Contrôle des accès

Présentation

BigQuery ML utilise la gestion de l'authentification et des accès (IAM) pour gérer l'accès aux ressources de modèle. Pour accorder l'accès à une ressource de modèle, attribuez un ou plusieurs rôles IAM à un utilisateur, à un groupe ou à un compte de service. Les autorisations de BigQuery ML sont intégrées aux rôles IAM.

Cette page fournit des détails sur les autorisations et les rôles IAM de BigQuery ML. Pour en savoir plus, consultez la page Contrôle des accès dans BigQuery.

Autorisations BigQuery ML

Le tableau suivant décrit les autorisations disponibles dans BigQuery.

Pour en savoir plus sur les versions de BigQuery ML, consultez les notes de version.

Autorisation Description
bigquery.jobs.create
bigquery.models.create
bigquery.models.getData
bigquery.models.updateData
Créez un modèle à l'aide de l'instruction CREATE MODEL
bigquery.jobs.create
bigquery.models.create
bigquery.models.getData
bigquery.models.updateData
bigquery.models.updateMetadata
Remplacez un modèle existant à l'aide de l'instruction CREATE OR REPLACE MODEL
bigquery.models.delete Supprimez le modèle à l'aide de l'API models.delete
bigquery.jobs.create
bigquery.models.delete
Supprimez le modèle à l'aide de l'instruction DROP MODEL
bigquery.models.getMetadata Obtenez les métadonnées d'un modèle à l'aide de l'API models.get
bigquery.models.list Répertoriez les modèles et les métadonnées sur les modèles à l'aide de l'API models.list
bigquery.models.updateMetadata Mettre à jour les métadonnées de modèle à l'aide de l'API models.delete Si vous définissez ou mettez à jour un délai d'expiration différent de zéro pour le modèle, l'autorisation bigquery.models.delete est également nécessaire.
bigquery.jobs.create
bigquery.models.getData
Effectuez des évaluations, des prédictions, des modèles et des inspections de caractéristiques à l'aide des méthodes ML.EVALUATE, ML.PREDICT, ML.TRAINING_INFO, et ML.WEIGHTS, etc.
bigquery.jobs.create
bigquery.models.export
Exportez un modèle

Rôles

Le tableau suivant répertorie les rôles IAM prédéfinis dans BigQuery, ainsi que la liste de toutes les autorisations incluses dans chaque rôle. Les autorisations BigQuery ML sont répertoriées avec les autorisations BigQuery. Notez que chaque autorisation est applicable à un type de ressource particulier.

Rôle Titre Description Autorisations Ressource la plus basse
roles/bigquery.admin Administrateur BigQuery Fournit des autorisations permettant de gérer toutes les ressources du projet. Peut gérer toutes les données du projet et annuler des tâches exécutées par d'autres utilisateurs dans le projet.
  • bigquery.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projet
roles/bigquery.connectionAdmin Administrateur de connexion BigQuery
  • bigquery.connections.*
roles/bigquery.connectionUser Utilisateur de connexion BigQuery
  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.use
roles/bigquery.dataEditor Éditeur de données BigQuery

Lorsque ce rôle est appliqué à une table ou une vue, il fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire et mettre à jour les données et les métadonnées de la table ou de la vue
  • Supprimer la table ou la vue

Ce rôle ne peut pas être appliqué à des modèles ou des routines individuels.

Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire les métadonnées de l'ensemble de données et répertorier les tables qu'il contient
  • Créer, mettre à jour, obtenir et supprimer les tables de l'ensemble de données

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il permet également de créer des ensembles de données.

  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.create
  • bigquery.tables.delete
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Table ou vue
roles/bigquery.dataOwner Propriétaire de données BigQuery

Lorsque ce rôle est appliqué à une table ou une vue, il fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire et mettre à jour les données et les métadonnées de la table ou de la vue
  • Partager la table ou la vue
  • Supprimer la table ou la vue

Ce rôle ne peut pas être appliqué à des modèles ou des routines individuels.

Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire, mettre à jour et supprimer l'ensemble de données
  • créer, mettre à jour, obtenir et supprimer les tables de l'ensemble de données.

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il permet également de créer des ensembles de données.

  • bigquery.datasets.*
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Table ou vue
roles/bigquery.dataViewer Lecteur de données BigQuery

Lorsque ce rôle est appliqué à une table ou une vue, il fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire les données et les métadonnées de la table ou de la vue

Ce rôle ne peut pas être appliqué à des modèles ou des routines individuels.

Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire les métadonnées de l'ensemble de données et répertorier les tables qu'il contient
  • Lire les données et les métadonnées des tables de l'ensemble de données

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il peut également énumérer tous les ensembles de données du projet. Toutefois, des rôles supplémentaires sont nécessaires pour permettre l'exécution de tâches.

  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Table ou vue
roles/bigquery.jobUser Utilisateur de tâche BigQuery Fournit des autorisations permettant d'exécuter des tâches, y compris des requêtes, dans le projet.
  • bigquery.jobs.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projet
roles/bigquery.metadataViewer Lecteur de métadonnées BigQuery

Lorsque ce rôle est appliqué à une table ou une vue, il fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire les métadonnées de la table ou de la vue

Ce rôle ne peut pas être appliqué à des modèles ou des routines individuels.

Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Répertorier les tables et les vues dans l'ensemble de données
  • Lire les métadonnées des tables et des vues de l'ensemble de données

Lorsqu'il est appliqué au niveau du projet ou de l'organisation, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Répertorier tous les ensembles de données et lire les métadonnées de tous les ensembles de données du projet
  • répertorier toutes les tables et vues, et lire les métadonnées de toutes les tables et vues du projet.

Des rôles supplémentaires sont nécessaires pour permettre l'exécution de tâches.

  • bigquery.datasets.get
  • bigquery.datasets.getiamPolicy
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.get
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Table ou vue
roles/bigquery.readSessionUser Utilisateur de sessions de lecture BigQuery Accès permettant de créer et d'utiliser des sessions de lecture
  • bigquery.readsessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceAdmin Administrateur de ressources BigQuery Gérer toutes les ressources BigQuery.
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceEditor Éditeur de ressources BigQuery Gérer toutes les ressources BigQuery, sans pouvoir prendre de décisions d'achat.
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceViewer Lecteur de ressources BigQuery Afficher toutes les ressources BigQuery sans pouvoir apporter de modifications ou prendre de décisions d'achat.
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.user Utilisateur BigQuery

Lorsqu'il est appliqué à un ensemble de données, ce rôle permet d'en lire les métadonnées et d'en répertorier les tables.

Lorsqu'il est appliqué à un projet, ce rôle permet également d'exécuter des tâches, telles que des requêtes, au sein du projet. Un membre doté de ce rôle peut énumérer ou annuler ses propres tâches et énumérer les ensembles de données d'un projet. En outre, ce rôle permet la création de nouveaux ensembles de données au sein du projet. Le créateur dispose alors du rôle de propriétaire de données BigQuery (roles/bigquery.dataOwner) sur ces nouveaux ensembles de données.

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.jobs.create
  • bigquery.jobs.list
  • bigquery.models.list
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.list
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.list
  • bigquery.transfers.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Ensemble de données

Rôles personnalisés

En plus des rôles prédéfinis, BigQuery ML est également compatible avec les rôles personnalisés. Pour en savoir plus, consultez la page Créer et gérer des rôles personnalisés de la documentation IAM.

Pour en savoir plus sur les versions de BigQuery ML, consultez les notes de version.