Zugriffssteuerung

Überblick

BigQuery verwendet zum Verwalten des Zugriffs auf Ressourcen die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM). Sie können den Zugriff auf eine Modellressource gewähren. Dazu weisen Sie einem Nutzer, einer Gruppe oder einem Dienstkonto mindestens eine BigQuery-IAM-Rolle zu. Die Berechtigungen von BigQuery ML sind in den BigQuery-IAM-Rollen enthalten.

Diese Seite enthält Details zu den BigQuery ML-Berechtigungen und -Rollen von Cloud Identity and Access Management. Weitere Informationen zu Zugriffssteuerungen in BigQuery finden Sie auf dieser Seite.

BigQuery ML-Berechtigungen

In der folgenden Tabelle werden die für BigQuery ML verfügbaren Berechtigungen beschrieben.

Weitere Informationen zu den Versionen von BigQuery ML finden Sie in den Versionshinweisen.

Berechtigung	Beschreibung
`bigquery.models.create`	Neue Modelle erstellen.
`bigquery.models.delete`	Modelle löschen.
`bigquery.models.getData`	Modelldaten abrufen. Zum Abrufen der Modellmetadaten benötigen Sie `bigquery.models.getMetadata`.
`bigquery.models.getMetadata`	Modellmetadaten abrufen. Zum Abrufen der Modelldaten benötigen Sie `bigquery.models.getData`.
`bigquery.models.list`	Modelle und Metadaten zu Modellen auflisten.
`bigquery.models.updateData`	Modelldaten aktualisieren. Zum Aktualisieren von Modellmetadaten benötigen Sie `bigquery.models.updateMetadata`.
`bigquery.models.updateMetadata`	Modellmetadaten aktualisieren. Zum Aktualisieren von Modelldaten benötigen Sie `bigquery.models.updateData`.
`bigquery.models.create` und `bigquery.models.getData`	ML-Vorgänge ausführen: `ML.PREDICT`, `ML.WEIGHTS`, `ML.TRAINING_INFO` und `ML.FEATURE_INFO`.

Rollen

In der folgenden Tabelle sind die vordefinierten Cloud IAM-Rollen für BigQuery und die jeweiligen Berechtigungen der einzelnen Rollen aufgeführt. BigQuery ML-Berechtigungen werden zusammen mit den BigQuery-Berechtigungen aufgelistet. Beachten Sie, dass jede Berechtigung für einen bestimmten Ressourcentyp gilt.

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/bigquery.admin`	BigQuery-Administrator	Berechtigungen zum Verwalten aller Ressourcen im Projekt. Es können alle Daten im Projekt verwaltet und Jobs von anderen Nutzern abgebrochen werden, die im Projekt ausgeführt werden.	bigquery.* resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/bigquery.connectionAdmin`	BigQuery-Verbindungsadministrator^Beta		bigquery.connections.*
`roles/bigquery.connectionUser`	BigQuery-Verbindungsnutzer^Beta		bigquery.connections.get bigquery.connections.getIamPolicy bigquery.connections.list bigquery.connections.use
`roles/bigquery.dataEditor`	BigQuery-Dateneditor	Bei Anwendung auf Datasets erteilt dataEditor die Berechtigung zum: Lesen der Metadaten des Datasets und Auflisten der Tabellen im Dataset. Erstellen, Aktualisieren, Abrufen und Löschen der Tabellen des Datasets Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht die Rolle zusätzlich das Erstellen neuer Datasets.	bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.datasets.updateTag bigquery.models.* bigquery.routines.* bigquery.tables.create bigquery.tables.delete bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.list bigquery.tables.update bigquery.tables.updateData bigquery.tables.updateTag resourcemanager.projects.get resourcemanager.projects.list	Dataset
`roles/bigquery.dataOwner`	BigQuery-Dateninhaber	Bei Anwendung auf Datasets erteilt dataOwner die Berechtigung zum: Lesen, Aktualisieren und Löschen des Datasets. Erstellen, Aktualisieren, Abrufen und Löschen der Tabellen des Datasets Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht die Rolle zusätzlich das Erstellen neuer Datasets.	bigquery.datasets.* bigquery.models.* bigquery.routines.* bigquery.tables.* resourcemanager.projects.get resourcemanager.projects.list	Dataset
`roles/bigquery.dataViewer`	BigQuery-Datenbetrachter	Bei Anwendung auf Datasets erteilt dataViewer die Berechtigung zum: Lesen der Metadaten des Datasets und Auflisten der Tabellen im Dataset. Lesen der Daten und Metadaten aus den Tabellen des Datasets. Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht die Rolle auch die Aufzählung aller Datasets im Projekt. Zum Ausführen der Jobs sind jedoch zusätzliche Rollen erforderlich.	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list	Dataset
`roles/bigquery.jobUser`	BigQuery-Jobnutzer	Berechtigungen zum Ausführen von Jobs im Projekt, einschließlich Abfragen Mit dieser Rolle kann das Vorhandensein aller Jobs geprüft und die eigenen Jobs können aufgezählt und abgebrochen werden.	bigquery.jobs.create resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/bigquery.metadataViewer`	BigQuery-Metadaten-Betrachter	Bei Anwendung auf Projekt- oder Organisationsebene bietet metadataViewer Berechtigungen für Folgendes: Alle Datasets im Projekt auflisten Alle Tabellen und Ansichten auflisten sowie Metadaten für alle Tabellen und Ansichten im Projekt lesen Für die Ausführung von Jobs sind weitere Rollen erforderlich.	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.get bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/bigquery.readSessionUser`	BigQuery-Lesesitzungsnutzer	Zugriff zum Erstellen und Verwenden von Lesesitzungen	bigquery.readsessions.* resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.resourceAdmin`	BigQuery-Ressourcenadministrator ^Beta	Alle BigQuery-Ressourcen verwalten.	bigquery.bireservations.* bigquery.capacityCommitments.* bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.* bigquery.reservations.* resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.user`	BigQuery-Nutzer	Berechtigungen zum Ausführen von Jobs im Projekt, einschließlich Abfragen. Die Nutzerrolle kann die eigenen Jobs aufzählen und stornieren sowie Datasets in einem Projekt aufzählen. Darüber hinaus ermöglicht die Rolle das Erstellen neuer Datasets im Projekt. Dem Ersteller wird für diese neuen Datasets die Rolle `bigquery.dataOwner` zugewiesen.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.config.get bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.jobs.create bigquery.jobs.list bigquery.models.list bigquery.readsessions.* bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list bigquery.routines.list bigquery.savedqueries.get bigquery.savedqueries.list bigquery.tables.list bigquery.transfers.get resourcemanager.projects.get resourcemanager.projects.list	Projekt

Benutzerdefinierte Rollen

Neben den vordefinierten Rollen unterstützt BigQuery ML auch benutzerdefinierte Rollen. Weitere Informationen finden Sie in der Cloud IAM-Dokumentation unter Benutzerdefinierte Rollen erstellen und verwalten.

Kunden, die benutzerdefinierte Rollen mit BigQuery ML verwendet haben, sollten beachten, dass derzeit neue Berechtigungen für BigQuery ML verfügbar sind, diese jedoch erst ab dem 6. Juni 2019 wirksam werden. Kunden mit benutzerdefinierten Rollen sollten spätestens bis zum 6. Juni zu diesen Berechtigungen migrieren. Vordefinierte IAM-Rollen und einfache Rollen sind von dieser Änderung nicht betroffen.

Weitere Informationen zu den Versionen von BigQuery ML finden Sie in den Versionshinweisen.