder Ansicht lesen. Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden. Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für: Metadaten des Datasets lesen und Tabellen im Dataset auflisten. Daten und Metadaten aus den Tabellen des Datasets lesen. Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht diese Rolle die Aufzählung aller Datasets im Projekt. Für die Ausführung von Jobs sind jedoch weitere Rollen erforderlich.	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.export bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list	Tabelle oder Ansicht
`roles/bigquery.jobUser`	BigQuery-Jobnutzer	Berechtigungen zum Ausführen von Jobs im Projekt, einschließlich Abfragen.	bigquery.jobs.create resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/bigquery.metadataViewer`	BigQuery Metadata-Betrachter	Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für: Metadaten aus der Tabelle oder Ansicht lesen. Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden. Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für: Tabellen und Ansichten im Dataset auflisten. Metadaten aus den Tabellen und Ansichten des Datasets lesen. Bei Anwendung auf Projekt- oder Organisationsebene gewährt diese Rolle Berechtigungen für: Alle Datasets auflisten und Metadaten für alle Datasets im Projekt lesen. Alle Tabellen und Ansichten auflisten sowie Metadaten für alle Tabellen und Ansichten im Projekt lesen Für die Ausführung von Jobs sind weitere Rollen erforderlich.	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.get bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list	Tabelle oder Ansicht
`roles/bigquery.readSessionUser`	BigQuery Read Session-Nutzer	Zugriff zum Erstellen und Verwenden von Lesesitzungen	bigquery.readsessions.* resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.resourceAdmin`	BigQuery-Ressourcen-Administrator	Verwalten Sie alle BigQuery-Ressourcen.	bigquery.bireservations.* bigquery.capacityCommitments.* bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.* bigquery.reservations.* resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.resourceEditor`	BigQuery-Ressourcenbearbeiter	Kann alle BigQuery-Ressourcen verwalten, aber keine Kaufentscheidungen treffen.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.* bigquery.reservations.* resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.resourceViewer`	BigQuery-Ressourcenbetrachter	Kann alle BigQuery-Ressourcen betrachten, aber keine Änderungen vornehmen oder Kaufentscheidungen treffen.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.user`	BigQuery-Nutzer	Bei Anwendung auf ein Dataset ermöglicht diese Rolle das Lesen der Metadaten des Datasets und das Auflisten von Tabellen im Dataset. Bei Anwendung auf ein Projekt bietet diese Rolle auch die Möglichkeit, Jobs, einschließlich Abfragen, innerhalb des Projekts auszuführen. Ein Mitglied mit dieser Rolle kann seine eigenen Jobs auflisten, seine eigenen Jobs abbrechen und Datasets innerhalb eines Projekts aufzählen. Darüber hinaus ermöglicht die Rolle das Erstellen neuer Datasets im Projekt. Dem Ersteller wird für diese neuen Datasets die Rolle "BigQuery Data-Inhaber" (`roles/bigquery.dataOwner`) zugewiesen.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.config.get bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.jobs.create bigquery.jobs.list bigquery.models.list bigquery.readsessions.* bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list bigquery.routines.list bigquery.savedqueries.get bigquery.savedqueries.list bigquery.tables.list bigquery.transfers.get resourcemanager.projects.get resourcemanager.projects.list	Dataset

Benutzerdefinierte Rollen

Neben den vordefinierten Rollen unterstützt BigQuery ML auch benutzerdefinierte Rollen. Weitere Informationen finden Sie in der IAM-Dokumentation unter Benutzerdefinierte Rollen erstellen und verwalten.

Weitere Informationen zu den Versionen von BigQuery ML finden Sie in den Versionshinweisen.