Contrôle des accès

Présentation

BigQuery ML utilise la gestion de l'authentification et des accès (IAM) pour gérer l'accès aux ressources de modèle. Pour accorder l'accès à une ressource de modèle, attribuez un ou plusieurs rôles IAM BigQuery à un utilisateur, un groupe ou un compte de service. Les autorisations de BigQuery ML sont intégrées aux rôles IAM BigQuery.

Cette page fournit des détails sur les autorisations et les rôles Cloud IAM (Cloud Identity and Access Management) de BigQuery ML. Pour en savoir plus, consultez la page Contrôle des accès dans BigQuery.

Autorisations BigQuery ML

Le tableau suivant décrit les autorisations disponibles dans BigQuery.

Pour en savoir plus sur les versions de BigQuery ML, consultez les notes de version.

Autorisation Description
bigquery.models.create Créer des modèles.
bigquery.models.delete Supprimer des modèles.
bigquery.models.getData Obtenir des données de modèle. Pour obtenir des métadonnées de modèle, vous avez besoin de bigquery.models.getMetadata.
bigquery.models.getMetadata Obtenir des métadonnées de modèle. Pour obtenir des données de modèle, vous avez besoin de bigquery.models.getData.
bigquery.models.list Répertorier les modèles et les métadonnées sur les modèles.
bigquery.models.updateData Mettre à jour les données de modèle. Pour mettre à jour les métadonnées de modèle, vous avez besoin de bigquery.models.updateMetadata.
bigquery.models.updateMetadata Mettre à jour les métadonnées de modèle. Pour mettre à jour les données de modèle, vous avez besoin de bigquery.models.updateData.
bigquery.models.create et bigquery.models.getData Effectuer des opérations de ML : ML.PREDICT, ML.WEIGHTS, ML.TRAINING_INFO et ML.FEATURE_INFO

Rôles

Le tableau suivant répertorie les rôles Cloud IAM prédéfinis dans BigQuery, ainsi que la liste de toutes les autorisations incluses dans chaque rôle. Les autorisations BigQuery ML sont répertoriées avec les autorisations BigQuery. Notez que chaque autorisation est applicable à un type de ressource particulier.

Rôle Titre Description Autorisations Ressource la plus basse
roles/bigquery.admin Administrateur BigQuery Fournit des autorisations permettant de gérer toutes les ressources du projet. Ce rôle peut gérer toutes les données du projet et annuler les tâches exécutées par d'autres utilisateurs dans le projet.
  • bigquery.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projet
roles/bigquery.connectionAdmin Administrateur de connexion BigQueryBêta
  • bigquery.connections.*
roles/bigquery.connectionUser Utilisateur de connexion BigQueryBêta
  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.use
roles/bigquery.dataEditor Éditeur de données BigQuery

Lorsque ce rôle est appliqué à un ensemble de données, il fournit des autorisations permettant de :

  • lire les métadonnées de l'ensemble de données et répertorier les tables que celui-ci contient ;
  • créer, mettre à jour, obtenir et supprimer les tables de l'ensemble de données.

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il permet également de créer des ensembles de données.

  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.create
  • bigquery.tables.delete
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.list
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Ensemble de données
roles/bigquery.dataOwner Propriétaire de données BigQuery

Lorsque ce rôle est appliqué à un ensemble de données, il fournit des autorisations permettant de :

  • lire, mettre à jour et supprimer l'ensemble de données ;
  • créer, mettre à jour, obtenir et supprimer les tables de l'ensemble de données.

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il peut également créer des ensembles de données.

  • bigquery.datasets.*
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Ensemble de données
roles/bigquery.dataViewer Lecteur de données BigQuery

Lorsque ce rôle est appliqué à un ensemble de données, il fournit des autorisations permettant de :

  • lire les métadonnées de l'ensemble de données et répertorier les tables que celui-ci contient ;
  • lire les données et les métadonnées des tables de l'ensemble de données.

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il peut également énumérer tous les ensembles de données du projet. Toutefois, des rôles supplémentaires sont nécessaires pour permettre l'exécution de tâches.

  • bigquery.datasets.get
  • bigquery.datasets.getiamPolicy
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Ensemble de données
roles/bigquery.jobUser Utilisateur de tâche BigQuery Fournit des autorisations permettant d'exécuter des tâches, y compris des requêtes, dans le projet. Ce rôle permet de vérifier l'existence de toutes leurs tâches, de les énumérer et de les annuler.
  • bigquery.jobs.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projet
roles/bigquery.metadataViewer Lecteur de métadonnées BigQuery

Lorsqu'il est appliqué au niveau du projet ou de l'organisation, metadataViewer fournit des autorisations permettant de :

  • répertorier tous les ensembles de données et lire les métadonnées de tous les ensembles de données du projet ;
  • répertorier tous les tableaux et toutes les vues, et lire les métadonnées du projet qui y sont recensées.

Des rôles supplémentaires sont nécessaires pour permettre l'exécution de tâches.

  • bigquery.datasets.get
  • bigquery.datasets.getiamPolicy
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.get
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projet
roles/bigquery.readSessionUser Utilisateur de sessions de lecture BigQuery Accès permettant de créer et d'utiliser des sessions de lecture
  • bigquery.readsessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceAdmin Administration des ressources BigQuery Bêta Gérer toutes les ressources BigQuery.
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.user Utilisateur BigQuery Fournit des autorisations permettant d'exécuter des tâches, y compris des requêtes, dans le projet. Ce rôle peut énumérer et annuler ses propres tâches, et énumérer des ensembles de données au sein d'un projet. Il permet également de créer des ensembles de données dans le projet. Le créateur dispose alors du rôle bigquery.dataOwner pour ces nouveaux ensembles de données.
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.jobs.create
  • bigquery.jobs.list
  • bigquery.models.list
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.list
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.list
  • bigquery.transfers.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projet

Rôles personnalisés

En plus des rôles prédéfinis, BigQuery ML est également compatible avec les rôles personnalisés. Pour en savoir plus, consultez la page Créer et gérer les rôles personnalisés dans la documentation Cloud IAM.

Les clients ayant utilisé des rôles personnalisés avec BigQuery ML doivent noter que de nouvelles autorisations sont actuellement disponibles pour BigQuery ML. Toutefois, elles ne seront prises en compte qu'à partir du 6 juin 2019. Les clients disposant de rôles personnalisés doivent migrer vers ces autorisations au plus tard le 6 juin. Les rôles IAM prédéfinis et les rôles primitifs ne sont pas affectés par cette modification.

Pour en savoir plus sur les versions de BigQuery ML, consultez les notes de version.